Bestekteksten open standaarden (2021)

Content

1. Uitleg

Op deze pagina staan voorbeeld-bestekteksten voor inkopers van overheidsorganisaties. De teksten dienen op maat gemaakt te worden voor de betreffende opdracht van de aanbestedende dienst. Hierbij moeten de algemene uitgangspunten van AW2012 (met name het beginsel van proportionaliteit) toegepast worden.

Om die reden zijn er geen bedragen, aantallen, jaartallen en dergelijke opgenomen in de teksten maar wel het in te vullen veld [x]. Ook andere velden die nog ingevuld moeten worden zijn op die wijze gemarkeerd, bijvoorbeeld [naam standaard]. Daarnaast is in de voorbeeld- besteksteksten rekening gehouden met twee mogelijke aanbestedingsprocedures: ‘niet-openbaar’ waarbij er sprake is van een gegadigde en ‘openbaar’ waarbij er sprake is van een inschrijver.

Download

Publicatiedatum: 19 juli 2021

2. Toelichtende bestektekst

Om de eisen en wensen met betrekking tot Standaarden in een kader te plaatsen kan de aanbestedende dienst onderstaande toelichtende teksten opnemen:

 

Toelichtende bestektekst

Open Standaarden [Aanbestedende dienst] wil graag dat de dienst of product, conform het openstandaardenbeleid van de Nederlandse overheid, werkt op basis van open standaarden met als achterliggende doelen de bevordering van de interoperabiliteit en de vergroting van de leveranciersonafhankelijkheid.
Verwijzing naar verplichte Open Standaarden [Aanbestedende dienst] verwijst in de specificatie van de dienst of product expliciet naar de relevante, verplichte open standaarden die op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie staan (www.forumstandaardisatie.nl).
Beoordeling ‘of gelijkwaardig’ Mocht de inschrijver/gegadigde een ‘gelijkwaardige’ standaard aanbieden, dan dient deze aan te tonen dat dit alternatief voldoet aan de door het Forum Standaardisatie gehanteerde en gepubliceerde criteria voor opname op de ‘pas toe of leg uit’-lijst, zodat interoperabiliteit en leveranciersonafhankelijkheid in voldoende mate voor de [aanbestedende dienst] zijn gewaarborgd.
Garanties naar de toekomst In het kader van Preventief en/of Innovatief Onderhoud garandeert inschrijver/gegadigde ten minste:
i) dat de dienst of het product steeds tijdig zal blijven voldoen aan de relevante Wet- en regelgeving;
ii) dat de dienst of het product steeds tijdig geschikt zal blijven voor gegevensuitwisseling met de overige relevante onderdelen van het Applicatielandschap (voor zover bekend bij inschrijver/gegadigde) en in dat kader aan de overeengekomen interoperabiliteitseisen zal blijven voldoen;
iii) dat de dienst of het product door middel van het tijdig uitbrengen van updates en/of upgrades steeds tijdig zal blijven voldoen aan nieuwe versies van de relevante open standaarden die in de Overeenkomst als vereiste normen zijn gespecificeerd;

2.1 Geschiktheidseisen

Onderstaande geschiktheidseisen kan een aanbestedende dienst hanteren om de geschiktheid en bekwaamheid van een leverancier met de desbetreffende relevante Open Standaard te kunnen beoordelen.

 

Kerncompetentie Ervaring

Bestektekst De [gegadigde/inschrijver]dient aan te tonen dat hij in de afgelopen [x] jaar ervaring heeft opgedaan met het succesvol implementeren van ICT-systemen die gegevens uitwisselen conform de open standaard [naam standaard] zoals opgenomen op de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Om aan te tonen dat [gegadigde/inschrijver] voldoet aan deze kerncompetentie dient u bij [het verzoek tot deelneming/de inschrijving] [x] relevante referentie[s] op te geven waaruit blijkt dat [gegadigde/inschrijver] voldoende ervaring heeft met betrekking tot deze kerncompetentie.
Doel en toelichting Inzicht in de aantoonbare ervaring van de gegadigde/inschrijver met de gevraagde Open Standaard. De vraag kan verder worden gespecificeerd door in deze eis een specifiek ICT-systeem te noemen. Deze eis, de vraag naar referenties, kan eventueel worden ingepast in de andere referentie-eisen.

 

Bekwaamheid

Bestektekst

De [gegadigde/inschrijver] geeft een duidelijk inzicht in het kwaliteitsniveau en de beschikbaarheid van zijn personeel dat de [gegadigde/inschrijver] voornemens is in te zetten bij de implementatie van het ICT-systeem dat gegevens uitwisselt conform de open standaard [naam standaard] zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. 

De [gegadigde/inschrijver] overlegt daartoe een overzicht van minimaal [x] medewerkers en hun CV’s en opleidingscertificaten waarover [gegadigde/inschrijver] kan beschikken waaruit hun ervaring met en kennis van [naam standaard] duidelijk blijkt.

Doel en toelichting Inzicht in bekwaamheid van het in te zetten personeel. Voor diverse open Standaarden bestaan er opleidingstrajecten. Deze kunnen worden aangeboden door leveranciers en door onafhankelijke onderwijsinstellingen.

 

2.2 Selectiemethode

Doorgaans is de mate van ervaring (bijv. het meer of minder vaak een open standaard in een ICT-product of dienstverlening toegepast hebben) geen adequate geschiktheidseis, ook niet vanuit het oogpunt van proportionaliteit. Het is in veel gevallen beter om uit te gaan van de hiervoor beschreven knock-out geschiktheidseisen. Om die reden zijn er geen voorbeeld-bestekteksten voor selectiecriteria opgenomen. Dat laat onverlet dat het in specifieke gevallen toch passend kan zijn om een geschiktheidseis voor een open standaard op te nemen. Het is aan de aanbestedende  dienst om dat te bepalen.

2.3 Open standaarden als technische specificatie

Het opnemen van een open standaard in een bestektekst kwalificeert in aanbestedingsrechtelijke termen als het verwijzen naar technische specificaties conform artikel 2.76 van de Aanbestedingswet 2012. Een dergelijke verwijzing is in principe toegestaan. Uiteraard mag deze niet strijdig zijn met de beginselen van de AW2012. Dat betekent onder andere dat deze specificatie objectief toepasbaar en niet discriminatoir mag zijn. De wet schrijft wel voor dat de aanbestedende partij de zinsnede “of gelijkwaardig” toevoegt aan de formulering van de technische specificatie. Het is daarbij van belang dat de aanbestedende dienst aangeeft hoe de gelijkwaardigheid aangetoond moet worden met passende middelen door de leverancier die hier een beroep op doet. De aanbestedende dienst kan hiervoor de toetsingscriteria voor opname op de ‘Pas toe of leg uit’-lijst hanteren en daarbij verwijzen naar achterliggende doelen van interoperabiliteit en leveranciersonafhankelijkheid. Indien geen criteria opgenomen worden, is een gegadigde/inschrijver vrij in de methode om zelf aan te tonen of de alternatieve standaard ‘gelijkwaardig’ is. Omdat een open standaard door alle leveranciers te implementeren is, werkt deze in principe niet discriminerend. Toch kan er in gevallen sprake zijn van alternatieven die ook in de behoeften voorzien. Zo kan een nieuwere versie van een standaard uit de ‘pas toe of leg uit’-lijst interoperabel zijn met hetgeen wordt gevraagd. Zoals eerder beschreven, zijn open standaarden op zichzelf niet in strijd met deze algemene beginselen van mededinging. Gelet op het voorgaande is het bij verwijzing naar een open standaard aan te raden om:

  1. De achterliggende ratio, namelijk vergroten van interoperabiliteit én bevorderen van leveranciersonafhankelijkheid, te vermelden.
  2. Te vermelden dat de gevraagde standaard is opgenomen op de ‘pas toe of leg uit’-lijst en dat eventueel aangeboden ‘gelijkwaardige’ standaarden ook aan de toetsingscriteria van het Forum Standaardisatie moeten voldoen.

3. Bestekteksten, specifiek per standaard

De lijst hieronder toont voor een paar ‘Pas toe of leg uit’-standaarden voorbeelden voor gunningseisen (Eis) en gunningscriteria (Wens). Toepassing Een verkorte omschrijving van de toepassing op basis van het formele toepassingsgebied op de ‘pas toe of leg uit’-lijst. Indien er twee toepassingen zijn, is er een sjabloon per toepassing en wordt de nummering van Toepassing 1, Toepassing 2 etc. aangehouden.

Begrip Toelichting
Volledige naam De volledige naam van de open standaard, inclusief eventuele actuele versie.
Standaardisatie-organisatie De naam van de organisatie die de open standaard beheert.
Specificatie-document De online vindplaats (URL) waar het specificatie-document van de open Standaard beschikbaar is. Omwille van de transparantie en de objectiviteit is het aan te raden om in een bestek deze vindplaats ook op te nemen.
ICT-diensten of producten De categorie uit hoofdstuk 4 waarbij de standaard vaak relevant is.
Besteksonderdeel Voorbeeld-bestektekst
Eis De gunningseis die gesteld kan worden aan de te leveren dienst of product.
Verificatie van de eis De wijze van verificatie van deze gunningseis.
Wens De mogelijkheid om bovenop de eis een wens te formuleren die een onderdeel van de EMVI gunning kan zijn; indien een wens op dat gebied doorgaans niet passend is, dan is in het sjabloon ‘Geen’ opgenomen.
Beoordeling wens De wijze van beoordeling en verificatie van de reactie van de inschrijver op de wens.
Opmerkingen Eventuele aanvullende opmerkingen ten behoeve van de voorbeeld-bestekteksten.

 

3.1 Internet en beveiliging

Toepassing: bereikbaarheid van ICT-systemen, zoals websites, e-mailsystemen en DNS-systemen

Volledige naam: Internet Protocol versie 6 en 4 (RFC2460 en RFC791) Standaardisatie-organisatie: IETF Specificatie-document https://tools.ietf.org/html/rfc2460 https://tools.ietf.org/html/rfc791

Voorbeeld van relevante ICT-diensten of producten:

  • Website of webapplicatie
  • E-mail
  • Spraak- en/of datacommunicatiediensten
  • Netwerken

En alle overige aan internet te koppelen ICT-systemen, zoals multifunctional.

Besteksonderdeel Voorbeeld-bestektekst
Eis Het ICT-systeem biedt volledig werkende ondersteuning voor de open standaarden IPv4 én IPv6 (‘dual stack’) -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent in ieder geval dat:
  1. Gebruikers en andere ICT-systemen het ICT-systeem kunnen bereiken via zowel IPv4 als IPv6 zonder dat er sprake is van functionele of non-functionele (bijv. qua prestatie) verschillen.
  2. Configuratiefunctionaliteit voor IP-adressen (bijv. een IP-whitelist) in het ICT-systeem zowel voor IPv4 als IPv6 beschikbaar is.

Verificatie eis

Na opleveren: testresultaat in website- en e-mailtest op https://www.internet.nl
Wens Beschrijf de wijze van het monitoren en de incidentoplossing die u toepast, zodat het opgeleverde ICT-systeem goed bereikbaar blijft via zowel IPv6 als IPv4.
Beoordeling wens Hoe beter het monitoren en de incidentoplossing is gewaarborgd door de gegadigde/inschrijver, hoe hoger de score is. Criteria waaraan de invulling van de wens getoetst wordt, moeten objectief bepaalbaar en controleerbaar zijn.

NB: Voor gedetailleerde eisen en wensen m.b.t. IPv6 zie RIPE554 “Requirements for IPv6 in ICT Equipment”, ook beschikbaar in het Nederlands via de website van Forum Standaardisatie. De beschreven wens is met name van belang voor kritieke ICT-systemen. Het is voor kritieke ICT-systemen aan te raden om aanvullend algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid. IPv6 is niet backwards compatible met IPv4. Daarom is het cruciaal om voorlopig beide te ondersteunen.

Naam en versie IP versie 6 en 4
Toepassing Internetverbinding van cliëntsystemen, zoals desktops, laptops en mobiele apparaten
Volledige naam Internet Protocol versie 6 en 4 (RFC2460 en RFC791)
Standaardisatie-organisatie IETF
Specificatie-document https://tools.ietf.org/html/rfc2460 https://tools.ietf.org/html/rfc791
ICT-diensten of producten
  • Werkplek en kantoorsoftware
  • Netwerken
Besteksonderdeel Voorbeeld-bestektekst
Eis De internetverbinding van het client-systeem biedt volledig werkende ondersteuning voor de Open Standaarden IPv4 én IPv6 (‘dual stack’) -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent in ieder geval dat gebruikers websites kunnen bezoeken, e-mail kunnen verzenden en ontvangen, en andere ICT-systemen kunnen bereiken zowel via IPv4 als via IPv6 zonder dat er sprake is van functionele of non-functionele (bijv. qua prestatie) verschillen.
Verificatie eis Na opleveren: testresultaat voor IPv6 in internetverbinding-test op https://www.internet.nl
Wens Beschrijf de wijze van monitoring en incidentoplossing die u toepast zodat cliëntsystemen goed bereikbaar blijven via zowel IPv6 als IPv4.
Beoordeling wens Hoe beter de monitoring en incidentoplossing is gewaarborgd door de gegadigde/inschrijver, hoe hoger de score is. Criteria waaraan de invulling van de wens getoetst wordt, moeten objectief bepaalbaar en controleerbaar zijn.
Opmerkingen De beschreven wens is met name van belang voor kritieke ICT-systemen. Het is voor kritieke ICT-systemen aan te raden om aanvullend algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid.

Bij het doel: ondertekening

Naam en versie DNSSEC
Toepassing Digitale ondertekening van eigen domeinnaaminformatie
Volledige naam Domain Name System Security Extensions (RFC4033, RFC4034, RFC4035 en verder)
Standaardisatie-organisatie IETF
Specificatie-document https://datatracker.ietf.org/doc/rfc4033/ e.v.
ICT-diensten of producten Website of webapplicatie E-mail Spraak- en/of datacommunicatiediensten Netwerken Alle overige aan internet te koppelen ICT-systemen
Besteksonderdeel Voorbeeld-bestektekst
Eis De domeinnaam van het ICT-systeem biedt volledig werkende ondersteuning voor de Open Standaard DNSSEC -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent dat de domeinnaaminformatie, zoals bijbehorende IP-adressen, met een geldige DNSSEC-handtekening is ondertekend.
Verificatie eis Na opleveren: testresultaat voor DNSSEC-ondertekening in website- en e-mailtest op https://www.internet.nl.
Wens Beschrijf uw beheerprocedure om de betrouwbaarheid en beschikbaarheid van de ondertekening met de Open Standaard  DNSSEC of gelijkwaardig te waarborgen.
Beoordeling wens Het beoordelingskader voor dit criterium is RFC6781 "DNSSEC Operational Practices, Version 2” van IETF of vergelijkbaar.
Opmerkingen De beschreven wens is met name van belang voor kritieke ICT-systemen. Het is voor kritieke ICT-systemen aan te raden om aanvullend algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid.

Doel is validatie

Naam en versie DNSSEC
Toepassing Validatie van digitale handtekening van opgevraagde domeinnamen
Volledige naam Domain Name System Security Extensions (RFC4033, RFC4034, RFC4035 en verder)
Standaardisatie-organisatie IETF
Specificatie-document https://datatracker.ietf.org/doc/rfc4033/ e.v.
ICT-diensten of producten Werkplek en kantoorsoftware Netwerken
Besteksonderdeel Voorbeeld-bestektekst
Eis De opvragende DNS-software (resolver) biedt volledig werkende ondersteuning voor validatie c.q. verificatie van handtekeningen conform de Open Standaard DNSSEC -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent dat de DNSSEC-handtekeningen van opgevraagde domeinnamen worden gevalideerd.
Verificatie eis Na opleveren: testresultaat voor DNSSEC-validatie in internetverbinding-test op https://www.internet.nl.
Wens Beschrijf uw procedure voor het omgaan met validatie-fouten van met DNSSEC ondertekende domeinnamen (bijv. afhandeling vragen eindgebruikers en  inzet zogenaamde “Negative Trust Anchors”).
Beoordeling wens Het beoordelingskader voor dit criterium is RFC7646 “Definition and Use of DNSSEC Negative Trust Anchors” van IETF.
Opmerkingen Het is voor kritieke ICT-systemen aan te raden om algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid.
Naam en versie TLS versie 1.3 én 1.2
Toepassing TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.
Volledige naam Transport Layer Security (RFC5246)
Standaardisatie-organisatie IETF
Specificatie-document http://datatracker.ietf.org/doc/rfc5246/
ICT-diensten of producten Website of webapplicatie E-mail Spraak- en/of datacommunicatiediensten
Besteksonderdeel Voorbeeld-bestektekst
Eis Het ICT-systeem (bijv. de website) biedt volledig werkende ondersteuning voor beveiligde verbindingen conform de Open Standaard TLS (versie 1.3 én 1.2) -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent dat:
  1. er een geldig (PKIoverheid-)certificaat is geïnstalleerd op het  ICT-systeem;
  2. op basis waarvan andere systemen een TLS-verbinding kunnen opzetten met dit ICT-systeem;
  3. waarvan de veiligheid van de TLS-configuratie voldoet aan de “ICT-beveiligingsrichtlijnen voor TLS” van NCSC;
  4. en in geval van een website zowel het TLS protocol als het HTTPS protocol een veilige configuratie hebben.
Verificatie eis Na opleveren: testresultaat voor TLS in website- of e-mailtest op https://www.internet.nl.
Wens Beschrijf uw beheerprocedure om
  1. het PKI overheid-certificaat veilig te beheren tijdig te vernieuwen;
  2. de correcte en veilige werking van de TLS-verbinding te monitoren en incidenten op te lossen.
Beoordeling wens Ad 1: Het beoordelingskader hiervoor is de factsheet “Veilig beheer van digitale certificaten” van NCSC of vergelijkbaar. Ad 2: Hoe beter de monitoring en incidentoplossing is gewaarborgd door de gegadigde/inschrijver, hoe hoger de score is. Criteria waaraan de invulling van de wens getoetst wordt, moeten objectief bepaalbaar en controleerbaar zijn.
Opmerkingen Controleer na het inkoopmoment regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 nog worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. 
Naam en versie DKIM versie 1
Toepassing Digitale ondertekening van mails door verzender zodat ontvanger de authenticiteit en integriteit van de mail kan vaststellen. DKIM is complementair aan de Open Standaard SPF.
Volledige naam DomainKeys Identified Mail (DKIM) Signatures (RFC6376)
Standaardisatie-organisatie IETF
Specificatie-document https://tools.ietf.org/html/rfc6376
ICT-diensten of producten

 

E-mail
Besteksonderdeel Voorbeeld-bestektekst
Eis De e-mailvoorziening biedt volledig werkende ondersteuning voor DKIM versie 1-zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent dat:
  1. op het systeem een publiek/privaat sleutelpaar is gegenereerd of kan worden gegenereerd;
  2. de publieke DKIM-sleutel is gepubliceerd in de DNS van de e-maildomeinnaam;
  3. alle uitgaand e-mailberichten worden ondertekend met de  private DKIM-sleutel;
  4. alle inkomende e-mailberichten worden gecontroleerd op de geldigheid van een eventuele DKIM-handtekening en het systeem hieraan mogelijke acties verbindt.
Verificatie eis Na opleveren: testresultaat voor DKIM in e-mailtest op https://www.internet.nl, https://www.mail-tester.com of via de tools op https://dmarc.org/resources/deployment-tools/.
Wens Beschrijf uw beheerprocedure om:
  1. de DKIM-sleutels veilig te genereren, te beheren en te vernieuwen; en
  2. de correcte werking van DKIM te monitoren zowel voor inkomende als uitgaande e-mail.
Beoordeling wens Het beoordelingskader hiervoor is de NCSC-factsheet “Factsheet Bescherm domeinnamen tegen phishing”  en de relevante Best Practices van M3AAWG (m.n. ”DKIM Key Rotation Best Common Practices” en “Best Practices for Implementing DKIM To Avoid Key Length Vulnerability”).
Opmerkingen Het is voor kritieke ICT-systemen aan te raden om algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid.
Naam en versie SPF versie 1
Toepassing Het controleren of een e-mailserver gerechtigd is om namens een domeinnaam e-mail te mogen verzenden. SPF is complementair aan de Open Standaard DKIM.
Volledige naam Sender Policy Framework (RFC7208)
Standaardisatie-organisatie .
Specificatie-document https://tools.ietf.org/html/rfc7208
ICT-diensten of producten
  • E-mail
Besteksonderdeel Voorbeeld-bestektekst
Eis De e-mailvoorziening biedt volledige ondersteuning voor de open standaard SPF versie 1 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig. Dit betekent dat:
  1. de IP-adressen van de verzendende systemen als SPF-record worden geregistreerd in de DNS van de verzendende domeinnaam;
  2. alle inkomende e-mailberichten worden gecontroleerd op de geldigheid van het verzendend IP-adres tegen het IP-adres dat in SPF-record staat van de verzendende  domeinnaam.
Verificatie eis Na opleveren: testresultaat voor SPF in e-mailtest op https://www.internet.nl, https://www.mail-tester.com of via de tools op https://dmarc.org/resources/deployment-tools/.
Wens Beschrijf uw beheerprocedure om:
  1. de SPF-records te genereren en indien nodig aan te passen, en
  2. de correcte werking van SPF te monitoren zowel voor inkomende als uitgaande e-mails.
Beoordeling wens Het beoordelingskader hiervoor is de NCSC-factsheet “Factsheet Bescherm domeinnamen tegen phishing” .
Opmerkingen Het is voor kritieke ICT-systemen aan te raden om algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid.
Naam en versie SAML versie 2.0
Toepassing Eenmalig inloggen (en uitloggen) waardoor een gebruiker via zijn/haar browser toegang heeft tot verschillende webdiensten. Onder andere DigiD en eHerkenning maken gebruik van SAML voor het koppelvlak met aangesloten organisaties.
Volledige naam Security Assertion Markup Language
Standaardisatie-organisatie OASIS
Specificatie-document http://www.oasis-open.org/committees/security/
ICT-diensten of producten
  • Website of webapplicatie
Besteksonderdeel Voorbeeld-bestektekst
Eis Het ICT-systeem biedt volledig werkende ondersteuning van SAML versie 2.0 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig, zodat gebruikers via eenmalig in- en uitloggen veilige toegang hebben tot verschillende gekoppelde webdiensten.
Verificatie eis
Wens Geen
Beoordeling wens Geen
Opmerkingen Het is voor kritieke ICT-systemen aan te raden om algemene eisen en wensen op te nemen ten aanzien van de beveiliging en de beschikbaarheid.
Naam en versie ISO 27001 versie 2013
Toepassing Eisen voor een managementsysteem informatiebeveiliging.
Volledige naam 27001: Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging (NEN-ISO/IEC 27001:2013 nl )
Standaardisatie-organisatie NEN-ISO/IEC
Specificatie-document https://www.nen.nl/nen-iso-iec-27001-2013-nl-188752
ICT-diensten of producten Alle ICT-systemen/-diensten, met name die met privacy- en/of bedrijfs-gevoelige informatie.
Besteksonderdeel Voorbeeld-bestektekst
Eis De gegadigde/inschrijver heeft een managementsysteem informatiebeveiliging in werking voor te leveren ICT-systeem/-dienst conform de Open Standaard NEN-ISO/IEC 27001:2013-zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig, zoals de BIO.
Verificatie eis
  • Akkoordverklaring eventueel met toelichting hoe hij borgt dat zijn ICT-systeem/-dienst aan deze standaard voldoet.
  • Certificaat betreffende te leveren ICT-systeem/-dienst inzake conformiteit met NEN-ISO/IEC 27001:2013 dat is verstrekt door een RvA-geaccrediteerde organisatie, of een gelijkwaardig certificaat.
Wens Geen
Beoordeling wens Geen
Opmerkingen Afhankelijk van het product dat wordt gevraagd kan het voldoen aan ISO/IEC 27001 worden aangetoond door een certificaat te overleggen. Het kan gezien de marktsituatie te zwaar zijn om van alle gegadigden/inschrijvers vooraf volledige certificatie te vragen. Een en ander is tevens afhankelijk van de risico-inschatting van de gegevensverwerking en de aard van de dienstverlening.
Naam en versie ISO 27002 versie 2013
Toepassing ‘Best practices’ voor het nemen van maatregelen op het gebied informatiebeveiliging.
Volledige naam 27002: Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging (NEN-ISO/IEC 27002:2013 nl)
Standaardisatie-organisatie NEN-ISO/IEC
Specificatie-document https://www.nen.nl/nen-iso-iec-27002-2013-nl-188742
ICT-diensten of producten Alle ICT-systemen/-diensten, met name die met privacy- en/of bedrijfs-gevoelige informatie.
Besteksonderdeel Voorbeeld-bestektekst
Eis De gegadigde/inschrijver heeft voor te leveren ICT-systeem/-dienst beheersmaatregelen op het gebied van informatiebeveiliging in werking die zijn gebaseerd op de Open Standaard NEN-ISO/IEC 27002:2013 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig, zoals de BIO.
Verificatie eis Akkoordverklaring eventueel met toelichtende beschrijving van getroffen beheersmaatregelen in relatie tot ISO 27002.
Wens Geen
Beoordeling wens Geen
Opmerkingen Voldoen aan het gestelde in de Baseline informatiebeveiliging Overheid (BIO) kan aanbestedingsrechtelijk als gelijkwaardig aan ISO 27002 worden beschouwd. Het is van belang dat een aanbestedende dienst zelf een scherp beeld heeft van mogelijke risico’s en noodzakelijke maatregelen, en op basis daarvan meer specifieke eisen en wensen opneemt naast de algemene verwijzing naar ISO 27002 of naar de Baseline Informatiebeveiliging Overheid.
Begrip HTTPS & HSTS
Toepassing HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices. HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld. HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.
Volledige naam HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS)
Standaardisatie-organisatie IETF
Specificatie-document https://datatracker.ietf.org/doc/rfc2818/ https://tools.ietf.org/html/rfc6797
ICT-diensten of producten
  • Website of webapplicatie
  • E-HRM systemen
  • Netwerken
Besteksonderdeel Voorbeeld-bestektekst
Eis Het ICT Systeem biedt volledig werkende ondersteuning voor HTTPS en HSTS -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie van de eis
  • Akkoordverklaring eventueel met toelichting hoe hij borgt dat zijn ICT-systeem aan standaard voldoet.
  • Testresultaten van validatietooling voor HTTPS en HSTS zoals www.internet.nl en https://www.ssllabs.com/ssltest/
Wens Geen
Beoordeling wens Geen
Opmerkingen  
Begrip DMARC
Toepassing DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Volledige naam Domain-based Message Authentication, Reporting, and Conformance
Standaardisatie-organisatie IETF
Specificatie-document https://datatracker.ietf.org/doc/rfc7489/
ICT-diensten of producten
  • E-mail
Besteksonderdeel Voorbeeld-bestektekst
Eis De e-mailvoorziening biedt volledig werkende ondersteuning voor DMARC -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie van de eis
Wens Geen
Beoordeling wens Geen
Opmerkingen Geen
Begrip Starttls/Dane
Toepassing Mailverkeer tussen mailservers verloopt via SMTP. STARTTLS in combinatie met DANE gaan, in aanvulling op SMTP, afluisteren of manipuleren van dit mailverkeer door internetcriminelen tegen. Beide standaarden moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers.
Volledige naam STARTTLS en DANE
Standaardisatie-organisatie IETF
Specificatie-document https://tools.ietf.org/html/rfc3207 https://tools.ietf.org/html/rfc7672
ICT-diensten of producten
  • E-mail
Besteksonderdeel Voorbeeld-bestektekst
Eis De e-mailvoorziening biedt volledige ondersteuning voor de Open Standaard STARTTLS en DANE -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie van de eis
  • Akkoordverklaring eventueel met toelichting hoe hij borgt dat zijn ICT-systeem aan standaard voldoet.
  • Testresultaten van validatietooling voor STARTTLS/DANE zoals www.internet.nl
Wens Geen
Beoordeling wens Geen
Opmerkingen Organisaties die STARTTLS en DANE toepassen worden opgeroepen de standaarden te implementeren volgens de adviezen van het NCSC.
Naam en versie RPKI
Toepassing Het ondertekenen van IP-adressen en IT-systemen. Dit dient ter beveiliging van het BGP (Border Gateway Protocol) (voorkomen van route hijacks).
Volledige naam Resource Public Key Infrastructure
Standaardisatieorganisatie IETF
Specificatiedocument https://datatracker.ietf.org/doc/html/rfc6480
Relevante inkoopcategorie Netwerken
Bestekonderdeel Voorbeeld-bestektekst
Eis Voor de integriteit van de te leveren IT-systemen is vereist dat bij de routing van informatie op het internet RPKI wordt toegepast. Het IT-systeem biedt daarom volledig werkende ondersteuning voor de open standaard RPKI – zoals opgenomen op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie – of daaraan gelijkwaardig. Dit betekent in ieder geval dat leverancier – die via BGP routes ontvangt – filtert op basis van alle wereldwijde gepubliceerde ROA’s.
Verificatie eis Akkoordverklaring, eventueel met toelichting hoe leverancier borgt dat het IT-systeem/-dienst aan deze standaard voldoet.
Wens Geen
Beoordeling wens Geen
Opmerkingen Met het filteren op basis van de ROA’s wordt in ieder geval bedoeld dat invalide routes nooit geaccepteerd of geadverteerd mogen worden.

 

3.2 Documenten en (web)content

Naam en versie PDF/A-1 en PDF/A-2
Toepassing Voor publicatie of archivering van documenten waarbij toegankelijkheid nu en in de toekomst van belang is. PDF/A is een gestandaardiseerde versie van PDF. Op de ‘pas toe of leg uit’-lijst staat PDF als overkoepelende standaard genoemd.
Volledige naam Portable Document Format Archivable (NEN-ISO 19005-1:2005 en NEN-ISO 19005-2:2011)
Standaardisatie-organisatie NEN-ISO
Specificatie-document https://www.nen.nl/nen-iso-19005-1-2005-c2-2012-en-167243, https://www.nen.nl/nen-iso-19005-2-2011-en-161167
ICT-diensten of producten
  • Website of webapplicatie
  • Werkplek en kantoorsoftware
  • Multi-functionals
Besteksonderdeel Voorbeeld-bestektekst
Eis
  1. Het te leveren ICT-systeem (bijv. webapplicatie) kan documenten genereren/beheren/publiceren in een formaat conform de Open Standaard PDF/A -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  2. Met het te leveren kantoorsoftwarepakket kan de gebruiker documenten bekijken en/of creëren in een formaat conform de Open Standaard PDF/A -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  3. Met de te leveren multi-functional kan de gebruiker scans maken en vastleggen in een formaat conform de Open Standaard PDF/A -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie eis
  • Akkoordverklaring eventueel met toelichting hoe hij borgt dat zijn ICT-systeem aan standaard voldoet.
Wens Geen
Beoordeling wens Geen
Opmerkingen Voor meer achtergrond zie de informatie over open documentformaten op de website van Forum Standaardisatie.
Naam en versie PDF 1.7
Toepassing Voor publicatie van documenten met dynamische content waarbij (duurzame) toegankelijkheid minder van belang is. PDF1.7 gestandaardiseerde versie van PDF. Deze versie is rijker qua functionaliteit dan PDF/A. Dit kan echter ten koste gaan van de interoperabiliteit. Daarom dient PDF1.7 alleen ingezet te worden als de functionaliteit van PDF/A tekortschiet. Op de ‘pas toe of leg uit’-lijst staat PDF als overkoepelende standaard genoemd.
Volledige naam Portable document format -- Part 1: PDF 1.7
Standaardisatie-organisatie ISO
Specificatie-document http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51502
ICT-diensten of producten
  • Website of webapplicatie
  • Werkplek en kantoorsoftware
  • Multi-functionals
Besteksonderdeel Voorbeeld-bestektekst
Eis
  1. Het te leveren ICT-systeem (bijv. webapplicatie) kan documenten genereren/tonen/beheren/publiceren in een formaat conform de Open Standaard PDF1.7 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  2. Met het te leveren kantoorsoftwarepakket kan de gebruiker documenten bekijken en/of creëren in in een formaat conform de Open Standaard PDF1.7 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  1. Met de te leveren multi-functional kan de gebruiker scans maken en vastleggen in een formaat conform de Open Standaard PDF1.7 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie eis
  • Akkoordverklaring eventueel met toelichting hoe hij borgt dat zijn ICT-systeem aan deze standaard voldoet.
  • Testresultaten van validatietooling voor PDF1.7 zoals Adobe Preflight.
Wens Geen
Beoordeling wens Geen
Opmerkingen Voor meer achtergrond zie de informatie over open documentformaten op de website van Forum Standaardisatie.
Naam en versie ODF versie 1.2
Toepassing Voor het publiceren of uitwisselen van documenten (tekst, rekenbladen en presentatie) in bewerkbare vorm, zodat de ontvanger aanpassingen en toevoegingen kan doen.
Volledige naam Open Document Formaat
Standaardisatie-organisatie OASIS en ISO
Specificatie-document https://www.oasis-open.org/committees/office/ http://standards.iso.org/ittf/PubliclyAvailableStandards/
ICT-diensten of producten
  • Website of webapplicatie
  • Werkplek en kantoorsoftware
  • Multi-functionals
Besteksonderdeel Voorbeeld-bestektekst
Eis
  1. Het te leveren ICT-systeem (bijv. webapplicatie) kan documenten genereren/tonen/beheren/publiceren in ODF versie 1.2 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  2. Met het te leveren kantoorsoftwarepakket kan de gebruiker documenten bekijken en/of creëren in een formaat conform de Open Standaard ODF versie 1.2 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  3. Met de te leveren multi-functional kan de gebruiker scans maken en vastleggen in een formaat conform de Open Standaard ODF versie 1.2 -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie eis
Wens Geen
Beoordeling wens Geen
Opmerkingen Voor meer achtergrond zie de informatie over open documentformaten op de website van Forum Standaardisatie. Een wijdverbreid misverstand is dat ODF alleen ondersteund wordt door alternatieve office-pakketten zoals LibreOffice en OpenOffice. Dat klopt niet. Microsoft Office en Google Docs bieden ook ODF-ondersteuning. Over het algemeen geldt dat recentere software-versies betere ondersteuning bieden ten behoeve van ODF.
Naam en versie Digitoegankelijk (EN 301549 met WCAG 2.1)
Toepassing Inkoop, ontwerpen, bouwen en beheren van toegankelijke websites en webapplicaties. De richtlijnen zijn gebaseerd op Europese en internationale standaarden (met name EN 301 549 en WCAG2.1), en op in de praktijk beproefde oplossingen van professionals. Ze zijn van toepassing op alle webcontent dus bijvoorbeeld ook op gepubliceerde en nog te publiceren documenten.
Volledige naam Digitoegankelijk
Standaardisatie-organisatie ETSI
Specificatie-document www.digitoegankelijk.nl
ICT-diensten of producten
  • Website of webapplicatie
Besteksonderdeel Voorbeeld-bestektekst
Eis
  1. De op te leveren website voldoet aantoonbaar aan de toegankelijkheidsrichtlijnen van Digitoegankelijk -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
  2. Het op te leveren document voldoet aantoonbaar aan de toegankelijkheidsrichtlijnen van Digitoegankelijk -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig
Verificatie eis
  • Akkoordverklaring eventueel met toelichtende beschrijving van specifieke situaties en uitzonderingen op basis van digitoegankelijk.nl/beleid/specifieke-situaties.
  • Handmatig onderzoek en advies door een toegankelijkheidsexpert.
  • Automatisch onderzoek is deels geschikt omdat niet alle aspecten van WCAG 2.1 automatisch getoetst kunnen worden maar wel geschikt voor indicatief beeld: http://checkers.eiii.eu/
Wens Geen
Beoordeling wens Geen
Opmerkingen
  • Digitoegankelijk (EN 301 549 met WCAG 2.1) vervangt Webrichtlijnen 2.0 op de pas-toe-of-leg-uit lijst sinds oktober 2016. Zowel Digitoegankelijk als Webrichtlijnen baseren zich op de technische toegankelijkheidsstandaard WCAG 2.1 van W3C, alleen gaat Digitoegankelijk uit van de Europese Norm EN 301 549 die ook instructies voor inkoop beschrijft.
  • Zie aanvullend ‘EN 301 549 - Accessibility requirements suitable for public procurement of ICT products and services in Europe’ van CEN, CENELEC en ETSI (http://www.etsi.org/deliver/etsi_en/301500_301599/301549/01.01.01_60/en_301549v010101p.pdf).
Naam en versie SKOS
Toepassing Ordenen en publiceren van kennissystemen (Knowledge Organization Systems), zoals thesauri, classificatieschema’s en taxonomieën, binnen de context van het semantisch web en (linked) open data.
Volledige naam Simple Knowledge Organization System (W3C Recommendation 18 August 2009)
Standaardisatie-organisatie W3C
Specificatie-document https://www.w3.org/TR/skos-reference/
ICT-diensten of producten
  • Website of webapplicatie
  • Werkplek en kantoorsoftware
Besteksonderdeel Voorbeeld-bestektekst
Eis Het ICT-systeem biedt volledig werkende ondersteuning voor de Open Standaard SKOS -zoals opgenomen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie- of daaraan gelijkwaardig.
Verificatie eis
Wens Geen
Beoordeling wens Geen
Opmerkingen SKOS bouwt voort op de Linked Data Standaarden (RDF, RDFS, OWL). Naarmate de LD-standaarden breder toegepast worden en de hoeveelheid op LD-gebaseerde standaarden toeneemt, ontstaan er steeds meer toepassingsmogelijkheden voor SKOS-gebaseerde vocabulaires. SKOS-vocabulaires gaan in toenemende mate het hart vormen van semantische interoperabiliteit.
Naam en versie Open API Specification 3.0
Toepassing OAS moet worden toegepast op het beschrijven en specificeren van een REST API
Volledige naam OpenAPI Specification
Standaardisatie-organisatie OpenAPI Initiative
Specificatie-document https://github.com/OAI/OpenAPI-Specification/blob/master/versions/3.0.1.md
ICT-diensten of producten Alle ICT-systemen/-diensten indien er gebruik wordt gemaakt van een REST API.
Besteksonderdeel Voorbeeld-bestektekst
Eis De eigenschappen van benodigde API’s dienen in mee te leveren documentatie beschreven te zijn conform de OpenAPI Specification
Verificatie van de eis
  • Akkoordverklaring eventueel met toelichting hoe hij borgt dat de documentatie aan deze standaard voldoet
Wens Geen
Beoordeling wens Geen
Opmerkingen Met OAS 3.0 kunnen zowel mensen als machines de dataset attributen van een REST API vinden, bekijken en verwerken zonder toegang tot de programmatuur en zonder aanvullende documentatie. OAS 3.0 is zowel compatibel met de voorgaande versie OAS 2.0 als met de alternatieve standaard RAML (RESTful API Modeling Language) die ook veel gebruikt werd. Het Deelprogramma Digitaal Stelsel Omgevingswet gebruikt OAS 2.0 en OAS 3.0.

 

4. Contactpersoon

Heeft u vragen of opmerkingen over deze bestekteksten, dan kunt u met Désirée Castillo Gosker, via het contactformulier van de website.

Documentatie-type