Veelgestelde vragen

Forum Standaardisatie

Kan ik hulp krijgen bij het uitvragen en toepassen van een standaard?

Ja, Forum Standaardisatie kan u helpen bij het uitvragen en toepassen van een standaard. Wij ondersteunen u zelf of brengen u in contact met experts die u verder kunnen helpen.

Contact

Gegevens

Ontwikkelt Forum Standaardisatie standaarden?

Nee, dat doen beheerorganisaties. U vindt de namen van de beheerorganisaties bij de standaarden op onze lijsten.

Lijsten

Wat is jullie relatie met het Platform Internetstandaarden?

Forum Standaardisatie is medeoprichter en lid van het Platform Internetstandaarden. Samen met het Platform Internetstandaarden maken wij ons sterk voor de adoptie van Internetstandaarden die fraude met e-mail en websites tegengaan. Het Platform Internetstandaarden heeft het zelf test tool internet.nl ontwikkeld.

Is het risicovol om resultaten van metingen openbaar te publiceren?

Forum Standaardisatie publiceert halfjaarlijks resultaten van de Meting Informatieveiligheidstandaarden. Deze publicaties bevatten overzichten met overheidsdomeinen waaraan kan worden afgelezen in hoeverre verplichte informatieveiligheidstandaarden worden toegepast. Dit oogt als gevoelige informatie, maar is dat niet. Het gaat om bekende domeinnamen waarvan iedere internetgebruiker, via bijvoorbeeld Internet.nl, kan controleren of een domeinnaam aan de standaarden voldoet. Met andere woorden: de informatie is feitelijk al publiek. Kwaadwillenden met de juiste kennis om de kwetsbaarheden uit te kunnen buiten, zoals hackers, hebben deze overzichten niet nodig om de kwetsbaarheden te kunnen vinden.

Zit er een copyright op de content van deze website?

Meer informatie hierover, vindt u op copyright.

'Pas toe of leg uit'-beleid

Wanneer moet mijn organisatie voldoen aan een standaard?

Bij elke aanbesteding moet u voor die aanbesteding relevante standaarden uitvragen die op de ‘Pas toe of leg uit’-lijst staan.

Dit geldt voor de aanschaf van software, hardware en ICT diensten, maar ook voor inhuur en (door)ontwikkeling. Het geldt voor nieuwe producten of diensten, maar ook voor voortzetting van reeds eerder verleende diensten en voor aanvulling op of wijziging van bestaande producten of diensten.

Beleid

'Pas toe leg uit'

Verplicht het beleid alleen het uitvragen of ook het gebruik?

De rijksinstructie over de aanschaf van ICT-producten en -diensten beschrijft:

“Het kabinet heeft in het actieplan Nederland Open in Verbinding aangegeven dat het gebruik van open standaarden door overheidsorganisaties niet meer vrijblijvend is. In het actieplan is daartoe onder meer actielijn 2 aangekondigd. Deze instructie geeft invulling aan de bedoelde actielijn.”

Moeten we standaarden uitvragen voor systemen die intern zijn?

Als uw organisatie een ICT-systeem of -dienst aanbesteedt, evalueer dan zorgvuldig of dit gegevensuitwisseling over de organisatiegrens met zich mee brengt.

Met 'shared services' is dit vaak het geval. Neem bijvoorbeeld een netwerkprinter. Deze lijkt op het eerste gezicht een intern systeem, maar als het de printer een scan kan sturen naar een e-mailadres buiten de organisatie, dan kan IPv6 toch een relevante standaard zijn.

Hoe vragen wij bij onze aanbesteding relevante open standaarden uit?

Forum Standaardisatie heeft bestekteksten opgesteld voor veel voorkomende ICT-aanbestedingen waarin open standaarden moeten worden uitgevraagd. U kunt deze gebruiken in uw aanbesteding.

Lees meer in de handreiking

Open standaarden bij de aanschaf van ICT

De lijst verplichte standaarden

De lijst lijkt willekeurig, waarom deze standaarden?

Forum Standaardisatie richt zich op standaarden voor gegevensuitwisseling. Standaarden voor andere toepassingen dan gegevensuitwisseling, bijvoorbeeld processtandaarden zoals PRINCE of ITIL, staan niet op de lijst. Een standaard kan op de lijst geplaatst worden als een belanghebbende organisatie deze aanmeldt.

Waarom staan er geen wettelijk verplichte standaarden op de lijst?

Wettelijke verplichting gaat boven het 'Pas toe of leg uit'-beleid. Daarom staan wettelijk verplichte standaarden niet op de 'Pas toe of leg uit'-lijst.

Wie moeten zich aan de standaarden op de lijst aanhouden?

Alle (semi-) overheidsorganisaties hebben de verplichting om de open standaarden op de 'Pas toe of leg uit'-lijst toe te passen. Het Nationaal Beraad Digitale Overheid stelt dat de 'Pas toe of leg uit'-verplichting overheidsbreed geldt. Dus ook voor provincies, gemeenten, waterschappen en ZBOs die allen in het Nationaal Beraad gerepresenteerd zijn.

Moeten we aan álle standaarden op de lijst voldoen?

Nee. Elke overheidsorganisatie moet bij ICT-aanbestedingen vragen om de voor die aanbesteding relevante open standaarden van de ‘Pas toe of leg uit’-lijst.

Van een relevante open standaard is sprake, als het betreffende ICT-product of -dienst valt binnen het functionele toepassingsgebied van die standaard, en als de aanbestedende organisatie bovendien valt binnen het organisatorische werkingsgebied van de standaard.

De ‘Pas toe of leg uit’-lijst vermeldt het functionele toepassingsgebied en het organisatorische werkingsgebied van elke standaard. Voor een aanbesteding kunnen meerdere open standaarden relevant zijn.

Mijn organisatie heeft voorkeur voor een standaard die niet op de lijst staat. Mogen wij deze uitvragen?

Nee, het is verplicht om de open standaard op de 'Pas toe of leg uit'-lijst die van toepassing zijn, uit te vragen.

Wel kan u Forum Standaardisatie verzoeken om een standaard toe te voegen of te verwijderen van de 'Pas toe of leg uit'-lijst, of om het toepassingsgebied van een standaard aan te passen. Hier heeft het Forum Standaardisatie een procedure voor, die onder andere een openbare consultatie omvat.

Wij doen functionele aanbestedingen. Kunnen we dan wel naar specifieke standaarden vragen?

Ja, functioneel aanbesteden sluit het uitvragen van open standaarden niet uit. Ook als een leverancier moet voldoen aan open standaarden, heeft deze nog alle vrijheid van implementatie.

Vergelijk het met het aanbesteden van de bouw van een brug of pont. Indien u functioneel aanbesteedt vraagt u naar een “constructie waarmee voertuigen van de ene oever naar de andere komen” maar u kunt daarbij wel degelijk aangeven dat het geleverde product aan beide oevers moet aansluiten op de rijweg (de standaard).

Moeten we standaarden uitvragen als we enkel licenties gaan aanschaffen?

Bij de inkoop van licenties worden er gebruiksrechten ingekocht op een bijbehorend softwareprogramma dat al dan niet via de cloud beschikbaar komt. Zonder die daadwerkelijke toegang tot het softwareprogramma zouden de licenties onbruikbaar zijn.

Er is geen enkele reden om aan te nemen dat deze in gebruik te nemen software programma’s geen ondersteuning zouden hoeven te geven aan de in Nederland verplichte standaarden. Dat is ook niet anders wanneer er door het noemen van een specifiek merk een voorkeur wordt uitgesproken voor specifieke producten van een leverancier. Integendeel: Juist in die gevallen zal men zowel rechtstreeks alsook via de reseller aandacht moeten kunnen schenken aan de door de afnemer gewenste standaarden. Het moet bovendien voor de resellers van tevoren ook helder zijn wat er van hen wordt verwacht, aangezien zij de contractuele wederpartij zijn van de opdrachtgever.

Wij kopen licenties in via een raamovereenkomst. Kunnen we dan wel naar specifieke standaarden vragen?

In het geval van een raamovereenkomst zou er op z’n minst voor gekozen kunnen worden dat het volgende gunningscriterium in de raamovereenkomst wordt vermeld:

“De producten en de dienstverlening waarvoor wij deze licenties inkopen dienen waar mogelijk en toepasselijk gebruik te maken van de standaarden zoals te vinden op de website www.forumstandaardisatie.nl”. Dit kan gekoppeld worden aan de vraag voor gegadigden op welke wijze zij omgaan met toekomstige verzoeken om ondersteuning te gaan geven aan voor de overheid verplicht toe te passen standaarden.

Vervolgens kunnen er in een later stadium, bijvoorbeeld bij een minicompetitie, nog objectieve nadere afwegingscriteria worden vastgesteld. Daarbij kan het ook gaan om het voldoen aan de specifieke standaarden. Om vooraf te bepalen welke standaarden relevant kunnen zijn, kan de beslisboom Open Standaarden worden doorgelopen. Daarbij kijkt u eerst tot welke functionaliteiten de licentie toegang geeft, feitelijk wat u ook had moeten doen indien u functioneel had uitgevraagd, en stelt u aan de hand daarvan vast welke standaarden al dan niet wettelijk vereist zijn.

Wat als producten volgens onze reseller niet kunnen voldoen aan het beleid?

Mocht een reseller of software broker op voorhand aangeven dat de uit te vragen producten niet voldoen, en ook niet kunnen voldoen aan de gewenste standaarden, dan is dat voor een inkoper een serieus aandachtspunt. In een dergelijk geval moet overwogen worden om alsnog functioneel uit te gaan vragen zodat andere leveranciers die mogelijk wel aan deze eis kunnen voldoen, een eerlijke kans krijgen. Het is ook goed gebruik om over dergelijke onwillige resellers of producenten een melding te maken bij het Forum Standaardisatie en tevens, omdat het gaat om het naleven van een op uw organisatie rustende verplichting, in de bedrijfsvoeringsparagraaf van het jaarverslag.

Monitor Open Standaarden

Hoe wordt bepaald of een standaard relevant is voor een aanbesteding?

Hiervoor is het functionele toepassingsgebied en het organisatorische werkingsgebied bepalend. ,

Voor de monitor wordt dit bepaald op basis van de openbare documenten van de aanbesteding. Om deze beoordeling te objectiveren wordt tenminste de helft van alle beoordeelde aanbestedingen ook door een tweede expert beoordeeld (second opinion), waarna de eventuele verschillen in de beoordeling besproken worden.

Wat als de aanbestedingsinformatie niet (meer) compleet is?

Als de stukken niet meer beschikbaar zijn (op TenderNed) worden de stukken via de contactpersoon opgevraagd. Als dat niet lukt, dan wordt de aanbesteding niet beoordeeld.

Zijn niet-openbare aanbestedingen ook beoordeeld voor de monitor?

Nee. Omdat de stukken van niet-openbare aanbestedingen in veel gevallen niet openbaar beschikbaar zijn, hebben wij dergelijke aanbestedingen niet beoordeeld. NB: Het ‘pas toe of leg uit’-regime is overigens wèl van toepassing op niet-openbare aanbestedingen.

Wordt de Nota van inlichtingen meegenomen bij de beoordeling van de aanbesteding?

Nee. Het onderzoek is gebaseerd op de (openbare) informatie waarop aanbieders zich in eerste instantie hebben moeten baseren. In de monitor is wel inzichtelijk gemaakt in welke
gevallen in de Nota van inlichtingen alsnog de standaarden aan bod kwamen.

Vallen alleen ‘harde IT-projecten’ binnen scope van de monitor?

Nee. Alle aanbestedingen met een duidelijke IT-component vallen binnen de scope van de monitor. Voorbeeld: in een aanbesteding van een communicatieproject, waarbij onder andere een website wordt gemaakt, is ‘pas toe of leg uit’ van toepassing op de bouw van de website.

Kunnen we niet gewoon in algemene zin verwijzen naar de lijst voor ‘Pas toe of leg uit’?

Nee. Het effectief toepassen van een open standaard vereist, dat bij de aanbesteding expliciet gevraagd wordt om deze standaard. Anders krijgt de aanbieder de verantwoordelijkheid voor het correct toepassen ervan. In de praktijk levert dat niet het beoogde resultaat, omdat de aanbiedingen alleen te beoordelen zijn op het correct toepassen van de lijst als (a) de aanbesteder zelf weet welke open standaarden van toepassing zijn, en (b) de aanbesteder hierom ook expliciet gevraagd heeft.

Kunnen we niet gewoon verwijzen naar de gangbare architectuurkaders van de overheid?

Nee, dat is nuttig maar niet voldoende. Het effectief toepassen van een open standaard vereist, dat bij de aanbesteding expliciet gevraagd wordt om deze standaard. Anders krijgt de aanbieder de verantwoordelijkheid voor het correct toepassen ervan. In de praktijk levert dat niet het beoogde resultaat, omdat de aanbiedingen alleen te beoordelen zijn op het correct toepassen van de lijst als (a) de aanbesteder zelf weet welke open standaarden van toepassing zijn, en (b) de aanbesteder hierom ook expliciet gevraagd heeft.

Internetbeveiliging

Mijn Internet provider biedt geen DNSSEC aan. Wat nu?

Geef uw domeinen bij AZ in beheer. Hiermee krijgt u gegarandeerd DNSSEC ondersteuning, en profiteert u van de DNS diensten die AZ aanbiedt voor de overheid. Indien dit geen optie is, eis dan dat uw Internet provider DNSSEC toepast. Overweeg van Internet provider te veranderen als uw provider niet meewerkt.

Met onze website worden geen gevoelige gegevens uitgewisseld. Hoeven we dan geen TLS te gebruiken?

Het gebruik van TLS is altijd aan te raden. Zelfs als uw website alleen informatief is, geen formulieren heeft, en niet gebruikt wordt voor het uitwisselen van gevoelige gegevens. Op die manier kan de gebruiker erop rekenen dat hij of zij echt verbonden is met uw organisatie, en dat niemand kan knoeien met de verbinding.

Hoeveel kost het om TLS te installeren?

De aanschaf van een PKIOverheid certificaat is de belangrijkste kostenpost bij het toepassen van TLS. De standaard zelf kan u met open source software installeren, wat nagenoeg geen kosten met zich meebrengt.

Wij verzenden geen e-mail vanaf ons domein. Moeten wij dan SPF en DKIM toepassen?

Juist als u geen e-mail stuurt vanaf een domein heeft het zin een SPF voor dit domein te nemen in uw DNS. Dit voorkomt dat anderen in naam van uw domein valse e-mails kunnen sturen. Het opnemen van een SPF record kost nagenoeg geen moeite.

Moet ik SPF en DKIM toepassen voor uitgaande of inkomende mail, of beiden?

SPF en DKIM zijn het meest effectief als ze aan de verzendende en aan de ontvangende kant toegepast worden. Pas SPF altijd toe voor al uw domeinen. Zo voorkomt u dat anderen in uw naam valse e-mails kunnen sturen. Teken uw uitgaande mail altijd met DKIM. Zo zorgt u ervoor dat de ontvanger de echtheid van uw mail kan controleren. En controleer inkomende mails op zowel SPF als DKIM. Hiermee voorkomt u dat er phishing e-mails en spam binnenkomen bij uw organisatie.

Wij werken met een heleboel subdomeinen. Moeten we SPF toepassen voor alle subdomeinen?

Het is verstandig om SPF voor ieder (sub)domein in uw beheer toe te passen. Ook domeinen van waaruit geen e-mail verstuurd wordt. Zo voorkomt u dat derden spam en phishing e-mail in naam van één van uw subdomeinen stuurt. Want ook dat kan uw reputatie schaden.

Hoeveel kost het om SPF, DKIM en DMARC te installeren?

SPF, DMARC en DKIM vereisen een kleine aanpassing in het DNS record van uw organisatie. Dit is eenvoudig en brengt nagenoeg geen kosten met zich mee. Het analyseren van mailstromen met DMARC heeft meer voeten in de aarde, maar u kunt dit stapsgewijs invoeren. In ieder geval wegen de geringe kosten gegarandeerd op tegen de (materiële-, organisatie- en imago-) schade die u voorkomt als gevolg van e-mail fraude.

Documentatie-type

documentatie

Content