Veelgestelde vragen

Content

Forum Standaardisatie

Ja, Forum Standaardisatie kan u helpen bij het uitvragen en toepassen van een standaard. Wij ondersteunen u zelf of brengen u in contact met experts die u verder kunnen helpen.

Contact

Nee, dat doen beheerorganisaties. U vindt de namen van de beheerorganisaties bij de standaarden op onze lijsten.

Lijsten

Forum Standaardisatie is medeoprichter en lid van het Platform Internetstandaarden. Samen met het Platform Internetstandaarden maken wij ons sterk voor de adoptie van Internetstandaarden die fraude met e-mail en websites tegengaan. Het Platform Internetstandaarden heeft het zelf test tool internet.nl ontwikkeld.

Forum Standaardisatie publiceert halfjaarlijks resultaten van de Meting Informatieveiligheidstandaarden. Deze publicaties bevatten overzichten met overheidsdomeinen waaraan kan worden afgelezen in hoeverre verplichte informatieveiligheidstandaarden worden toegepast. Dit oogt als gevoelige informatie, maar is dat niet. Het gaat om bekende domeinnamen waarvan iedere internetgebruiker, via bijvoorbeeld Internet.nl, kan controleren of een domeinnaam aan de standaarden voldoet. Met andere woorden: de informatie is feitelijk al publiek. Kwaadwillenden met de juiste kennis om de kwetsbaarheden uit te kunnen buiten, zoals hackers, hebben deze overzichten niet nodig om de kwetsbaarheden te kunnen vinden.

'Pas toe of leg uit'-beleid

Bij elke aanbesteding moet u voor die aanbesteding relevante standaarden uitvragen die op de ‘Pas toe of leg uit’-lijst staan.

Dit geldt voor de aanschaf van software, hardware en ICT diensten, maar ook voor inhuur en (door)ontwikkeling. Het geldt voor nieuwe producten of diensten, maar ook voor voortzetting van reeds eerder verleende diensten en voor aanvulling op of wijziging van bestaande producten of diensten.

Beleid

De rijksinstructie over de aanschaf van ICT-producten en -diensten beschrijft:

“Het kabinet heeft in het actieplan Nederland Open in Verbinding aangegeven dat het gebruik van open standaarden door overheidsorganisaties niet meer vrijblijvend is. In het actieplan is daartoe onder meer actielijn 2 aangekondigd. Deze instructie geeft invulling aan de bedoelde actielijn.”

Als uw organisatie een ICT-systeem of -dienst aanbesteedt, evalueer dan zorgvuldig of dit gegevensuitwisseling over de organisatiegrens met zich mee brengt.

Met 'shared services' is dit vaak het geval. Neem bijvoorbeeld een netwerkprinter. Deze lijkt op het eerste gezicht een intern systeem, maar als het de printer een scan kan sturen naar een e-mailadres buiten de organisatie, dan kan IPv6 toch een relevante standaard zijn.

Forum Standaardisatie heeft bestekteksten opgesteld voor veel voorkomende ICT-aanbestedingen waarin open standaarden moeten worden uitgevraagd. U kunt deze gebruiken in uw aanbesteding.

Lees meer in de handreiking

 

De lijst verplichte standaarden

Forum Standaardisatie richt zich op standaarden voor gegevensuitwisseling. Standaarden voor andere toepassingen dan gegevensuitwisseling, bijvoorbeeld processtandaarden zoals PRINCE of ITIL, staan niet op de lijst. Een standaard kan op de lijst geplaatst worden als een belanghebbende organisatie deze aanmeldt.

Wettelijke verplichting gaat boven het 'Pas toe of leg uit'-beleid. Daarom staan wettelijk verplichte standaarden niet op de 'Pas toe of leg uit'-lijst.

Alle (semi-) overheidsorganisaties hebben de verplichting om de open standaarden op de 'Pas toe of leg uit'-lijst toe te passen. Het Nationaal Beraad Digitale Overheid stelt dat de 'Pas toe of leg uit'-verplichting overheidsbreed geldt.  Dus ook voor provincies, gemeenten, waterschappen en ZBOs die allen in het Nationaal Beraad gerepresenteerd zijn.

Nee. Elke overheidsorganisatie moet bij ICT-aanbestedingen vragen om de voor die aanbesteding relevante open standaarden van de ‘Pas toe of leg uit’-lijst.

Van een relevante open standaard is sprake, als het betreffende ICT-product of -dienst valt binnen het functionele toepassingsgebied van die standaard, en als de aanbestedende organisatie bovendien valt binnen het organisatorische werkingsgebied van de standaard.

De ‘Pas toe of leg uit’-lijst vermeldt het functionele toepassingsgebied en het organisatorische werkingsgebied van elke standaard. Voor een aanbesteding kunnen meerdere open standaarden relevant zijn.

Nee, het is verplicht om de open standaard op de 'Pas toe of leg uit'-lijst die van toepassing zijn, uit te vragen.

Wel kan u Forum Standaardisatie verzoeken om een standaard toe te voegen of te verwijderen van de 'Pas toe of leg uit'-lijst, of om het toepassingsgebied van een standaard aan te passen. Hier heeft het Forum Standaardisatie een procedure voor, die onder andere een openbare consultatie omvat.

Ja, functioneel aanbesteden sluit het uitvragen van open standaarden niet uit. Ook als een leverancier moet voldoen aan open standaarden, heeft deze nog alle vrijheid van implementatie.

Vergelijk het met het aanbesteden van de bouw van een brug of pont. Indien u functioneel aanbesteedt vraagt u naar een “constructie waarmee voertuigen van de ene oever naar de andere komen” maar u kunt daarbij wel degelijk aangeven dat het geleverde product aan beide oevers moet aansluiten op de rijweg (de standaard).

Monitor Open Standaarden

Hiervoor is het functionele toepassingsgebied en het organisatorische werkingsgebied bepalend. ,

Voor de monitor wordt dit bepaald op basis van de openbare documenten van de aanbesteding. Om deze beoordeling te objectiveren wordt tenminste de helft van alle beoordeelde aanbestedingen ook door een tweede expert beoordeeld (second opinion), waarna de eventuele verschillen in de beoordeling besproken worden.

Als de stukken niet meer beschikbaar zijn (op TenderNed) worden de stukken via de contactpersoon opgevraagd. Als dat niet lukt, dan wordt de aanbesteding niet beoordeeld.

Nee. Omdat de stukken van niet-openbare aanbestedingen in veel gevallen niet openbaar beschikbaar zijn, hebben wij dergelijke aanbestedingen niet beoordeeld. NB: Het ‘pas toe of leg uit’-regime is overigens wèl van toepassing op niet-openbare aanbestedingen.

Nee. Het onderzoek is gebaseerd op de (openbare) informatie waarop aanbieders zich in eerste instantie hebben moeten baseren. In de monitor is wel inzichtelijk gemaakt in welke
gevallen in de Nota van inlichtingen alsnog de standaarden aan bod kwamen.

Nee. Alle aanbestedingen met een duidelijke IT-component vallen binnen de scope van de monitor. Voorbeeld: in een aanbesteding van een communicatieproject, waarbij onder andere een website wordt gemaakt, is ‘pas toe of leg uit’ van toepassing op de bouw van de website.

Nee. Het effectief toepassen van een open standaard vereist, dat bij de aanbesteding expliciet gevraagd wordt om deze standaard. Anders krijgt de aanbieder de verantwoordelijkheid voor het correct toepassen ervan. In de praktijk levert dat niet het beoogde resultaat, omdat de aanbiedingen alleen te beoordelen zijn op het correct toepassen van de lijst als (a) de aanbesteder zelf weet welke open standaarden van toepassing zijn, en (b) de aanbesteder hierom ook expliciet gevraagd heeft.

Nee, dat is nuttig maar niet voldoende. Het effectief toepassen van een open standaard vereist, dat bij de aanbesteding expliciet gevraagd wordt om deze standaard. Anders krijgt de aanbieder de verantwoordelijkheid voor het correct toepassen ervan. In de praktijk levert dat niet het beoogde resultaat, omdat de aanbiedingen alleen te beoordelen zijn op het correct toepassen van de lijst als (a) de aanbesteder zelf weet welke open standaarden van toepassing zijn, en (b) de aanbesteder hierom ook expliciet gevraagd heeft.

Internetbeveiliging

Geef uw domeinen bij AZ in beheer. Hiermee krijgt u gegarandeerd DNSSEC ondersteuning, en profiteert u van de DNS diensten die AZ aanbiedt voor de overheid. Indien dit geen optie is, eis dan dat uw Internet provider DNSSEC toepast. Overweeg van Internet provider te veranderen als uw provider niet meewerkt.

Het gebruik van TLS is altijd aan te raden. Zelfs als uw website alleen informatief is, geen formulieren heeft, en niet gebruikt wordt voor het uitwisselen van gevoelige gegevens. Op die manier kan de gebruiker erop rekenen dat hij of zij echt verbonden is met uw organisatie, en dat niemand kan knoeien met de verbinding.

De aanschaf van een PKIOverheid certificaat is de belangrijkste kostenpost bij het toepassen van TLS. De standaard zelf kan u met open source software installeren, wat nagenoeg geen kosten met zich meebrengt.

Juist als u geen e-mail stuurt vanaf een domein heeft het zin een SPF voor dit domein te nemen in uw DNS. Dit voorkomt dat anderen in naam van uw domein valse e-mails kunnen sturen. Het opnemen van een SPF record kost nagenoeg geen moeite.

SPF en DKIM zijn het meest effectief als ze aan de verzendende en aan de ontvangende kant toegepast worden. Pas SPF altijd toe voor al uw domeinen. Zo voorkomt u dat anderen in uw naam valse e-mails kunnen sturen. Teken uw uitgaande mail altijd met DKIM. Zo zorgt u ervoor dat de ontvanger de echtheid van uw mail kan controleren. En controleer inkomende mails op zowel SPF als DKIM. Hiermee voorkomt u dat er phishing e-mails en spam binnenkomen bij uw organisatie.

Het is verstandig om SPF voor ieder (sub)domein in uw beheer toe te passen. Ook domeinen van waaruit geen e-mail verstuurd wordt. Zo voorkomt u dat derden spam en phishing e-mail in naam van één van uw subdomeinen stuurt. Want ook dat kan uw reputatie schaden.

SPF, DMARC en DKIM vereisen een kleine aanpassing in het DNS record van uw organisatie. Dit is eenvoudig en brengt nagenoeg geen kosten met zich mee. Het analyseren van mailstromen met DMARC heeft meer voeten in de aarde, maar u kunt dit stapsgewijs invoeren. In ieder geval wegen de geringe kosten gegarandeerd op tegen de (materiële-, organisatie- en imago-) schade die u voorkomt als gevolg van e-mail fraude.

Documentatie-type