Duiding en maatregelen Monitor open standaarden 2019
Content
Agendapunt: FS-20200304.5C
Documentnummer: 5C
Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Rechten: CC0 publieke domein verklaring
Versie 20 februari 2020
Inleiding
Interoperabiliteit, leveranciersonafhankelijkheid, kostenbesparingen, innovatie, een vloeiende uitwisseling van vindbare en toegankelijke gegevens, veilig en betrouwbaar digitaal verkeer voor en vanuit een herkenbare en eenduidige overheid. Om dit te bereiken moeten in ieder geval ook open standaarden gebruikt worden en toetst Forum Standaardisatie welke hiervoor geschikt zijn. Na een intake, een expertbijeenkomst en een openbare consultatie kan plaatsing volgen op de ‘pas toe of leg uit’-lijst. Sinds 2008 zijn de standaarden op deze lijst voor overheidsorganisaties verplicht om te gebruiken. Afwijken van deze verplichting mag, mits met een geldige reden die terug te vinden is in het jaarverslag.
Jaarlijks onderzoekt ICTU in opdracht van het Forum Standaardisatie hoe het staat met het gebruik van de standaarden op de ‘pas toe of leg uit’-lijst en de naleving van de verplichting tot uitleggen. Bijgaand treft u het rapport van het laatste onderzoek aan: de Monitor Open Standaarden 2019.
Uit het rapport blijkt dat de adoptie van de ‘pas toe of leg uit’- standaarden groeit (‘pas-toe’), maar nog niet voldoende worden gebruikt om alle voordelen ervan te kunnen realiseren. Verder wordt er ook niet uitgelegd (‘leg-uit’)
Dit strookt niet met de streefbeeldafspraken die het OBDO gemaakt heeft en met de ‘pas toe of leg uit’- verplichting. Het niet gebruiken van de ‘pas toe of leg uit’ standaarden brengt bijvoorbeeld veiligheidsrisico’s met zich mee. Verder brengt het de reputatie van de overheid in gevaar. Met name ten aanzien van leveranciers die zien dat de uitvraag van open standaarden vaak wel met de mond wordt beleden, maar dat er als het erop aankomt er te vaak gekozen wordt voor ICT van concullega’s die de standaarden niet allemaal
In deze notitie staan onder het kopje “Duiding” de hoofdpunten uit de Monitor Open Standaarden 2019. Vervolgens onder het kopje “Maatregelen”, ter besluitvorming, welke maatregelen het Forum Standaardisatie aan het OBDO adviseert, zodat de adoptie van de standaarden een verdere impuls krijgt.
Nota Bene: Met betrekking tot sommige onderzoeksresultaten en maatregelen is het goed voor het OBDO om te weten wat aanpalend al aan acties is ingezet. Met name de toezeggingen in de Kabinetsreactie op het rapport Inventarisatie Standaardisatie. Dit zal in deze notitie worden aangegeven als ter kennisname aan het OBDO.
Duiding
De Monitor Open Standaarden 2019 bestaat uit vier onderdelen. Hieronder per onderdeel de onderzoeksvraag, het onderzoeksresultaat en de duiding van Forum Standaardisatie (Duiding FS). Voor meer gedetailleerde informatie, zoals grafieken, tabellen, de methode of over het hoe en waarom: zie (de managementsamenvatting van) het rapport en de bijlagen.
1. Vragen overheidsorganisaties om de relevante open standaarden in aanbestedingen?
Uit de Monitor Open Standaarden 2019 blijkt nu dat:
- in 6% van de aanbestedingen alle Open Standaarden (in de figuur afgekort met OSn) worden uitgevraagd;
- in 83% procent van de aanbestedingen een deel van de relevante aanbestedingen, vanaf 2019 aangeduid met “op de goede weg”;
- In totaal wordt dus in 89% minstens om één van de relevante standaarden uitgevraagd (was 85%), dat percentage is dus weer verder gegroeid.
In de figuur hiernaast bovenstaande resultaten vergeleken met voorgaande jaren.
In de bijlagen van de Monitor Open Stanaarden 2019 staat een overzicht van de onderzochte aanbestedingen, met daarbij aangegeven het percentage waarin om de relevante open standaarden is gevraagd. 6% scoort dus maar 100%.
Duiding FS: In combinatie met de overige percentages levert dit de conclusie op dat een standaard gemiddeld 50% kans maakt om in een aanbesteding daadwerkelijk gevraagd te worden. Dat is nog steeds te weinig.
Figuur: uitvraag percentages in opeenvolgende versies van de Monitor Open Standaarden (Het eerder gemaakte onderscheid “cruciaal en niet-cruciaal” komt vanaf 2019 niet meer voor in de weergave van de resultaten.)
2. Leggen overheidsorganisaties afwijkingen correct uit in het jaarverslag?
Monitor Open Standaarden 2019: Nee, dit gebeurt structureel niet of nauwelijks.
Duiding FS: Uitleggen moet, vooral daar waar niet is uitgevraagd (zie punt 1).
3. Passen beheerorganisaties de relevante open standaarden toe in generieke overheidsvoorzieningen?
Monitor Open Standaarden 2019: In de meeste gevallen voldoen de onderzochte voorzieningen aan de meeste ervoor relevante standaarden: aan 69% wordt voldaan, aan 15% voldoet de voorziening deels of is dit gepland en in 16% van de gevallen wordt op dit moment niet voldaan aan een relevante open standaard.
Duiding FS: Een paar voorzieningen en standaarden verdienen extra aandacht (zie maatregelen).
4. Wat is, bezien per standaard, verder nog bekend over het gebruik van de standaarden op de ‘pas toe of leg uit’- lijst?
Monitor Open Standaarden 2019: Dat verschilt per standaard of per domein standaarden. Grofweg is van de helft van de standaarden over het gebruik veel bekend en over de andere helft weinig.
Duiding FS: Als over een standaard of over een set standaarden jaar op jaar weinig (meer) naar voren komt over het gebruik, dan ligt hierin een aanleiding om nut en noodzaak van de ‘pas toe of leg uit’- status nader ter discussie te stellen. Wellicht is het dan tijd om de standaard van de ‘pas toe of leg uit’-lijst te halen.
5. Een speciale categorie in dit onderdeel van het Monitoronderzoek zijn de informatieveiligheidsstandaarden, die onder ander helpen om phishing tegen te gaan.
Over het gebruik van deze standaarden zijn in het OBDO streefbeeld afspraken gemaakt; drie overheidsbrede afspraken over uiterste implementatiedata. Het Forum Standaardisatie voert medio 2015 metingen uit naar het gebruik van de afgesproken standaarden op 550 overheidsdomeinnamen.
Uit de laatste IV-meting (winter 2019) blijkt dat het gebruik van de meeste standaarden enorm is toegenomen; de toepassingsgraad van de meeste standaarden is inmiddels ruim boven de 90%. Opvallend is dat de webstandaarden gemiddeld beter worden toegepast dan de mailstandaarden (92% vs 77%).
Duiding FS: Voor een paar standaarden blijft de adoptie echter rond circa de helft steken, terwijl het streefbeeld was om die eind 2019 op orde te hebben. Forum standaardisatie waarschuwt voor risico op schade door phishing/spoofing en afluisteren en manipulatie van e- mail van de overheid.
Maatregelen
Gelet op bovenstaande duiding, adviseert Forum Standaardisatie aan het OBDO:
- Agendering van de Monitor Open Standaarden 2019 - inclusief de IV-meting- in de gremia in onderstaande tabel;
- Dat via deze gremia (conform de toezegging van de Minister van BZK aan de Kamer) gesproken wordt over de manier waarop de pas-toe-of-leg-uit standaarden vervlochten kunnen worden in reeds bestaande processen en kaders rond:
- ICT-opdrachtgeverschap en contractmanagement;
- Aanschaf en inkoop;
- Informatiebeveiliging en bedrijfsvoering
- Toezicht en handhaving
| - |
ICT opdrachtgeverschap en contractmanagement |
Aanschaf en inkoop | Informatiebeveiliging en bedrijfsvoering | Toezicht en handhaving |
|---|---|---|---|---|
| Gemeenten |
College van dienstverleningszaken, x/x/2020 |
PM | PM | PM |
| Rijk |
CIO-beraad: 11/7/2020, x/x/2020 OBDO: 23/4/2019, x/x/2020 CTO-raad: 22/5/2020 |
ICIA (strategie rijkinkoopbeleid) 28/11/2019 |
ICBR Rijksbreed overleg CISO’s |
ADR - loopt |
| Provincies | PM | PM |
CIBO: 10/9/2019, x/x/2020 |
PM |
| Uitvoeringsorganisaties | Manifestgroep, x/x/2020 |
IMO (directeuren inkoop uitvoeringsorganisaties Rijk) 6/2/2020 en daarna over een half jaar |
PM | PM |
| Waterschappen | PM | PM |
CERT-WM [RG+BK geweest?] |
PM |
| Alle | PM | PM | PM | PM |
Tabel: spreken over vervlechting, monitor & iv-meting [TER AANVULLING VOOR OBDO, OF IN OBDO]
- Dat de leden van het OBDO binnen hun cirkel van invloed opdracht geven aan de hiervoor verantwoordelijke afdelingen om het nalaten van het gebruik van de relevante open standaarden uit te leggen in het jaarverslag vanaf 2020;
- Dat de leden van het OBDO om het gebruik van standaarden te vergroten
- instemmen met het streefbeeld rond de bereikbaarheid van overheidsdienstverlening via IPv6;
- binnen hun cirkel van invloed opdracht geven om phishingmails te stoppen voordat het de eindgebruiker bereikt, door hun ICT-dienstverlener opdracht te geven een invoeringstraject in te zetten om een verscherpte DMARC policy te Hierbij kan desgewenst gebruik gemaakt worden van de voorbeeldopdracht.