VERSLAG Forum Standaardisatie 4 maart 2020
Content
Vergadering: Forum Standaardisatie 6 mei 2020
Agendapunt: 1B
Documentnummer: FS-20200506.1B
Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Rechten: CC0 publieke domein verklaring
|
Nummer: FS-20200605.1A Vergaderdatum: 4 maart 2020 Vergadertijd: 09:30 tot 12:00 uur Vergaderplaats: New Babylon Meeting Center, zaal 2.5 Anna van Buerenplein 29 Den Haag Contactpersoon: Joram Verspaget secretaris Bureau Forum Standaardisatie joram.verspaget@forumstandaardisatie.nl 06-5284 5592 Meelezer: Ludwig Oberendorff Versie: 1,0 Aanwezig: Larissa Zegveld (voorzitter), Thomas Faber (Ministerie van Economische Zaken en Klimaat, DDE), Cor Franke (Franke Interim Management), Gerard Hartsink (financiële sector), Hetty Lucassen (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, DDO), Joop van Lunteren (adviseur), Benno Overeinder (NLnet Labs), Friso Penninga (Geonovum), Theo Peters (VNG Realisatie), Ad Reuijl (Manifestgroep/CIP), Gerard Smits (Waterschapshuis), Anneke Spijker (Interprovinciaal Overleg), Michiel Steltman (DINL), Rob Verweij (RINIS) Afmeldingen: Rudi Bekkers (Technische Universiteit Eindhoven), Gijs Boudewijn (Betaalvereniging), Marc van Hilvoorde (namens CIO Rijk), Floor Jas (Surfnet), Geert Nederhorst (Logius, secretaris), Wim van Nunspeet (CBS), Harry Roumen (Belastingdienst) Namens bureau: Redouan Ahaloui (adviseur), Bertwin Altheer (adviseur communicatie), Désirée Castillo Gosker (adviseur), Robin Gelhard (adviseur), Ludwig Oberendorff (hoofd), Joram Verspaget (secretaris bureau, notulen) Han Zuidweg (adviseur), Te gast: Rogier de Boer, programmamanager Data Delen bij het Ministerie van Economische Zaken en Klimaat (agendapunt 04.) |
1. Opening, agenda, verslag
| Actie: Ter besluitvorming |
| Tijd: 09:30-09:35 uur |
|
1A Agenda 1B Verslag + resumé Forum Standaardisatie 11 december 2019 |
Larissa Zegveld heet alle aanwezigen welkom met een speciaal welkom voor Hetty Lucassen. Zij neemt zitting in het Forum namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Directie Digitale Overheid (DDO). Hetty Lucassen en de andere aanwezigen stellen zich aan elkaar voor.
Mededelingen
Larissa Zegveld merkt op dat de mogelijkheid wordt verkend van het benaderen van aanverwante organisaties voor lidmaatschap van het Forum (=actiepunt). Het onderwerp 'pas toe of leg uit' next level zal ook voor een komende vergadering worden geagendeerd (=actiepunt).
Anneke Spijker geeft aan dat ze namens het Interprovinciaal Overleg lid blijft van het Forum, maar thans werkzaam is bij het Waterschapshuis.
Michiel Steltman meldt dat het ECP in samenwerking met ministerie van EZK de Online Trust Coalitie (OTC) heeft opgericht. Het doel van de coalitie is het beschikbaar maken van een eenduidige, onderbouwde en efficiënte methode waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn en voldoen aan de relevante wet- en regelgeving. Achtergrond is het gegeven dat vrijwel elke organisatie of proces tegenwoordig impliciet of expliciet gebruik maakt van Clouddiensten. De OTC heeft aansluiting met de ontwikkelingen vanuit de EU en ENISA op het gebied van Cybersecurity en certificeringen.
Gestreefd wordt naar harmonisatie van standaarden op dit het gebied. Onder de ca. 25 partners zijn de ministeries van EZK en V&J, Microsoft, NLdigital, het Centrum Informatiebeveiliging en Privacybescherming (CIP), het Agentschap Telecom (AT), het Nationaal Cyber Security Centrum (NCSC), de Autoriteit Persoonsgegevens (AP), NEN en vele organisaties uit de private sector.
Beoogd moment van lancering van het manifest is het komend Nederland Digitaal event (datum nog niet bekend).
Informatiemail aan leden Forum
Na afloop van deze Forumvergadering ontvangen de Forum-leden een informatiemail
(=actiepunt) met daarin:
- De groepsfoto van het Forum Standaardisatie, gemaakt tijdens de studiereis van december 2019
- De link naar het artikel in iBestuur artikel van Michiel Steltman (Data Centraal)
- De Powerpoint-presentaties van deze vergadering
1A Agenda
1B Verslag + resumé Forum Standaardisatie 11 december 2019
Naar aanleiding van het vastgestelde werkplan Forum Standaardisatie 2020, actiepunt 5 Uitvoeren van verkenningen lid g. Welke rol het Forum moet innemen aan welke tafel en wanneer (adviesrol) inzake identity management en trust policies Cloud en API's, worden de volgende Forum-leden genoemd als actiehouders (=actiepunt):
Identitymanagement: Geert Nederhorst, Gerard Hartsink en Joop van Lunteren Cloud: Theo Peters en Michiel Steltman
API's: Theo Peters en Friso Penninga
4B OIDC
De maatschappelijke impact van OpenID Connect (OIDC) moet meer benadrukt worden. Zo moet het werkingsgebied beperkt kunnen worden indien bijvoorbeeld gebruiksdata bij private middelen van leveranciers of brokers beschikbaar zouden kunnen komen.
Deze opmerkingen worden als zodanig verwerkt in het verslag (=actiepunt).
4C API Design Rules
“Meegegeven wordt ook in de expertsessie expliciet te kijken naar de aard van de API Design Rules, aangezien ze mogelijk eerder best practices behelzen dan dat het een open standaard voor digitale gegevensuitwisseling is.”
Naar aanleiding van deze zinssnede wordt de volgende visie van Friso Penninga (ook namens Theo Peters) hierover toegevoegd en meegegeven aan de expertsessies: de best practices rond API's zijn opgenomen in de API Strategie, terwijl de API Design Rules zuiver normatief zijn. Relevant is ook hoe experts aankijken tegen de modulaire opzet van de API Design Rules. De keuze voor een dergelijke modulaire aanpak is overigens niet nieuw, maar komt internationaal terug bij onder andere OGC, waar het modulair standaardiseren nu volledig omarmd wordt. Drijvende kracht hierachter is de behoefte om beter implementeerbare standaarden te maken, die niet alleen zeggingskracht hebben voor zware toepassingen (die om een brede standaard vragen), maar die ook al bijdragen aan interoperabiliteit bij eenvoudigere toepassingen (waarvoor de kern van een standaard aan voldoet).
In hoeverre wordt voldaan aan de API Design Rules kan volledig (automatisch) worden gemeten. Deze opmerkingen worden als zodanig verwerkt in het verslag.
Arjan Widlak
Zijn naam staat per abuis verkeerd gespeld. Dit wordt gecorrigeerd in het verslag.
Actiepunten
De statussen van de actiepunten zullen voortaan worden vermeld in het overzicht.
Het Forum gaat inclusief de verwerking van bovenstaande opmerkingen akkoord met het verslag.
2. OBDO en Forum Standaardisatie
| Actie: Ter besluitvorming en ter kennisname |
| Tijd: 09:35-09:50 uur |
|
2 Oplegnotitie Ter bespreking en besluitvorming 2A Memorandum of Understanding 2B Eindrapportage werkplan Forum Standaardisatie 2019 2B1 - eindrapportage 2019 2B2 - werkplan Forum Standaardisatie 2019 Ter kennisname 2C Audit Dienst Rijk (ADR) 2D Uitbreiding opdracht BZK/DO i.o. - BFS 2E OBDO 23 januari 2020: Agendapunt Standaardisatie: werkplan Forum 2020 2F OBDO 18 maart 2020: Agendapunt Standaardisatie: Monitor 2019: de monitor zelf, de IV-eindmeting 2019, streefbeeldafspraak IPv6 en DMARC Policy + GWSW en OIDC |
2A Memorandum of Understanding
De passage "Het zijn van spreekbuis van het Forum in de achterban." wordt "Het waar mogelijk
zijn van spreekbuis van het Forum in de achterban.".
Een passage die de toegevoegde waarde van het Forum en de 'pas toe of leg uit'-lijst toelicht met betrekking tot inkoop en een betere dienstverlening wordt verwoord en toegevoegd.
Het Forum gaat inclusief verwerking van bovenstaande opmerkingen (=actiepunt) akkoord met het voorgelegde Memorandum of Understanding.
2B Eindrapportage werkplan Forum Standaardisatie 2019
Internationaal: wegens onderbezetting bij het bureau konden zaken op het gebied van internationale standaardisatie niet volledig worden opgepakt (actiepunten 12 en 40). Ingezet wordt op een volwaardige aanpak voor 2020 en verder, zodat deze punten alsnog worden gerealiseerd.
Het Forum gaat inclusief het oppakken van bovenstaande opmerking (=actiepunt) akkoord met de voorgelegde eindrapportage.
2C Audit Dienst Rijk (ADR)
2D Uitbreiding opdracht BZK/DO i.o. - BFS
2E OBDO 23 januari 2020: Agendapunt Standaardisatie: werkplan Forum 2020 2F OBDO 18 maart 2020: Agendapunt Standaardisatie: Monitor 2019: de monitor zelf, de IV-eindmeting 2019, streefbeeldafspraak IPv6 en DMARC Policy + GWSW en OIDC
Ter kennisname. Geen opmerkingen.
Ptolu Next Level
Theo Peters geeft inzake het traject Ptolu Next Level aan dat hierin een duidelijk onderscheid gemaakt worden tussen open standaarden die verplicht moeten worden uitgevraagd bij aanbestedingen en open standaarden die verplicht zijn te gebruiken (informatieveiligheidsstandaarden). Duidelijker moet worden gemaakt dat die laatste sowieso moeten worden toegepast (aanbesteding of niet) (=actiepunt).
3. Open Standaarden, lijsten
| Actie: Ter besluitvorming en ter kennisname |
| Tijd: 09:50-10:00 uur |
| Voorzitter: Anneke Spijker, namens de Stuurgroep open standaarden |
|
3 Oplegnotitie Ter besluitvorming 3A Evaluatie IPv4/IPv6 (adressering van ICT-systemen binnen een netwerk) Ter kennisname (in oplegnotitie) 3B Stand van zaken lopende procedures: API Design Rules (standaard die helpt om met REST API’s eenduidig applicaties en databronnen snel en effectief met elkaar te verbinden en eenvoudig informatie uit te wisselen) EPUB (standaard voor het publiceren van niet-reviseerbare elektronische documenten in eBook-formaat) OAuth 2.0 (autorisatiestandaard voor met name webbased applicaties die gegevens uitwisselen met behulp van API’s) CAA (standaard voor de controle over uitgifte van digitale certificaten) 3C Financiering beheer stichting RIONED en business case en open standaard GWSW (standaard voor eenduidige uitwisseling en hergebruik van gegevens in het stedelijk waterbeheer) |
3A Evaluatie IPv4/IPv6
In de vergadering van 12 juni 2019 besloot het Forum Standaardisatie om IPv4/IPv6 te evalueren in het kader van regulier onderhoud op de ‘pas toe of leg uit’-lijst. De evaluatie richtte zich op de volgende aspecten: toepassingsgebied, belang, beheer, gebruik, openstaande adoptiepunten en lopende ontwikkelingen.
Naar aanleiding van de evaluatie wordt het Forum onder andere opgeroepen om ervoor te zorgen dat zoveel mogelijk leveranciers en overheden de intentieverklaring IPv6 ondertekenen om de implementatie van IPv6 bij de Nederlandse overheid te versnellen. Feit is namelijk dat het aantal nog niet gebruikte IPv4-adressen op is en IPv4 alleen nog via digitale trucjes (bijvoorbeeld meerdere apparaten op één IPv4-adres) werkbaar blijft.
In aansluiting hierop moet er een duidelijke overheidsbrede streefbeeldafspraak gemaakt worden om alle overheidswebsites en e-maildomeinen van de overheid uiterlijk eind 2021 naast via IPv4 volledig bereikbaar te laten zijn via IPv6. Er zijn verschillende goede redenen om voor IPv6 te kiezen, juist ook als overheid: groei en innovatie van internet, directere en snellere dienstverlening en tegengaan van fraude. De streefbeeldspraak wordt ter accordering voorgelegd aan het Overheidsbrede Overleg Digitale Overheid (OBDO) van 18 maart. Na accordering door het OBDO zal halfjaarlijks de implementatievoortgang binnen de overheid worden gemeten en gerapporteerd aan het OBDO.
De leden van het Forum worden verder opgeroepen de eigen achterban te stimuleren bereikbaarheid via zowel IPv4 als IPv6 te realiseren. Intensivering van de gesprekken met de internetserviceproviders en netwerkoperators is hierbij nodig, omdat deze partijen de IPv6- adressen moeten uitgeven.
Zie verder het stuk Evaluatie IPv6 en IPv4 voor alle aanbevelingen op https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS-20200304.3A-Evaluatie-IPv6-en-IPv4.pdf
Het Forum stemt inclusief bovenstaande opmerkingen in met het voorstel om de standaard IPv4/IPv6 op de ‘pas toe of leg uit’-lijst te handhaven en opvolging aan de voorgestelde
aanbevelingen. Hierbij moet duidelijker naar voren komen dat voor deze 'pas toe of leg uit'- verplichting zowel IPv4 als IPv6 moet worden uitgevraagd.
Het bureau zal samen met Forum-leden de uitvoering van de aanbevelingen nader oppakken, onder andere bij het Platform Internetstandaarden (PLIS) (=actiepunt).
3B Stand van zaken lopende procedures
Ter kennisname. Geen opmerkingen.
3C Financiering beheer stichting RIONED en business case en open standaard
Aan deze punten is nader aandacht besteed naar aanleiding van de opmerkingen in de decembervergadering van het Forum. Daarover is teruggekoppeld. Het Forum en het bureau houden de vinger aan de pols hieromtrent.
4. Data delen
| Actie: Ter presentatie en bespreking |
| Tijd: 10:00-10:30 uur |
| Rogier de Boer, programmamanager Data Delen bij het Ministerie van Economische Zaken en Klimaat (EZK), geeft een toelichting op de visie van EZK op data delen en welke rol zij voor het Forum Standaardisatie daarbij zien. |
Rogier de Boer is aanwezig om de visie van zijn ministerie op data delen toe te lichten en welke rol zij voor het Forum daarbij zien. Uit een onderzoek in opdracht van EZK blijkt dat er veel belemmeringen zijn om data te delen. Standaardisatie is een van de belangrijke uitdagingen hierbij. Een coalitie is daarom nodig om dit soort vraagstukken in het bedrijfsleven op te kunnen lossen. Veel initiatieven zijn gestart om deze belemmeringen weg te nemen, maar iedereen lijkt het voor zichzelf uit te zoeken zonder onderlinge harmonisatie. Hiermee ontstaat een risico van wildgroei van dit soort initiatieven. Ook is er geen one size fits all-oplossing: elke sector heeft zijn eigen behoeften.
Het ministerie heeft daarom een data sharing coalitie opgezet die negen bouwblokken heeft geïdentificeerd die geharmoniseerd moeten worden (naar verwacht een langetermijnproces). Er zitten nu achttien partijen in en tien partijen gaan nog toetreden. Het bedrijfsleven bepaalt de scope en overheden worden er in tweede instantie gericht bij betrokken, ook omdat er links zijn met de overheid als het gaat om cross sectoral data delen. Overheden moeten vroeger of later aanhaken bij de desbetreffende initiatieven.
Gewerkt wordt naar een afsprakenstelsel voor zoveel mogelijk partijen. Behoefte is er ook aan een kennisgroep voor het beantwoorden van vragen die spelen, vooral nu het geheel in een conceptuele fase verkeert. Mogelijk dat het Forum Standaardisatie hierin een overlappende rol kan spelen, mede omdat het ervaring heeft met het organiseren van consultaties.
Naar aanleiding van de presentatie van De Boer geven Forum-leden hun reactie en adviezen.
Gerard Hartsink wijst op de Taskforce Interchamber Commerce. In de supply chain spelen soortgelijke vragen (connectivity of data, juridisdictions).
Rob Verweij noemt de Digital Innovation Hubs (DIHs) in Europe, waar het initiatief vanuit EZK bij zou kunnen aansluiten. In ieder geval is het aan te bevelen te zoeken naar punten waar overheid en bedrijfsleven elkaar raken (vgl. Digipoort).
Michiel Steltman geeft naar aanleiding van de sheet met de drie datadeelmodellen aan dat het gebruik van de beschreven modellen (één-op-één-afspraken, afsprakenstelsels via één centraal platform (bijv. Google) en afsprakenstelsels met meerdere platformen) veel door elkaar heen
worden gebruikt als het gaat om data delen. Gaia-X (een initiatief van verschillende Europese overheden om Cloud- en Edge-diensten van Europese aanbieders te verenigen in een data- infrastructuur met gemeenschappelijke regels, normen en technologieën) wordt nu door tientallen bedrijven verkend en begint steeds meer vorm te krijgen. Nederland staat hierbij nog te veel langs de zijlijn. Een consortium hiervoor is daarom nodig om te voorkomen dat iedereen voor zich werkt/blijft werken aan een oplossing.
Anneke Spijker noemt de meerdere informatiehuizen die in het kader van de Omgevingswet worden geschetst en opgeleverd. Het veelvoud hiervan leidt niet tot de harmonisatie waar behoefte aan is. Geadviseerd wordt daarom om vanuit het programma Data Delen hierover contact op te nemen met het ministerie van BZK.
Cor Franke geeft aan dat het initiatief van EZK zich niet makkelijk laat plaatsen, omdat het ambieert te komen tot boven-sectorale semantiek, identificatie en authenticatie. Dit is buitengewoon lastig buiten de eigen context. Daarnaast zijn er al initiatieven die hiervoor herbruikbaar zijn. Denk hierbij aan RINIS, Swift en de International Maritime Organization. Op Europees niveau bestaan het Electronic Exchange of Social Security Information (EESSI) en de EURES Job Mobility Portal, een webportaal waarop vacatures binnen de EU-lidstaten plus Zwitserland, het Verenigd Koninkrijk, IJsland, Liechtenstein en Noorwegen kunnen worden gezocht.
Theo Peters verwijst naar NL Digibeter en de ambitie om te komen tot een toekomstbeeld voor het stelsel van basisregistraties.
Hetty Lucassen bevestigt dat er links liggen naar NL Digibeter en dat verkend moet worden om welke data het uiteindelijk zal moeten gaan.
Afgesproken wordt om een expertsessie te organiseren voor nadere verdieping over dit onderwerp: welke partijen zijn noodzakelijk, wat moet er gebeuren door welke organisaties, wat ligt reeds voorhanden, waar ligt de urgentie en heeft het Forum een rol hierin (en zo ja, welke)? Het initiatief hiervoor ligt bij BZK en EZK. Het bureau zal hierbij faciliteren, onder andere om te bepalen welke partijen nodig zijn voor de sessie. Overwogen kan worden het Gemeenschappelijke Afspraken Berichten (GAB), het samenwerkingsverband dat werkt aan de verzameling afspraken voor harmonisatie van veelgebruikte berichtstandaarden en berichtspecificaties van de overheid, hierbij te betrekken (=actiepunt).
5. Open standaarden, adoptie
| Tijd: 10:45 tot 11:45 uur |
| Voorzitter: Anneke Spijker, namens de Stuurgroep open standaarden |
|
5 Oplegnotitie Ter besluitvorming en bespreking 5A Meting informatieveiligheidsstandaarden 5B Status ondersteuning DNSSEC en DANE op Microsoft Office365 Monitor open standaarden 5C Duiding en maatregelen monitor open standaarden 2019 5D Agendering IV-meting en Monitor door Forum-leden 5E Opdracht monitor open standaarden 2020 5F Terugkoppeling gesprek over adoptie drivers met professor Michel van Eeten van de TU Delft, die onderzoek doet naar incentives voor internet security 5G Sponsorschap door Forum-leden Ter kennisname 5H Open documentstandaarden 5I Internet- en beveiligingsstandaarden 5J Onderwijsstandaarden 5K Bouwstandaarden 5L Aquo-standaard (standaard voor uitwisseling gegevens over beheer oppervlakte- en grondwater en zuivering afvalwater) |
5A Meting informatieveiligheidsstandaarden
Robin Gelhard (adviseur bureau Forum Standaardisatie) geeft middels een presentatie een toelichting op de resultaten van de laatste meting naar het gebruik van de informatieveiligheidsstandaarden (iv-standaarden) conform de streefbeeldafspraken (zie ook https://www.forumstandaardisatie.nl/thema/meting-informatieveiligheidstandaarden-en-adoptieafspraken)
Op dit moment is de afspraak dat alle websites van de overheid beveiligd moeten zijn met de standaarden HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phishing en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phishing van mail actief wordt bestreden.
Het Forum Standaardisatie meet twee keer per jaar het gebruik van en instellingen op bovenstaande iv-standaarden door de overheid via internet.nl. Uit de laatste meting (maart 2020) blijkt dat de toepassingsgraad van iv-standaarden blijft toenemen maar het groeitempo afvlakt.
Een significant deel van de gemeten websites en vooral e-mailservers voldoet nog niet (volledig) aan de afgesproken standaarden. Met name gelet op de achterblijvende mailstandaarden waarschuwt het Forum Standaardisatie voor risico op schade door phishing/spoofing, afluisteren en manipulatie van e-mailverkeer van de overheid.
Het volledige rapport van de meting van maart 2020 is terug te lezen op https://www.forumstandaardisatie.nl/sites/bfs/files/rapport-meting-informatieveiligheidstandaarden-maart-2020.pdf
Monitor en IV-meting
Gerard Smits meldt dat het Waterschapshuis namens de waterschappen een bericht stuurt naar aanleiding van het verschijnen van de IV-meting en de Monitor open standaarden 2019 in het OBDO. Het bericht zal door het bureau worden opgevraagd (=actiepunt).
In de communicatie rond de Monitor en de IV-meting moet duidelijk naar voren komen wat de risico's zijn als de standaarden niet worden toegepast en welke maatregelen hiervoor nodig zijn. Informatieveiligheidsstandaarden als DMARC (standaard voor bescherming tegen e-mailphishing) zeggen bestuurders die niet technisch onderlegd zijn niet zoveel. Een risico-inventarisatie kan hen helpen de nut en noodzaak van implementatie van open (iv-)standaarden beter te begrijpen.
Bijvoorbeeld: "Als u dit wilt voorkomen, dan moet u dit…", aangevuld met een factsheet. Rob Verweij biedt aan nader af te stemmen over de verwoording (=actiepunt).
Aanvullend moet tegemoet worden gekomen aan het beeld dat bestaat rond de implementatie van DMARC dat het aanzetten van deze standaard leidt tot het niet-aankomen van bonafide e-mail.
ICT-dienstverleners als SSC-ICT zijn hierbij sleutelpartijen, omdat zij de parameters op dit soort standaarden instellen en beheren en een zorgvuldig traject kunnen instellen, waarbij eerst de bonafide mailstromen in kaart worden gebracht. De DMARC-standaard biedt daar ook een mogelijkheid voor.
5B Status ondersteuning DNSSEC en DANE op Microsoft Office365
Gelet op de streefbeeldafspraak voor DANE die eind 2019 is afgelopen en het achterliggende doel van vertrouwelijkheid van e-mailverkeer van de overheid, is het van groot belang dat er spoedig duidelijkheid komt over de ondersteuning van DANE op Microsoft Office 365. Het Forum wordt op de hoogte gehouden van de ontwikkelingen daaromtrent.
Monitor open standaarden
5C Duiding en maatregelen monitor open standaarden 2019
Ter kennisname. Geen opmerkingen.
5D Agendering IV-meting en Monitor door Forum-leden
Ter kennisname. Een tabel met het overzicht van de gremia waar de IV-meting en de Monitor kan worden geagendeerd wordt gemaild aan de Forum-leden met het verzoek de tabel aan te vullen (=actiepunt).
5E Opdracht monitor open standaarden 2020
Het Forum gaat zonder verder opmerkingen akkoord met het voorstel.
5F Terugkoppeling gesprek over adoptie drivers met professor Michel van Eeten van de TU Delft, die onderzoek doet naar incentives voor internet security
Cor Franke licht het bezoek van de Forum-delegatie toe aan hoogleraar Governance of Cybersecurity Michel van Eeten van de TU Delft op 13 januari 2020. Bij dit gesprek waren de Forum-leden Cor Franke en Michiel Steltman aanwezig. Gerard Hartsink was verhinderd, maar had schriftelijk input aangeleverd. Met het gesprek is invulling gegeven aan het desbetreffende actiepunt uit de Forum-vergadering van december 2019.
Het doel van het gesprek was om te leren van de ervaringen en inzichten van Van Eeten en zijn team met de adoptie van (informatieveiligheids)standaarden door desbetreffende organisaties. Het Forum Standaardisatie kan op basis hiervan eventueel de strategie voor adoptie van de eigen standaarden verder aanscherpen.
Van Eeten en zijn team hebben onderzoek gedaan naar incentives voor internet security. De volgende mechanismen (aflopend van meest geschikt tot minst geschikt) kwamen naar voren die helpen bij het adopteren van de standaarden:
- Peer pressure: meten (methodiek van tevoren bekend gemaakt) en publiceren (besloten) in de eigen gemeenschap leidt tot 'enforced self regulation'. Organisaties besluiten vervolgens zelf in actie te komen. (+)
- Metingen geanonimiseerd (+)
- Leveranciers product(en) aansprakelijk (+/-)
- Leveranciers aanspreken op hun (+/-)
- Ongeschikte producten (-)
- Sociale normen (-)
Van Eeten en zijn team hebben weinig ervaringen opgedaan met de macht van de markt, die zich vooral lijkt te richten op vrijwillige implementatie en tevreden klanten. Al met al is het een lastig onderwerp, waarbij vooral het 'first mover disadvantage' parten speelt.
Samengevat wordt geadviseerd je vooral te richten op meten en het weloverwogen publiceren van de resultaten. Verricht gerichte actie en stimuleer goed gedrag. Visualiseer het nut en de noodzaak en help achterblijvers die dat nodig hebben.
Acties die hierbij nuttig kunnen zijn (sociale normering, peer pressure en naming and shaming) komen aan bod in Ptolu Next Level. Belangrijk hierbij is dat voor betrokkenen de spelregels niet tussentijds mogen worden gewijzigd. Leg uits mogen nog steeds en kunnen ook nog steeds worden toegepast, mits legitiem. Mogelijke risico's bij het toepassen van leg uits moeten wel benoemd worden.
Zie ook:
Professor doctor M.J.G. (Michel) van Eeten, website TU Delft:
5G Sponsorschap door Forum-leden
De Forum-leden zijn sponsor van een of meerdere Forum-onderwerpen, zoals weergegeven in bijgaand overzicht. De Forum-leden worden gevraagd een update te geven over hun sponsorschap. Deze kunnen ook per mail worden doorgegeven aan Joram Verspaget, de secretaris van het bureau Forum Standaardisatie (=actiepunt).
5H Open documentstandaarden
5I Internet- en beveiligingsstandaarden 5J Onderwijsstandaarden
5K Bouwstandaarden
5L Aquo-standaard (standaard voor uitwisseling gegevens over beheer oppervlakte- en grondwater en zuivering afvalwater)
Ter kennisname voorgelegd. Geen opmerkingen.
6. Voortgang en communicatie
| Actie: Ter kennisname en besluitvorming |
| Tijd: 11:45 tot 11:55 uur |
|
6A Voortgangsnotitie: Wet digitale overheid aangenomen door Tweede Kamer 6B Communicatieplan Forum Standaardisatie 2020 |
6A Voortgangsnotitie: Wet digitale overheid aangenomen door Tweede Kamer
Op 18 februari heeft de Tweede Kamer het wetsvoorstel digitale overheid aangenomen. In de bijlagen is het oorspronkelijke wetsvoorstel met de relevante passages over standaardisatie in het geel gearceerd.
Een nadere toelichting op de uitvoering van artikel 3 lid a. en lid c. wordt gegeven in een volgende Forum-vergadering (=actiepunt).
- Bij algemene maatregel van bestuur wordt bepaald:
- het functionele toepassingsbereik van een aangewezen standaard;
- de datum waarop de verplichting tot toepassing van een aangewezen standaard ingaat.
6B Communicatieplan Forum Standaardisatie 2020
Er is een concept communicatieplan opgesteld om de communicatie vanuit Forum Standaardisatie richting te geven in 2020. Het voorstel is gemaakt op basis van het vastgestelde werkplan en beschrijft hoe de communicatie kan bijdragen aan het verhogen van de naamsbekendheid van Forum Standaardisatie en de ‘pas toe of leg uit’-lijst. Het Forum wordt gevraagd in te stemmen met het plan.
Bertwin Altheer (adviseur communicatie) geeft een toelichting op het plan. Naast de reguliere communicatie via onze website, Twitter-kanaal en LinkedIn-pagina wordt met communicatie ook ingezet op belangrijke projecten als de werkconferentie standaardisatie, de streefbeeldafspraken IPv6, de Monitor open standaarden en IV-metingen en samenwerkingsprojecten waarin het Forum partnerschap toont. Met 'branding' maken we onze berichten krachtiger en meer memorabel. De focus bij dit alles ligt daarbij op een vakkundige en beknopte website, het ook inzetten op netwerken van gelieerde organisaties via sociale media, het uitreiken van oorkondes aan organisaties die een mijlpaal hebben bereikt (bijv. uitstekend beheer, plaatsing op de ptolu-lijst), het inkopen van advertorials en het beter benutten van relatiegeschenken en drukwerk. Bij de doorontwikkeling van middelen kijken we hoe we ze aantrekkelijker kunnen maken, bijv. door lange stukken samen te vatten in visuals/infographics/fact sheets.
In aanvulling hierop vraagt het Forum om een aantal concrete praktijkvoorbeelden voor bestuurders waarin wordt toegelicht wat de risico's zijn voor bestuursorganen als deze de desbetreffende open standaarden niet implementeren en wat de voordelen zijn als deze standaarden wél worden geïmplementeerd ('what's in it for me?'). Speel hierbij in op de actualiteit (=actiepunt).
Met bovenstaande opmerkingen stemt het Forum in met het communicatieplan.
7. Rondvraag
| Actie: Mondeling |
| Tijd: 11:55-12:00 uur |
Kwetsbaarheid Citrix-servers
Vele Nederlandse servers, waaronder die van enkele ministeries, bleken kwetsbaar te zijn voor hackers door een beveiligingslek in producten van het Amerikaanse bedrijf Citrix. Hierdoor schakelde enkele ministeries de servers uit totdat de lekken werden gedicht met een patch.
Mogelijk kan het Forum een rol spelen in het opstellen van veiligheidseisen waaraan server based cruciale diensten van de overheid moeten voldoen. Hoe dient te worden omgegaan met de hectiek die bij de ontdekking van een lek ontstaat?
Blockchain
Gerard Hartsink meldt dat de actieve inzet van overheidsorganisaties achteruit gaat. Hierbij gaat het met name om de inzet van experts uit de overheid op dit onderwerp. Dit heeft gevolgen voor de ontwikkelingen van blockchain in Nederland. Financiën en subsidies worden wel ter beschikking gesteld (onder ander door het ministerie van EZK), maar het is aan partijen als de Dutch Blockchain Coalition om de ontwikkelingen verder te brengen.
Datum volgende Forum-vergadering
Op verzoek zal het bureau inventariseren of de geplande Forum-vergadering van 6 mei op een latere datum kan plaatsvinden die niet in een (mogelijke) schoolvakantie valt (=actiepunt).
Internetconsultatie.nl
Redouan Ahaloui, adviseur standaardisatie, meldt dat het Forum Standaardisatie is aangesloten op internetconsultatie.nl. Alle openbare consultaties met betrekking tot mutaties van de 'pas toe of leg uit'-lijst en de lijst aanbevolen standaarden zullen via dit platform worden uitgezet.
8. Sluiting
| Actie: Mondeling |
| Tijd: 12:00 uur |
De voorzitter sluit de vergadering om 12:00 uur.
Actiepunten
| Nummer | Actiepunt | Wie | Per datum | Status |
| 43 | Inventarisatie animo alternatieve datum Forum-vergadering 6 mei 2020. | Joram | 4 maart 2020 | Gedaan. |
| 42 | Concrete praktijkvoorbeelden voor bestuurders over risico's niet- implementering en voordelen implementering open standaarden. | Bertwin | 4 maart 2020 | Afstemming vindt plaats. |
| 41 | Nadere toelichting op wet DO over artikel 3 lid a en c in een volgende vergadering. | Désirée | 4 maart 2020 | Volgt. |
| 40 | Afstemming met Rob Verweij over communicatie rond Monitor en IV- standaarden. | Robin | 4 maart 2020 | Afstemming vindt plaats. |
| 39 | Opvragen bericht Waterschappen IV-meting en Monitor open standaarden 2019. | BFS | 4 maart 2020 | Gedaan. |
| 38 | Organiseren expertsessie i.h.k.v. Data delen. |
EZK, BZK (BFS faciliteert (Robin)) |
4 maart 2020 | Afstemming vindt plaats. |
| 37 | Vinger aan de pols houden financiering beheer RIONED. | BFS | 4 maart 2020 | Doorlopend. |
| 36 | Oppakken aanbevelingen analyse IPv4 en IPv6. | Bart/Robin | 4 maart 2020 | Inventarisatie aanpak opgepakt. |
| 35 | Voorleggen streefbeeldafspraak IPv6 aan OBDO. | Joram/Robin | 4 maart 2020 | afgerond |
| 34 | Inzake het traject Ptolu Next Level een duidelijk onderscheid maken tussen open standaarden die verplicht moeten worden uitgevraagd bij aanbestedingen en open standaarden die verplicht zijn te gebruiken (informatieveiligheidsstandaarden). Duidelijker moet worden gemaakt dat die laatste sowieso moeten worden toegepast (aanbesteding of niet) | Redouan | 4 maart 2020 | loopt |
| 33 | Inzetten op een volwaardige aanpak van Internationaal in 2020. |
BFS (Larissa, Ludwig) |
4 maart 2020 | loopt |
| 32 | Aanpassen Memorandum of Understanding. | Ludwig | 4 maart 2020 | Gedaan. |
| 31 | Agenderen van Ptolu Next Level voor een volgende vergadering. | Redouan | 4 maart 2020 | Gedaan. |
| 30 | Status actiepunten vermelden in verslag. | Joram | 4 maart 2020 | verwerkt |
| 29 | Aanpassen verslag vergadering december inzake API Design Rules, naam Widlak en OIDC | Joram | 4 maart 2020 | Gedaan. |
| 28 | Forumleden geven aanvullingen/correcties door op sponsorschap lijst. | Forum | doorlopend | Doorlopend. |
| 27 | Leveranciers (meer) betrekken in procedures intake standaarden en de meerwaarde voor hen duidelijk te maken | BFS |
11 december 2019 |
Wordt opgepakt. |
| 26 | Verkennen lidmaatschap vertegenwoordiger aanverwante organisaties en bedrijfsleven in Forum ter bespreking in een volgende Forum-vergadering | Larissa+BFS |
11 december 2019 4 maart 2020 |
Verkenningen gestart. |
| 24 |
Werkplan 2020 - Verkennen waar reeds belegde dossiers + daarop aansluiten en witte vlekken in beeld ter bespreking in Forum (Rob) - Welke ketenpartners kunnen het Forum helpen (Theo) - Keuze voor onderwerpen die veel partijen raken (Friso) |
BFS+FS |
11 december 2019 |
Gedaan. |
| 23 | Aandacht wordt gevraagd voor de ontsluiting van wetgeving in PDF- en HTML-formaat in relatie tot Digitoegankelijkheid en hoe de ontwikkeling naar primair HTML moet worden gestimuleerd | BFS | 9 oktober 2019 | Doorlopend. |
| 16 | Onderzoeken in hoeverre de steekproeven documentencrawler representatief zijn te maken. | BFS | 12 juni 2019 | Loopt. |
| 17 | Toelichten voortgang plan van aanpak documentstandaarden in een volgende Forum-vergadering. | BFS | 12 juni 2019 | Loopt. |
| 18 | Overbrengen wensen CTO Raad voor toepassen ptolu- en iv- standaarden bij bezoek aan CIO- raad. | BFS | 12 juni 2019 | Loopt. |
| 20 | Departementen attenderen op Rijksinstructie en Rijksbegrotings- voorschriften inzake 'leg uit' bij ICT-aanbestedingen. | BFS/Forum | 12 juni 2019 | Gedaan. |
| 15a | Uitnodigen Tweede Kamer voor toelichting over aanpak sterke verbetering webdomein- naambeheer en toepassing iv- standaarden in een volgende Forum-vergadering. | BFS | 24 april 2019 | Loopt. |
| 3 |
In een volgende Monitor wordt ook de levenscyclus van een standaard meegenomen, onder andere over wat er te zeggen en te leren is over de tijdspanne waarin adoptie begint aan te trekken. |
BFS |
12 december 2018 |
Is belegd in de opdracht voor de Monitor 2019. |
| 8 | PDF/UA: eind 2019 evaluatie ondersteuning PDF/UA voorleggen aan Forum. | BFS |
12 december 2018 |
Gedaan. |