Oplegnotitie Lijsten Open Standaarden
Content
Agendapunt 3 Open standaarden, lijsten
Vergadering: Forum Standaardisatie 6 mei 2020
Agendapunt: 3
Documentnummer: FS-20200506.3
Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Rechten: CC0 publieke domein verklaring
Aan: Forum Standaardisatie
Van: Stuurgroep Open Standaarden
Datum: 06-05-2020
Versie: 1.1
Bijlagen: 3A. Forumadvies REST API Design Rules
3B Forumadvies NL GOV Assurance profile for OAuth 2.0 3C Forumadvies CAA
3C Forumadvies CAA
3D Forumadvies EPUB 3.2
Opsteller: Redouan Ahaloui
Meelezers: Oplegnotitie (Annemieke Toersen)
Forumadviezen: REST API Design Rules en NL GOV Assurance profile for OAuth 2.0 (Han Zuidweg),
CAA (Robin Gelhard),
EPUB 3.2 (Han Zuidweg)
Ter besluitvorming
U wordt gevraagd om in te stemmen met de volgende adviezen:
- A. Vervanging van versie 0 van EPUB door versie 3.2 (een standaard voor het publiceren van niet-reviseerbare elektronische documenten in e-book formaat, geoptimaliseerd voor gebruik op -maar niet beperkt tot- draagbare apparaten zoals e-readers, tablets en smartphones) op de lijst aanbevolen standaarden.
- B. Plaatsing van CAA (voor extra controle op uitgifte van digitale certificaten) op de lijst aanbevolen standaarden.
- C. Plaatsing van NL GOV Assurance profile for OAuth 0 (een autorisatiestandaard voor met name webbased applicaties die gegevens uitwisselen met behulp van API’s, het profiel bevat bindende afspraken over het gebruik van OAuth 2.0) op de ‘pas toe of leg uit’-lijst.
- D. Plaatsing van REST API Design Rules (standaard die helpt om met REST API’s eenduidig applicaties en databronnen snel en effectief met elkaar te verbinden en eenvoudig informatie uit te wisselen) op de ‘pas toe of leg uit’-lijst.
- E. Onderzoek naar de aard van de lijst van open standaarden
Ter kennisname
- F. Voortgang internetconsulatie
- G. Stand van zaken rond lopende procedures
Ter besluitvorming
Ad A. REST API Design Rules
[Bijlage A]
Over de standaard en achtergrond
De standaard REST API Design Rules schrijft een set van regels op het gebied van naamgeving en het gebruik van parameters voor, waarmee de hele overheid op eenduidige manier REST API’s aanbiedt. Hiermee wordt bereikt dat de overheid op dit vlak voorspelbaar is, en ontwikkelaars makkelijk aan de slag kunnen, API’s kunnen consumeren en combineren. En zij niet geconfronteerd worden met verschillende, dus niet samenhangende, manieren waarop API’s door de overheid worden aangeboden. Overheden die API’s aanbieden, worden ontzorgd voor het generieke aspect met het aanbieden van API’s. Ze kunnen zich richten op de aspecten van API ontwerp waar hun data, informatie en functionaliteiten toegevoegde waarde bieden. API’s worden gebruikt voor diverse koppelingen tussen overheden onderling, overheden en bedrijven en indirect tussen overheden en burgers, bijvoorbeeld via mobiele apps en webapps die aangeboden worden door bedrijven of overheden zelf. De aangeboden standaard heeft daarmee een generiek toepassingsgebied.
Hoe is het proces verlopen?
REST API Design Rules is eind oktober 2019 aangemeld voor plaatsing op de ‘pas toe of leg uit’- lijst door Geonovum namens het Kennisplatform API’s. Op basis van de intake heeft het Forum Standaardisatie op 11 december 2019 besloten de aanmelding in procedure te nemen. Hierop volgend is een expertgroep samengesteld en een voorzitter aangesteld. Op 30 januari 2020 heeft een expertonderzoek plaatsgevonden waaraan JustID, Vereniging van Nederlandse Gemeenten (VNG), Kamer van Koophandel (KvK), Open State Foundation, gemeente Delft, Nictiz, Logius, gemeente Haarlem, Pink Roccade Local Government, VNG Realisatie (VNG/R), Centric, KOOP, gemeente Den Haag, Centraal Bureau voor Statistiek (CBS), Kennisnet, Geonovum, RvIG en BKWI deelnamen. Enable U en NLnet Labs hebben voorafgaand aan de bijeenkomst een reactie gegeven. Op basis van de expertbijeenkomst heeft de procedurebegeleider een expertadvies opgesteld dat van 21 februari 2020 tot en met 20 maart 2020 ter openbare consultatie is aangeboden op de online consultatie website van de overheid, internetconsultatie.nl. Tijdens de openbare consultatie zijn in totaal elf reacties binnen gekomen. Zeven reacties kwamen vanuit (semi) overheidspartijen, een reactie van een leverancier en drie reacties van particulieren.
Advies en gevraagd besluit
De ontwikkeling en het beheer van REST API Design Rules is op een open, onafhankelijke, toegankelijke, inzichtelijke, zorgvuldige en duurzame wijze ingericht. Het beheer ligt nu nog bij het Kennisplatform API’s. Logius heeft toegezegd het beheer over te nemen, wanneer de standaard op de ‘pas toe of leg uit’-lijst wordt opgenomen. Uit de expertbijeenkomst blijkt dat REST API Design Rules voldoende toegevoegde waarde heeft als standaard. Door toepassing van REST API Design Rules krijgen API’s een uniformere en voorspelbaardere structuur, waardoor ontwikkelaars er gemakkelijker en sneller mee kunnen werken. De expertbijeenkomst laat voldoende draagvlak voor REST API Design Rules zien. Initiatieven zoals Common Ground, Haal Centraal, developer.overheid.nl en het Kennisplatform API’s geven aan grote behoefte te hebben aan de standaard. De Digitaal Stelsel Omgevingswet (DSO) staat achter de standaard. Het ministerie van Binnenlandse zaken en Koninkrijksrelaties (BZK) draagt bij door de ontwikkeling en adoptie van de standaard mede te financieren zo ook straks het beheer. Een overtuigende meerderheid (17 van de 20) van de experts stemt ermee in dat opname op de lijst nodig is om verder gebruik te stimuleren. De experts vragen daarbij wel aandacht voor de volwassenheid van de standaard, maar zijn het eens dat REST API Design Rules nu verplicht moet worden om wildgroei van REST API’s te voorkomen. De experts hebben uitgebreid gesproken over de vraag of de REST API Design Rules daadwerkelijk een standaard is of meer gezien moet worden als een verzameling beste practices. De experts waren het erover eens dat: 1) REST API Design Rules de interoperabiliteit van de digitale overheid bevorderen, 2) REST API Design Rules eenduidig geïmplementeerd en uitgevraagd kunnen worden en 3) de toepassing van REST API Design Rules kwantificeerbaar is. Ook op basis hiervan concludeerden de experts dat REST API Design Rules te kwalificeren is als een standaard.
Geadviseerd wordt om REST API Design Rules op de ‘pas toe of leg uit’-lijst te plaatsen. Het functioneel toepassingsgebied is: REST API Design Rules moet worden toegepast bij het aanbieden van REST API’s ten behoeve van het ontsluiten van overheidsinformatie en/of functionaliteit.
Ad B. NL GOV Assurance profile for OAuth 2.0
[Bijlage B]
Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies aan het OBDO:
Het op de ‘pas toe of leg uit’-lijst plaatsen van NL GOV Assurance profile for OAuth 2.0, een autorisatiestandaard voor met name webbased applicaties die gegevens uitwisselen met behulp van API’s, het profiel bevat bindende afspraken over het gebruik van OAuth 2.0.
Over de standaard en achtergrond
OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST API’s. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 is een generieke standaard die meestal een nog aanvullend profiel vereist voor de toepassing in specifieke domeinen. Zo’n profiel is een verzameling aanvullende afspraken over het gebruik van OAuth 2.0 en kan gezien worden als een ‘standaard op een standaard’. Forum Standaardisatie heeft de standaard OAuth 2.0 in 2016 getoetst voor opname op de ‘pas toe of leg uit’-lijst, waarbij een volledig expertonderzoek is uitgevoerd en het expertadvies ter openbare consultatie is aangeboden. Het resulterende Forumadvies OAuth 2.0 van april 2017 luidde dat eerst een Nederlands overheidsprofiel moet worden ontwikkeld voordat OAuth kan worden opgenomen op de ‘pas toe of leg uit’-lijst.
Aansluitend heeft het Kennisplatform API’s gewerkt aan een Nederlands overheidsprofiel voor OAUth 2.0, dat op 15 juli 2019 werd gepubliceerd als ‘NL GOV Assurance profile for OAuth 2.0’. NL GOV Assurance profile for OAuth 2.0 bevat bindende afspraken over het gebruik van OAuth bij de Nederlandse overheid en moet beheerd worden volgens de criteria voor open standaarden.
Daarom moet dit profiel gezien worden als een standaard op zichzelf en heeft het een korte toetsingsprocedure doorlopen waarvan een openbare consultatie het voornaamste deel uitmaakte.
Hoe is het proces verlopen?
Om te komen tot een Forumadvies is een verlengde toetsingsprocedure uitgevoerd. Deze bestond uit twee delen:
- In 2016 is voor de standaard OAuth 2.0 de gebruikelijke toetsingsprocedure uitgevoerd. Deze bestond uit een expertonderzoek, een openbare consultatie en een Forumadvies. Het Forumadvies stelde dat OAuth 0 voldoet aan de criteria om op de ‘pas toe of leg uit’-lijst geplaatst te worden, mits er eerst een toepassingsprofiel wordt gespecificeerd voor de Nederlandse overheid.
- Het Kennisplatform APIs heeft tussen november 2017 en juli 2019 gewerkt aan het NL GOV Assurance profile for OAuth 2.0. Dit gebeurde in een open proces waarvan een openbare technische consultatie deel Bij de specificatie van NL GOV Assurance profile for OAuth 2.0 was een brede groep belanghebbenden betrokken, waaronder Geonovum, Logius, VNG Realisatie, Kadaster, RvIG, Rijkswaterstaat, Kennisnet, DUO, Justid, de Waarderingskamer, de gemeente Haarlem, Rijkswaterstaat, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het ministerie van Economische Zaken en Klimaat en Enable-U.
Aansluitend heeft het Forum Standaardisatie voor NL GOV Assurance profile for OAuth 2.0 een verkorte toetsingsprocedure uitgevoerd, waarbij de standaard van 21 februari tot en met 20 maart 2020 nogmaals ter open consultatie is aangeboden op een breder platform (internetconsultatie.nl). Tijdens de openbare consultatie zijn in totaal tien reacties binnen gekomen. Zeven reacties kwamen vanuit (semi) overheidspartijen, een reactie van een politieke partij en een reactie van een particulier.
In feite zijn er twee toetsingsprocedures uitgevoerd: één voor OAuth 2.0 en één voor NL GOV Assurance profile for OAuth 2.0. In de toetsingsprocedure van NL GOV Assurance profile for OAuth
2.0 is het expertonderzoek vervangen door de openbare technische consultatie van NL GOV Assurance profile for OAuth 2.0 door het Kennisplatform APIs. Bij de specificatie van NL GOV Assurance profile for OAuth 2.0 was een groep experts betrokken van uiteenlopende overheidsorganisatie waaronder de Rijksoverheid, uitvoeringsorganisaties, gemeenten en een waterschap. Het specificatieproces stond bovendien open voor alle andere belanghebbenden. Om maximale terugkoppeling te krijgen heeft het Kennisplatform APIs de NL GOV Assurance profile for OAuth 2.0 begin 2019 ter openbare consultatie gepubliceerd en aangepast op basis van de ontvangen reacties.
Aangezien bij de specificatie en technische consultatie al een kritieke massa van experts uit de breedte van de overheid betrokken waren, en alle belanghebbende de kans hebben gehad om bij te dragen, had het voor Forum Standaardisatie weinig meerwaarde om een aparte expertbijeenkomst te organiseren. De reacties op Github komen in de plaats van het expertadvies en paragraaf 5.3 van het Forumadvies vat samen hoe NL GOV Assurance profile for OAuth 2.0 voldoet aan de vier criteria voor opname op de ‘pas toe of leg uit’-lijst.
Tegelijk met de NL GOV Assurance profile for OAuth 2.0 heeft het Kennisplatform APIs ook de standaard REST API Resign Rules aangemeld voor plaatsing op de ‘pas toe of leg uit’-lijst.
Kennisplatform APIs heeft de twee standaarden REST API Design Rules en NL GOV Assurance profile for OAuth 2.0 tegelijk met elkaar ontwikkeld waardoor de twee standaarden een sterk verband hebben. Hoewel de huidige versie van REST API Design Rules niet verwijst naar NL GOV Assurance profile for OAuth 2.0, heeft Kennisplatform APIs daarnaast REST API Design RulesExtensions gespecificeerd die wel refereren naar OAuth 2.0 met NL GOV Assurance profile for OAuth 2.0 als verplichte veiligheidstandaard. Het ligt in de verwachting dat een deel van de REST API Design Rules Extensions —waaronder de referentie naar OAuth 2.0 met NL GOV Assurance profile for OAuth 2.0— in de toekomst deel gaat uitmaken van de REST API Design Rules.
Advies en gevraagd besluit
De ontwikkeling en het beheer van NL GOV Assurance profile for OAuth 2.0 is op een open, onafhankelijke, toegankelijke, inzichtelijke, zorgvuldige en duurzame wijze ingericht. Het beheer ligt nu nog bij het Kennisplatform API’s. Logius heeft toegezegd het beheer over te nemen, wanneer de standaard op de ‘pas toe of leg uit’-lijst wordt opgenomen. OAuth 2.0 zorgt ervoor dat een aanbieder van een online dienst z’n gebruikers toegang kan geven aan online diensten van derden zonder persoonlijke gegevens zoals gebruikersnaam en wachtwoord aan de gebruiker te hoeven vragen en bewaren. Daarmee neemt het risico van misbruik van identiteitsgegevens af. In het Forumadvies OAuth 2.0 van april 2017 onderkende Forum Standaardisatie de noodzaak om een profiel te specificeren voor de toepassing van OAuth 2.0 op API’s van de Nederlandse overheid. NL GOV Assurance profile for OAuth 2.0 voorziet in deze behoefte. Het Forumadvies OAuth 2.0 stelt vast dat er voldoende draagvlak bestaat voor de verplichting van OAuth 2.0 voor de beveiliging van REST API’s. Aan de specificatie van NL GOV Assurance profile for OAuth 2.0 heeft een brede groep overheidsorganisaties bijgedragen. Tevens liet de expertbijeenkomst voor de REST API Design Rules in januari 2020 zien dat er breed draagvlak bestaat voor OAuth 2.0 en NL GOV Assurance profile for OAuth 2.0 als verplicht onderdeel van REST API Design Rules. In het Forumadvies OAuth 2.0 van april 2017 stelde Forum Standaardisatie vast dat een ‘pas toe of leg uit’- verplichting op zijn plaats is voor OAuth 2.0, mits er een profiel beschikbaar is voor de Nederlandse overheid. NL GOV Assurance profile for OAuth 2.0 voorziet in deze voorwaarde.
Geadviseerd wordt om NL GOV Assurance profile for OAuth 2.0 op de ‘pas toe of leg uit’-lijst te plaatsen. Het functioneel toepassingsgebied volgens standaardsyntaxis die Forum Standaardisatie sinds 2017 hanteert is: “NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben”.
Ad C. CAA
Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies aan het OBDO:
Het plaatsen op de lijst aanbevolen standaarden van CAA, voor extra controle op uitgifte van digitale certificaten.
[Bijlage C]
Over de standaard en achtergrond
CAA (Certification Authority Authorization Resource Record) is een DNS-record dat domeineigenaren extra controle geeft over SSL-certificaten, die worden uitgegeven voor diens domeinen. Met een CAA-record geeft een domeineigenaar aan welke certificate authority (CA-) certificaten uit mag geven voor zijn domeinen. Een domeineigenaar kan dit zelf regelen zonder dat hier medewerking vanuit de CA voor nodig is. CAA is alleen effectief als het DNS waarin het CAA- record geadministreerd wordt, is beschermd met DNSSEC. Zonder DNSSEC-bescherming kan een aanvaller het DNS-verkeer omleiden, waardoor het CAA-record niet meer effectief is. Toepassing van de standaard CAA verkleint de kans dat iemand onterecht een certificaat kan verkrijgen voor domeinen van bijvoorbeeld overheidsinstellingen of banken. Hiermee kan misbruik, zoals phishing waarbij de aanvaller zich voordoet als een overheidspartij, voorkomen worden. De CAA-standaard biedt ook de mogelijkheid aan CA's om melding te maken van foutief aangevraagde certificaten.
Hierdoor krijgen domeineigenaren meer inzicht in eventuele foutieve of frauduleuze aanvragen voor het domein.
Hoe is het proces verlopen?
Logius heeft CAA in oktober 2018 aangemeld voor plaatsing op de ‘Pas toe of leg uit’-lijst. Op grond van de toets op de basiscriteria besloot het Forum Standaardisatie in december 2018 om CAA in procedure te nemen. In januari 2019 heeft een expertonderzoek plaatsgevonden waaraan Logius, NCSC, DPC, SIDN, SURFnet, NLnet Labs, KPN, VNG Realisatie, PowerDNS, Stichting RINIS, Infoblox, Ministerie BZK, Gemeente ’s-Hertogenbosch en Inlichtingenbureau deelnamen. Van 25 februari t/m 25 maart 2019 heeft de openbare consultatie plaatsgevonden. Tijdens de openbare consultatie zijn er in totaal 2 inhoudelijke reacties ontvangen van de Kamer van Koophandel en NLnet Labs.
Op 4 april 2019 is versie 1.0 van het Forumadvies CAA besproken in de voorbereidende stuurgroep-vergadering Openstandaarden van het Forum. Hier is besloten het advies aan te houden en een nader onderzoek te doen naar de ingediende bezwaren van NLnet Labs tijdens de openbare consultatie. Op 7 november 2019 is er overleg geweest met: de indiener van de standaard (Logius), met de bezwaarmaker tijdens de openbare consultatie (NLnet Labs), Bureau Forum Standaardisatie en de procesbegeleider (Lost Lemon). In dit overleg geeft NLnet Labs aan dat het voornaamste bezwaar zit op de toegevoegde waarde van de standaard. Volgens NLnet Labs komt niet goed naar voren wat en waar CAA wel of niet op beveiligt. De suggestie kan worden gewekt dat CAA voldoende bescherming biedt maar dit is slechts beperkt en dat CAA hiervoor het enige middel is, wat niet het geval is. Bovendien heeft CAA beperkingen, het gaat uit van het vertrouwen in de CA: een kwaadwillende CA kan CAA immers ook negeren. Hiertoe heeft NLnet Labs een aantal scenario’s aangedragen (zie scenario’s in paragraaf 5.1 van het Forumadvies).
Uit het overleg blijkt ook dat er bedenkingen zijn bij het plaatsen van CAA op de ’Pas toe of leg uit‘-lijst. De toegevoegde waarde van CAA is te gering omdat het op zichzelf te weinig beveiligingszekerheid biedt. Het rechtvaardigt daarom eerder een plaatsing op de lijst Aanbevolen standaarden. Logius kan als indiener van CAA deze beredenering volgen, maar heeft bij het ministerie Algemene Zaken en bij het Nationaal Cyber Security Centrum (NCSC) consulatie gedaan
of er toch gegronde, zwaarwegende argumenten zijn om CAA alsnog op te nemen op de ‘Pas toe of leg uit’-lijst. Beiden geven aan voorstander te zijn om CAA op te nemen op de ‘Pas toe of leg uit’- lijst, maar komen niet met sterkere argumentatie dan in paragraaf 5.1 van het Forumadvies staat beschreven. De indiener sluit zich dan ook aan op het bezwaar van NLnet Labs en gaat akkoord met het aangepaste Forumadvies om CAA voor te dragen voor de lijst van aanbevolen standaarden. De conclusie van het nader onderzoek is daarom CAA wel op te nemen als standaard, maar op de lijst van aanbevolen standaarden.
Advies en gevraagd besluit
CAA wordt beheerd door Internet Engineering Task Force (IETF). De ontwikkeling en het beheer van de standaard zijn op een open, onafhankelijke, toegankelijke, inzichtelijke, zorgvuldige en duurzame wijze ingericht. CAA is van toegevoegde waarde om het risico op foutieve uitgifte van certificaten te verlagen. Om de integriteit van het CAA-record onderweg te waarborgen is het van belang om dit te ondertekenen met de DNSSEC-standaard die reeds op de ‘Pas toe of leg uit’-lijst staat. Er is voldoende draagvlak binnen de overheid voor het opnemen van de standaard op de lijst aanbevolen standaarden. De experts geven tijdens de expertsessie aan dat hoewel CAA nog niet breed wordt toegepast bij de overheid, de standaard bijdraagt aan de veiligheid van websites. Gegeven de onderzochte beperkte toegevoegde waarde van de standaard is een aanbevolen standaard een passend middel om adoptie te bevorderen.
Geadviseerd wordt om CAA op de lijst van aanbevolen standaarden te plaatsen. Het functioneel toepassingsgebied is: “CAA kan worden toegepast ten behoeve van het aanvraagproces van servercertificaten door overheden bij CA’s (certificate authorities) ter autorisatie van één of meer CA’s.”
Ad D. EPUB 3.2
Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies aan het OBDO:
Het vervangen van EPUB versie 3.0 door versie 3.2 op de lijst aanbevolen standaarden, een standaard voor het publiceren van niet-reviseerbare elektronische documenten in e-book formaat, geoptimaliseerd voor gebruik op -maar niet beperkt tot- draagbare apparaten zoals e-readers, tablets en smartphones.
[Bijlage D]
Over de standaard en achtergrond
De documentstandaard EPUB 3.0 staat op de lijst van aanbevolen standaarden van het Forum standaardisatie. Stichting Dedicon heeft versie 3.2 van EPUB aangemeld ter vervanging van EPUB
3.0 op de lijst aanbevolen standaarden. Aanmelding van een nieuwe versie van een standaard op de lijst aanbevolen standaarden vereist geen uitgebreid expertonderzoek. In dit geval koos Bureau Forum Standaardisatie toch voor het organiseren van een expertbijeenkomst, omdat er bij de overheid behoefte bestaat aan richtlijnen over de keuze van documentformats voor digitaal toegankelijk publiceren. De wettelijke verplichting van digitale toegankelijkheid geeft aanleiding tot heroverweging van de bestandsformats die de overheid gebruikt om informatie te ontsluiten. De overheid publiceert nu veel informatie in PDF, maar PDF is vaak niet het meest passende format om informatie op digitaal toegankelijke manier in te publiceren. Dit wordt onder andere belicht in het artikel ‘Overheid stop met PDF!’ van de OpenState Foundation in iBestuur, of de blog ‘9redenen om voorzichtig te zijn met PDF’ op de community website digitaaltoegankelijk.pleio.nl. In sommige toepassingen biedt EPUB een serieus alternatief voor PDF dat op de ‘pas toe of leg uit’- lijst staat.
EPUB 3.2 maakt het mogelijk om documenten, die niet voor bewerking door de ontvanger bestemd zijn, te downloaden, lokaal op te slaan en offline te lezen. Deze weergave is ‘reflowable’, dat wil zeggen dat de weergave aanpast aan het type apparaat dat hiervoor gebruikt wordt en waarbij de gebruiker kan kiezen hoe de inhoud gepresenteerd wordt. Digitale documenten in EPUB-format kunnen daardoor op een breed scala aan apparaten (zoals PC’s, e-readers, tablets en smartphones) optimaal worden weergegeven. Verder ondersteunt EPUB 3.2 digitale toegankelijkheid (bijvoorbeeld ten behoeve van mensen met een leesbeperking) door de mogelijkheid om audio en video in te sluiten en te synchroniseren met de tekst.
Ten opzichte van EPUB 3.0 heeft EPUB 3.2 geen belangrijke wijzigingen buiten de nodige updates om de standaard actueel te houden.
Hoe is het proces verlopen?
EPUB versie 3.2 is op 15 oktober 2019 aangemeld voor vervanging van versie 3.0 op de lijst van aanbevolen standaarden door stichting Dedicon. Op basis van de intake heeft het Forum Standaardisatie op 11 december 2019 besloten de aanmelding in procedure te nemen. Hierop volgend is een expertgroep samengesteld en een voorzitter aangesteld. Op 20 januari 2020 heeft een expertonderzoek plaatsgevonden waaraan Dedicon, Centraal Boekhuis, VNG Realisatie, Koninklijke Bibliotheek, Nationaal Archief, Internet Academy, ministerie van Binnenlandse Zaken en Koninkrijksrelaties en ministerie van Algemene Zaken deelnamen. Op basis van de expertbijeenkomst heeft de procedurebegeleider een expertadvies opgesteld dat van 21 februari 2020 tot en met 20 maart 2020 ter openbare consultatie is aangeboden op de online consultatie website van de overheid, internetconsultatie.nl. Tijdens de openbare consultatie zijn in totaal zeven reacties binnen gekomen. Drie reacties van (semi) overheidspartijen, een reactie van een leverancier, een reactie van een politieke partij en twee reacties van particulieren.
Advies en gevraagd besluit
De specificatie van de standaard is ontwikkeld door IDPF, die in 2017 is opgegaan in W3C. De standaard is in beheer van de EPUB3 Community Group, die onderdeel is van W3C. W3C staat garant voor een open standaardisatieproces. Een toegevoegde waarde van EPUB 3.2 boven EPUB
3.0 ligt in de mogelijkheid om metadata over digitale toegankelijkheid toe te voegen. Zulke metadata informeert de gebruiker over de mate van toegankelijkheid van de publicatie. De expertgroep concludeert dat EPUB 3.2 niet alleen toegevoegde waarde heeft als open e-book standaard, maar ook als breder inzetbare documentstandaard die een alternatief biedt voor PDF in toepassingen waar weergave op mobiele apparaten en digitale toegankelijkheid belangrijk zijn. De expertgroep erkent dat de geringe marktacceptatie nog een struikelblok is voor een concretere inzet van EPUB 3.2 als alternatief voor PDF. Naar aanleiding van de discussie over EPUB 3.2 en PDF, besprak de expertgroep ook de beslisboom die Bureau Forum Standaardisatie in 2019 publiceerde, met het doel om organisaties te helpen de juiste documentstandaard te kiezen afhankelijk van het doel van de publicatie. Deze beslisboom heeft geen formele status en was nog niet eerder voorgelegd aan een groep experts. De experts concluderen dat de beslisboom verbetering behoeft en nog niet rijp is voor een formele status. Het belangrijkste advies is om nevenschikking duidelijker op te nemen in de beslisboom. Nevenschikking betekent dat een publicatie in twee of meer formats wordt gepubliceerd, waarbij één format bijvoorbeeld voldoet aan de eisen van digitale toegankelijkheid en het andere geschikter is voor archiveren. EPUB 3.0 staat reeds op de lijst aanbevolen standaarden en de expertgroep stelt dat er een draagvlak bestaat voor het actualiseren van het versienummer van EPUB op de lijst aanbevolen standaarden.
Er bestaat bij de experts zelfs draagvlak om EPUB 3.2 op de ‘pas toe of leg uit’-lijst op te nemen als alternatief voor PDF voor bepaalde toepassingen. De beperkte ondersteuning voor de export van EPUB bestanden in gangbare kantoorsoftware en de geringe bekendheid bij gebruikers is voor de experts echter reden om plaatsing van EPUB 3.2 op de ‘pas toe of leg uit’-lijst nog niet te adviseren. Bovendien moeten de functionele toepassingsgebieden van PDF en EPUB 3.2 zeer scherp gedefinieerd worden voordat beide standaarden een ‘pas toe of leg uit’ status kunnen krijgen.
EPUB 3.2 voldoet aan de criteria om op de lijst aanbevolen standaarden te worden opgenomen ter vervanging van EPUB 3.0. Geadviseerd wordt om EPUB 3.2 op de lijst van aanbevolen standaarden te plaatsen.
Ad E. Onderzoek naar aard van de lijst open standaarden
Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende:
Om een onderzoek te starten naar:
- het karakter van de lijst aanbevolen standaarden,(in relatie tot de ‘pas toe of leg uit’ lijst), met het oog op de taak van het Forum de digitale interoperabiliteit van de (semi-)publieke sector te bevorderen. Mede met het oog op de behoefte om bepaalde bredere open standaarden of afspraken (zoals architectuurprincipes, methodes stelsels, en bijvoorbeeld afspraken rond eenduidige overheidsdienstverlening en semantische standaardisatie) een status te bieden. Dat past bij de taakstelling van het Forum om te adviseren over interoperabiliteit en veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens tussen overheidsorganisaties en bedrijven, tussen overheidsorganisaties en burgers en tussen overheidsorganisaties onderling (technische standaarden zijn ‘slechts een’ middel).
[Geen bijlage]
Aanleiding en achtergrond
Het Forum onderhoudt de aanbevolen en verplichte lijst (‘pas toe of leg uit’) van open standaarden. Op de ‘pas toe of leg uit’-lijst staan nu 43 standaarden die overheden verplicht moeten toepassen op het moment dat ze een ICT-dienst of -product inkopen / ontwikkelen. Op de lijst van aanbevolen standaarden staan nu 63 gangbare, opkomende en veelbelovende standaarden. De standaarden op deze lijst zijn niet verplicht. De toetsing van open standaarden ten behoeve van opname op een van de lijsten vindt plaats aan de hand van een toetsingskader. Het toetsingskader bestaat uit basiscriteria ’s en vier inhoudelijke criteria ’s. De vier inhoudelijke criteria ’s: 1) toegevoegde waarde, 2) de openheid van het standaardisatieproces, 3) de draagvlak voor en de ervaringen met de standaard en 4) opname van de standaard bevorderd de adoptie, geven antwoord op de vraag of een standaard bijdraagt aan het bevorderen van de achterliggende doelen van interoperabiliteit en leveranciersonafhankelijkheid.
Het beschikken van de toetsingskader voor de lijst van open standaarden is gewenst en nodig. Tegelijkertijd zorgt het dat bredere open standaarden of afspraken, zoals richtlijnen, kaders, architectuurprincipes, methodes, procedures en semantische georiënteerde afspraken niet in aanmerking komen voor de lijst van open standaarden, omdat ze niet voldoen aan de gestelde toetsingscriteria ‘s.
Bredere open standaarden of afspraken
De bredere open standaarden of afspraken dragen mogelijk minder bij aan het bevorderden van interoperabiliteit en leveranciersonafhankelijk maar zijn wel degelijk van belang voor een eenduidige digitale overheidsdienstverlening, communicatie en gegevensuitwisseling en bovendien dienen ze een maatschappelijk belang. Bovendien sluit deze scope aan op het mandaat van het Forum Standaardisatie instellingbesluit. Denk hierbij aan de volgende voorbeelden;
- Cloud first strategie binnen de EU (bv. Duits-Franse Gaia-X)
- API Strategie Algemeen I
- Burger Centraal (bv. afspraken gebruik van procestermijnen)
- AI Ethiek kaders (bv. Artificial Intelligence Impact Assessment AIIA en De Ethische Data Assistent DEDA)
- Smart City kaders (afspraken voor een smart city)
Het Forum constateert tevens dat de aard van de standaarden door de jaren heen een verschuiving doormaken. In het verleden waren het open standaarden die zich solitair richten op technische interoperabiliteit. Nu is er ook sprake van open standaardisatie die zich bevindt op semantische en organisatorisch niveaus. Die verschuiving is zowel een gevolg van een verdere volwassenheid in de digitale gegevensuitwisseling, als van nieuwe ontwikkelingen (waar nog geen uitgekristalliseerde te prefereren technische standaarden voor zijn, maar wel kaders of principes). De bovengenoemde bredere ontwikkelingen zitten dan ook op een hogere niveau van interoperabiliteit dan de huidige lijst van standaarden en de toepassing ervan moelijker te meten is. De bredere open standaarden of afspraken zijn dan ook geen uitzondering en zullen naar verwachting in de toekomst steeds vaker aangeboden worden als een open standaard voor de lijst. Dit is in het verleden ook bij bredere open standaarden al voorgevallen.
Voorstel voor onderzoek
Het Forum is van mening om te onderzoeken in hoeverre die bredere open standaarden of afspraken, die door hun aard niet voldoen aan de gestelde toetsingscriteria, een plek op de lijst van open standaarden geboden zou kunnen worden. Die gedachte sluit ook aan op de eerdere ‘pas toe of leg uit’ next level discussie. Bovendien is dit in lijn met de kabinetsreactie van het Inventarisatie Standaardisatie onderzoek om meer in te zetten op semantische standaardisatie, eenduidige digitale overheidsdienstverlening en communicatie. Een onderdeel van die behoefte is om te onderzoeken of het karakter van de lijst van open standaarden verruimt kan worden. Nu heeft de lijst van aanbevolen standaarden namelijk een vrijwel identiek karakter als de ‘pas toe of leg uit’-lijst, als het om de aard van standaarden betreft. Een overweging is om bewust het karakter van de lijst van aanbevolen standaarden te scheiden van de ‘pas toe of leg uit’-lijst.
Hierdoor ontstaat er meer ruimte voor het Forum om die bredere ontwikkelingen te faciliteren door er een status aan te geven, middels een plek op de lijst van aanbevolen standaarden.
Het voorstel luidt dan als volgt: onderzoek of het karakter van de lijst van aanbevolen standaarden verruimt kan worden om bredere open standaarden of standaardisatie afspraken te ondersteunen. Hierbij zijn enkele elementen van belang:
Primair:
- Voor de bepaling van de scope van het onderzoek zijn de huidige toetsingskaders het vertrekpunt.
- Breng in kaart in hoeverre een dergelijke wijziging een oplossing kan zijn voor voornoemde onderliggende behoeften.
Breng in kaart hoe een dergelijke wijziging doorwerkt in de werkzaamheden en effectiviteit van het Forum. En belicht daarbij ook of de gevolgen voor de communicatie van het Forum in relatie tot de lopende streefbeelden, bestuursakkoorden en afspraken.
Secundair:
- Verken daarbij of de aanpassing van het karakter van de aanbevolen lijst, meerwaarde heeft voor de behoefte aan de eventuele opschoning van een aantal standaarden op de ‘pas toe of leg uit lijst’, die zelden of nooit relevant zijn in aanbestedingen en/of waar geen gebruiksgegevens over bekend zijn.
Ter kennisname
Ad F. Voortgang internetconsultatie
[Geen bijlage]
Van 21 februari 2020 tot en met 20 maart 2020 is de pilot voor publieke consultatie succesvol van start gegaan via de website internetconsultatie.nl. Via dit platform kunnen burgers, bedrijven en maatschappelijke organisaties kennis nemen van wetsvoorstellen en adviezen en hun ideeën hierover kenbaar maken. Het bereik in de maatschappij is hierdoor groter, getuige ook de stijgende aantal reacties op deze consultaties. Deze zijn verdubbeld ten opzichte van voorheen en bovendien divers (burgers, politieke partij, vakspecialisten, leveranciers en publieke instellingen). Er is nu gekozen om de reacties tezamen met de Forumadviezen achteraf te publiceren. Na de eerste positieve ervaringen wijzigt dit in de toekomst door direct de reacties openbaar te maken. Dit keer betreffen het de standaarden EPUB versie 3.2 (7 reacties), REST API Design Rules (11 reacties) en Nederlandse overheidsprofiel op OAuth 2.0 (10 reacties).
Ad G. Stand van zaken lopende procedures
[Geen bijlage]
Ten tijde van de vergadering van het Forum Standaardisatie op 06 mei 2020 lopen er procedures voor de volgende standaarden:
- In de vergadering van 12 juni 2019 besloot het Forum Standaardisatie om CMIS te evalueren in het kader van regulier onderhoud op de ‘pas toe of leg uit’-lijst. Standaarden die meer dan vier jaar op de lijst staan en tussentijds niet meer zijn getoetst of geëvalueerd komen in aanmerking voor zo’n evaluatie. Het evaluatierapport is inmiddels afgerond en zal in de eerstvolgende vergadering voorgelegd worden.
Meer informatie over deze standaard op https://www.forumstandaardisatie.nl/open-standaarden/lijst/in-behandeling