Verslag Forum Standaardisatie 9 december 2020

Content

Vergadering: Forum Standaardisatie 10 maart 2021

Agendapunt: 1B

Documentnummer: FS-20210310.1B

Vergadertijd: 12:15–14:15 uur

Contactpersoon: Joram Verspaget

secretaris Bureau Forum Standaardisatie

joram.verspaget@forumstandaardisatie.nl

06-5284 5592

Download hier de PDF versie van het verslag. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Aanwezigheid

Forum Standaardisatie

Larissa Zegveld (voorzitter)

Rudi Bekkers (Technische Universiteit Eindhoven)

Gijs Boudewijn (Betaalvereniging)

Yvonne van der Brugge (Logius, secretaris)

Thomas Faber (Ministerie van Economische Zaken en Klimaat, DDE)

Cor Franke (Franke Interim Management)

Gerard Hartsink (financiële sector)

Marc van Hilvoorde (namens CIO Rijk)

Floor Jas (Surfnet)

Hetty Lucassen (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, DDO),

Joop van Lunteren (adviseur)

Benno Overeinder (NLnet Labs)

Friso Penninga (Geonovum)

Theo Peters (VNG Realisatie)

Ad Reuijl (Manifestgroep/CIP)

Anneke Spijker (Interprovinciaal Overleg)

Gerard Smits (Waterschapshuis)

Michiel Steltman (DINL)

Rob Verweij (RINIS)

Bureau Forum Standaardisatie

Bureau: Redouan Ahaloui (adviseur)

Désirée Castillo Gosker (adviseur)

Reindert Gerding (adviseur)

Valentijn Grapperhaus (trainee)

Michel Faro (gedetacheerd adviseur)

Robin Gelhard (adviseur)

Bart Knubben (adviseur)

Arianne de Man (gedetacheerd adviseur)

Ludwig Oberendorff (hoofd)

Joram Verspaget (secretaris, notulen)

Han Zuidweg (adviseur)

Gasten

Tie Tjee (vendor chair IHE Nederland)

Hermann Buitkamp (Verband Deutscher Maschinen- und Anlagenbau (VDMA)

Stefan Sauermann (professor bij FH Technikum Wien (University of Applied Sciences, Wenen)

Pieter-Bas Nederkoorn (productmanager bij VNG Realisatie)

Ronald Klupper (technisch projectleider/specialist RvIG)

Glenn Lutke Schipholt (coördinerend specialistisch adviseur Logius)

Edo Plantinga (project- en programmamanager digitale overheid)

1. Opening, agenda, verslag

Mededelingen

Rob Verweij gaat als directeur van RINIS met pensioen, maar blijft wel werkzaam voor de stichting. Hij blijft (vooralsnog) lid van het Forum.

Rik van Terwisga – algemeen directeur van NEN - treedt per 2021 aan als lid van het Forum Standaardisatie.

1A. Agenda

Akkoord. Geen opmerkingen.

1B. Verslag en actiepunten Forum Standaardisatie 7 oktober 2020

Akkoord. Geen opmerkingen.

2. OBDO en Forum Standaardisatie

Ter besluitvorming

2A. Werkplan Forum Standaardisatie 2021 (voor OBDO)

Ter accordering wordt het werkplan Forum Standaardisatie 2021 voorgelegd op weg naar accordering door het Overheidsbrede Overleg Digitale Overheid (OBDO). Zoals besproken in de vorige vergadering staat het werkplan op één A4 en is een oplegger toegevoegd met daarin enkele highlights.

Het Forum gaat akkoord met deze versie van het werkplan en het doorgeleiden ervan naar het OBDO ter accordering, conform het Instellingsbesluit.

Ter kennisname

2B. Stand van zaken n.a.v. de kamerbrief over het rapport inventarisatie standaardisatie

Geen opmerkingen.

2C. Stand van zaken en plannen voor 2021 van de sponsoren van het Forum

Ter vergadering wordt het Forum bijgepraat over het sponsorschap in 2021 voor de dossiers Cloud, API, Identity Management en Gebruiker Centraal.

Cloud

Theo Peters en Michiel Steltman zijn sponsoren. Het onderwerp komt later deze studiedag terug in de presentatie van Michiel Steltman.

API

Cor Franke, Friso Penninga en Theo Peters zijn sponsoren. Het onderwerp wordt nader toegelicht in een komende vergadering.

Identity Management

Cor Franke en Gerard Hartsink presenteren als sponsoren.

Stand van zaken 2020: de reactie van het Forum ten aanzien van de concept Ministeriële Regeling betrouwbaarheidsniveaus (mede in relatie tot handreiking betrouwbaarheidsniveaus) is ingediend.

Een nadere verkenning van het Forum voor identity management is nog niet opgepakt (conform afspraak werkplan: capaciteitsvoorwaarde).

Plannen 2021: aan een reactie van het Forum ten aanzien van de Wet Digitale Overheid & machtigen wordt gewerkt met onder andere voorbeelden van mitigerende maatregelen (mede in relatie tot de handreiking betrouwbaarheidsniveaus).

Er ligt hier tevens een relatie met TR 6039 project “Identifiers of subjects and objects for the design of blockchain systems” van ISO. Een eventuele hulpvraag aan de leden van het Forum voor meedenken en/of meelezen volgt.

Yvonne van der Brugge biedt kennis aan voor het onderdeel Machtigen en vraagt contact te houden met Logius/Machtigen in het proces.

Gebruiker Centraal

Gerard Hartsink en Joop van Lunteren zijn sponsoren. Door technische problemen kwam de presentatie niet aan bod. Deze wordt nagezonden.

2D. Terugkoppeling OBDO 19 november 2020: agendapunt Meting Informatieveiligheidsstandaarden overheid

Voor het Overheidsbrede Overleg Digitale Overheid (OBDO) van 19 november 2020 was onder andere de meting Informatieveiligheidsstandaarden overheid van september geagendeerd. Voor het eerst was ook de eerste IPv6-meting overheid, eveneens van september 2020, geagendeerd. Deze metingen zijn eerder aan bod gekomen tijdens de Forum-vergadering van 7 oktober jongstleden.

Robin Gelhard (adviseur BFS) geeft aan dat expliciet de wildgroei aan internetdomeinen is besproken. Het Forum krijgt complimenten en waardering voor het rapport. VNG en EZK geven in de terugkoppeling aan dat ze met de resultaten aan de slag te gaan.

De basis moet op orde zijn. De CIO-Rijk geeft aan graag te zien dat er meer samenwerking op gang komt rond het op orde brengen van overheidsdomeinen.

In de CIO-Beraad is na ingang van de wettelijke verplichting rond digitoegankelijkheid geconstateerd is dat er een opschoning moet plaatsvinden van het aantal websites (uit de lucht halen en archiveren).

Aangegeven wordt dat het van belang is dat er een proces voor wordt ontwikkeld. (Dit sluit goed aan op het traject rondom domeinnaambeheer van trainee Valentijn Grapperhaus.)

Besproken is wie regie neemt. Geconcludeerd wordt dat dat CIO-Rijk zou moeten zijn. CIO-Rijk geeft in het OBDO aan terug te komen op het onderwerp overheidsdomeinen.

Naar aanleiding hiervan wordt opgemerkt dat afspraken als de streefbeeldafspraken rond de IV-standaarden hun eigen momentum en dynamiek kennen. Zo leidt berichtgeving over (grootschalige) fraude via web- en e-mailverkeer tot verhoogde aandacht en een verhoogd gevoel van urgentie voor het gebruik van de IV-standaarden.

Belangrijk hierbij is dat decentrale overheden aangehaakt blijven bij de gemaakte afspraken. Ook moet het gebruik van IV-standaarden niet alleen een aandachtspunt zijn bij inkoop van ICT-systemen en -diensten voor web- en mailverkeer, maar te allen tijde. Dit aandachtspunt komt terug in het traject ‘pas toe of leg uit’ Next Level.

3. Open Standaarden, lijsten

Ter besluitvorming

3A. Verplaatsing van CMIS van de 'pas toe of leg uit'-lijst naar de lijst aanbevolen standaarden

Het Forum wordt gevraagd in de stemmen met het verplaatsen van de standaard CMIS van de ‘pas toe of leg uit’-lijst naar de lijst aanbevolen standaarden en dit zo voor te leggen aan het OBDO.

Het Forum stemt hiermee in zonder verdere opmerkingen.

3B. NL GOV Assurance Profile for OpenID Connect

De standaard is een door Logius ontwikkeld profiel op de internationale standaard Open ID Connect 1.0 die reeds op de lijst aanbevolen standaarden staat. Aan het Forum wordt voorgesteld te starten met een procedure voor het op de ‘pas toe of leg uit’ lijst plaatsen van de standaard NL GOV Assurance Profile for OpenID Connect 1.0 wanneer er minimaal voldaan is aan de criteria voor open beheer en draagvlak.

Logius heeft de voortrekkersrol opgepakt en met een brede werkgroep dit profiel voor gebruik binnen de overheid opgesteld om ook de knelpunten aan te pakken die ten aanzien van de criteria voor plaatsing op de ‘pas toe of leg uit’-lijst gelden. Ten tijde van het intake onderzoek voldeed NL GOV Assurance Profile for OIDC 1.0 niet volledig hieraan.

Het Forum gaat akkoord met het voorgestelde. Het resulterende advies uit de procedure wordt niet ter besluitvorming aan het Forum Standaardisatie voorgelegd totdat het (tijdelijk) beheer van de standaard voldoet aan de criteria voor ‘open beheer’ en er meer zicht is op praktijkervaring met de standaard en marktaanbod.

3C. DCAT Application Profile for data.overheid.nl 1.1

Het Forum wordt gevraagd in te stemmen met het starten van een procedure voor de plaatsing van de standaard DCAT op de lijst aanbevolen standaarden en het DONL applicatie profiel (DONL-AP-DCAT) 1.1 op de ‘pas toe of leg uit’ lijst. Het Forum wordt hierbij geadviseerd het resulterende advies pas ter besluitbesluitvorming te agenderen als het beheer van de standaard voldoet aan de criteria voor ‘open beheer’.

In het expertonderzoek verdient de relatie van DCAT-AP-DONL met ISO 19115 (de datacatalogus standaard die in de Geo-sector gangbaar is) en andere DCAT profielen aandacht.

Het Forum gaat akkoord en vraagt hierbij te kijken naar het gebruik van de oude versie versus de nieuwe versie en de ontwikkelingen voor dit soort standaarden op EU-niveau. Ook moet in het kader van eenduidigheid verkend worden of het verstandig is om de gerelateerde standaard OWMS parallel af te voeren van de ‘pas toe of leg uit’-lijst. Zowel DCAT als OWMS zijn in beheer van het Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP).

3D. Versie 1.5.1 van GWSW ter vervanging van versie 1.4 op de ‘pas toe of leg uit’- lijst.

Het Forum wordt gevraagd in te stemmen met het starten van een procedure voor het actualiseren van de versie van GWSW op de ‘pas toe of leg uit’ lijst.

Het Forum stemt hiermee in zonder verdere opmerkingen.

3E. Versiewijzigingen van de deelspecificaties van SETU op de 'pas toe of leg uit'-lijst.

Het Forum wordt gevraagd in te stemmen met het starten van een procedure voor het actualiseren van de versie van SETU op de ‘pas toe of leg uit’ lijst.

Het Forum stemt hiermee in zonder verdere opmerkingen.

Ter Kennisname

3F. Stand van zaken rond lopende procedures

Geen opmerkingen.

4. Open Standaarden, adoptie

Ter besluitvorming en bespreking

4A. Agendering IV-meting en Monitor, sponsorschap door Forum-leden en aanwezigheid

Geen opmerkingen.

4B. Concept conclusies knelpuntenonderzoek

Het Forum wordt gevraagd kennis te nemen van het door PBLQ uitgevoerde onderzoek ‘Knelpunten voor Adoptie’ en de mogelijke oplossingsrichtingen in deze oplegnotitie te bespreken.

Het Forum geeft aan dat niet alleen het CIO-beraad een (leidende) rol moet nemen bij de adoptie van standaarden, maar ook de CIO’s van decentrale overheden. Ook bestuurders hebben hierin een rol te vervullen. Vastgesteld wordt dat de bijdrage van de standaarden op de ‘pas toe of leg uit’-lijst aan maatschappelijke doelstellingen niet altijd even duidelijk is en daarmee het gebruik van deze standaarden niet bevordert.

Het belang van aanjagers en een goede beheertaak moet ook niet onderschat worden. Het leggen van verbinding met andere instrumenten (vervlechten) plaatst het gebruik van open standaarden in breder perspectief. Gevraagd wordt om aandacht voor inbedding van het gebruik in business cases en bestuurlijke besluitvorming.

Joop van Lunteren suggereert ook een persoonlijk aanpak: Forum-leden kunnen zelf ook een rol spelen in eigen gremia, netwerk en media om de noodzaak van toepassing van de ‘pas toe of leg uit’-standaarden te benadrukken en zogenaamde koplopers te bewegen. Gerard Hartsink geeft aan daarbij ook het economisch belang ervan te duiden als unique selling point.

Het certificeren van leveranciers die producten en/of diensten leveren conform de ‘pas of leg uit’-lijst wordt ook als optie genoemd. De inzet van instrumenten als de ICO-wizard van het CIP – dat de overheid helpt om bij inkoop en aanbestedingen goede eisen te stellen en marktpartijen verleidt om veilige producten en diensten te leveren – kan hierbij helpen.

BZK/DO is met de Audit Dienst Rijk (ADR) in gesprek om te kijken op welke manieren de naleving van zowel pas toe, als leg-uit (jaarverslag) kan worden verbeterd. Met het Ministerie van Financiën bespreekt BZK/DO een aanscherping van de Rijksbegrotingsvoorschriften op dit punt.

Rob Verweij geeft aan dat vervlechting en aansluiting op het IB-beleid vruchten kan afwerpen. Hij geeft aan ook meer in te zetten op het betrekken van bestuurders.

4C. Monitor open standaarden 2020 (voor OBDO)

Het Forum Standaardisatie wordt gevraagd:

  1. vast te stellen: het rapport Monitor Open standaarden 2020 ter afronding van de jaarlijkse onderzoeksopdracht aan ICTU,
  2. in te stemmen met voorgestelde duiding en maatregelen, dan wel om voorstellen te doen tot wijziging,
  3. in te stemmen met het onderzoeksvoorstel voor de monitor van 2021.

zodat deze stukken kunnen worden doorgeleid naar de eerste vergadering van het OBDO van 2020.

Hier relevante opmerkingen ten aanzien van het Bottleneck onderzoek (4B) zullen hierin meegenomen worden. Het Forum stemt hiermee in,

4D. Handreiking 'pas toe of leg uit'-standaarden bij aanbestedingen

Het Forum Standaardisatie wordt gevraagd:

  1. In te stemmen met het concept, dan wel om aanwijzingen te geven tot verbetering bij voorkeur met tekstvoorstellen.
  2. De definitieve versie te verspreiden in het netwerk of bij de achterban, met name bij ICT opdrachtgevers/ inkopers en uitdrukkelijk om feedback te vragen.
  3. Een terugkoppeling te geven van deze feedback in de Forumvergadering van april 2021.

Voor de volgende versie wordt aandacht gevraagd voor inkoop buiten de grenzen (EU en internationaal). Leg hierbij ook contact met NEVI, kennisnetwerk voor inkoop, contract- en supply management en de HIS, een organisatie die inkoopt voor zes departementen binnen het Rijk.

Het Forum stemt zonder verdere opmerkingen in met het gevraagde.

Ter kennisname

4E. Planning 'aard van aanbevolen lijst'

Geen opmerkingen.

4F. Content-, data- en digitale toegankelijkheidstandaarden

Geen opmerkingen.

4G. Internet- en beveiligingstandaarden

Geen opmerkingen.

4H. API’s

Geen opmerkingen.

4I. E-facturatie en administratie

Geen opmerkingen.

4J. Eenduidige dienstverlening

Geen opmerkingen.

4K. Overig nieuws

Geen opmerkingen.

5. Voortgang en communicatie

Geen opmerkingen.

6. Rondvraag

Opgemerkt wordt dat inzake de openbaarheid van alle Forum-stukken via de website van het Forum Standaardisatie rekening moet worden gehouden met mogelijke gevoelige passages. Het bureau geeft aan hier rekening mee te houden bij het formuleren van vergaderstukken op de site.

7. Sluiting

Voorzitter Larissa Zegveld sluit de vergadering.

Presentaties studiedag Forum Standaardisatie

Methodiek Integrating the Health Enterprise (IHE)

In deze sessie gingen de presentatoren nader in op hoe het raamwerk dat wereldwijd door IHE wordt gebruikt (ISO TR28380) helpt om standaarden in verschillende domeinen te kunnen vaststellen.

Tie Tjee (vendor chair IHE Nederland) geeft een toelichting op IHE, een wereldwijd initiatief vanuit de gezondheidszorg en ict om middels co-creatie van eindgebruikers en leveranciers te komen tot een betere uitwisseling van informatie (interoperabiliteit) tussen computersystemen in de gezondheidszorg. IHE ontwikkelt en test standaard methodieken (raamwerken) gebaseerd op standaarden om standaard problemen op te lossen, thans vastgelegd in ISO-normen ISO/TR 28380-1 t/m3. IHE vindt dus niet zelf standaarden uit. Het slaat sinds eind jaren negentig een brug tussen standaarden en hun praktische toepassing in (de verschillende sectoren in) de zorg. Deze activiteiten vinden in verschillende lagen binnen de zorg plaats. Je hebt te maken met de IT-infrastructuur, applicaties, de ordening van informatie, zorgprocessen, beleidsafspraken en juridische en bestuurlijke regelgeving. Wat hierbij belangrijk is dat alle betrokken partijen beseffen dat je met een standaard er nog niet bent. Ook al gebruik je allemaal dezelfde set standaarden, het bouwen van een applicatie erop zal zonder standaard methodiek leiden tot verschillende uitkomsten. IHE streeft er daarom naar dat wereldwijd gecoördineerd op dezelfde wijze dezelfde standaarden worden toegepast om de interoperabiliteit tussen ICT-systemen in de gezondheidszorg te verbeteren. Hierbij maakt IHE ook gebruik van de OASIS ebXML Service specifications (Cross-Enterprise Document Sharing (XDS)-profielen). Spelers in andere sectoren (dus niet per se gezondheidszorg) die streven naar meer interoperabiliteit gebruiken ook de methodiek van IHE voor co-creatie.

Interoperability for the European Machinery Industry –use cases in agricultural machinery

Hermann Buitkamp (Verband Deutscher Maschinen- und Anlagenbau (VDMA), de belangrijkste verenigingen voor machine- en installatiebouw in de EU) geeft vervolgens een toelichting op hoe de VDMA vanuit Duitsland werkt aan de verbetering van de interoperabiliteit tussen landbouwmachines. VDMA gebruikt hiervoor het raamwerk van IHE. Want ook in de agrarische sector heb je verschillende sectoren (zoals agrarische chemie, handel, landbouw en vee, voedselindustrie- en distributie) die je aan elkaar wilt koppelen om digitaal informatie met elkaar te kunnen uitwisselen. Zo moeten de landbouwmachines in het veld met elkaar en de boeren kunnen communiceren (praten) op korte, middellange en lange afstand. Maar ook informatie over het oogstproces, bescherming van gewassen en de situatie bij collega’s moet kunnen worden uitgewisseld. Vastgesteld moet worden welke data zij op betrouwbare wijze op welke wijze (rechtstreeks, via de cloud) met elkaar en met wie moeten kunnen uitwisselen. Enkele gebruiksvoorbeelden passeren de revue, welke zijn terug te vinden in de rondgezonden presentatie.

Interoperability, IHE and UAS Technikum Wien

Stefan Sauermann (professor bij FH Technikum Wien (Universiteit van Toegepaste Wetenschappen, Wenen) geeft aansluitend een toelichting op hoe zijn universiteit betrokken is bij de organisatie van Connectathons in Oostenrijk voor verschillende domeinen, gebaseerd op de methodiek van IHE. Connecathons bieden softwareleveranciers een unieke mogelijkheid om de interoperabiliteit van hun producten te testen met die van andere leveranciers.

Ter afsluiting geven de presentatoren aan het Forum mee dat voordat je systemen of machines met elkaar verbindt, je eerst de mensen achter de systemen of machines met elkaar moet verbinden. Een Connectathon is hiervoor een uitstekend middel, dat ook voor het Forum mogelijkheden biedt als het gaat om (het onderzoeken van) het implementeren van nieuwe standaarden.

Zie ook het White Paper over IHE Connectathon: https://www.ihe-europe.net/sites/default/files/WP_Connectathon_2019_0.pdf

Diginetwerk

Pieter-Bas Nederkoorn (programmamanager GGI bij VNG Realisatie), Ronald Klupper (technisch projectleider/specialist RvIG) en Glenn Lutke Schipholt (coördinerend specialistisch adviseur Logius) zijn te gast voor het toelichten van Diginetwerk, een afsprakenstelsel voor het koppelen van besloten netwerken van de overheid. Via deze gekoppelde netwerken kunnen overheidsorganisaties onderling gegevens uitwisselen. Logius is de beheerder van Diginetwerk.

Het gezelschap illustreert aan de hand van actuele ontwikkelingen dat het internet niet altijd even veilig is en veiligheid van informatie-uitwisseling en –beveiliging voor de overheid een belangrijk vraagstuk vormt. De informatieveiligheidsstandaarden die op de ‘pas toe of leg uit’-lijst staan dragen bij aan een verbetering van die veiligheid als het gaat om vertrouwelijkheid en integriteit bij gegevensuitwisselingen. Een end to end-standaard voor het internet voor het waarborgen van de beschikbaarheid van gegevens ontbreekt echter. Besloten netwerken (buiten het internet om) vormen een veilig alternatief, maar het aanbod is versnipperd. Het besloten Diginetwerk biedt een instrument voor veiligere informatie-uitwisseling in het overheidsdomein via het internet. Het is logisch gescheiden van het internet en maakt het mogelijk dat op basis van één koppeling aan een netwerk dat deel uitmaakt van Diginetwerk alle netwerkaansluitingen van alle netwerken te bereiken zijn die deel uitmaken van Diginetwerk.

Diginetwerk wordt nog niet als zodanig overheidsbreed ingezet. Struikelblok hierbij is dat afnemers(onder ander gemeenten) nog een tweede koppeling met Gemnet in stand houden, omdat sommige dienstaanbieders (nog) niet op Diginetwerk aanbieden (en vice versa). Diginetwerk maakt onderdeel uit van de GDI, maar bestuurlijk ligt het gebruik ervan soms nog lastig. Er is geen standaard vastgelegd voor een veiliger datatransport tussen overheden c.q. organisaties met een publieke taak dan over het internet. Ook is er nog geen eenduidig (voorkeurs)beleid voor het gebruik van besloten netwerken als veiligheidsmaatregel. De vraag aan het Forum is daarom hoe het Forum kan helpen om het gebruik van het afsprakenstelsel Diginetwerk ook op bestuurlijk niveau te stimuleren en te standaardiseren.

Het Forum geeft aan dat in het verleden twee pilots met twee voorzieningen die breed werden gebruikt zijn uitgevoerd om te bezien of deze goed genoeg en gestandaardiseerd genoeg waren voor breed verplicht gebruik. Na afloop van de pilots werd besloten het traject niet te vervolgen. Grote overheids(gelieerde) organisaties voelden niet direct voor het (verplicht) gebruik van een (externe) voorziening, wat mogelijk ook kan opspelen bij het (verplicht) gebruik van Diginetwerk.

Wat mogelijk op termijn soelaas kan bieden, maar nog wel in ontwikkeling is, is de lijst aanbevolen standaarden. Verkend wordt hoe deze mogelijk anders kan worden ingericht. Standaarden (voorzieningen, afsprakenstelsels) die hierop (komen te) staan zouden bijvoorbeeld een meer aanbevolen karakter kunnen krijgen. Over deze en andere mogelijkheden denken Floor Jas en Michiel Steltman graag nader mee met de presentatoren.

GAIA-X en cloud

GAIA-X is een project van de Europese Unie om gemeenschappelijke vereisten (standaarden) te ontwikkelen voor een soevereine Europese data-infrastructuur op basis van openheid, transparantie en de mogelijkheid om met andere Europese landen te kunnen verbinden. Hiermee moeten de Europese lidstaten minder afhankelijk worden van providers buiten de EU, zodat er meer controle is over de eigen opgeslagen data in de (Europese) cloud.

Michiel Steltman (directeur DINL) gaat in op de recente ontwikkelingen en licht voor de goede orde eerst toe wat we nu onder cloud moeten verstaan. De NIST Reference Architecture van het Amerikaanse Nationale Instituut voor Standaarden en Technologie heeft tien jaar geleden het fenomeen gedefinieerd en geldt wereldwijd de facto als het model voor wat een Cloud service is. Feitelijk is het een optelsom van Infrastructure as a Service (IaaS), Developers Services (Platform as a Service (PaaS)) en Applications (Software as a Service (SaaS)). De markt van Cloud is een sterke groeisector, waarbij Amerikaanse providers wereldwijd de dienst uitmaken. Europese overheden die gebruik maken van niet-Europese providers lopen daarmee het risico dat hun data op servers staat / komt te staan buiten de Europese jurisdictie. Dit kan botsen met de Algemene verordening gegevensbescherming (AVG) en de General Data Protection Regulation (GDPR) van de Europese Unie. Ultiem gevolg hiervan kan zijn dat de data-overdracht naar de niet-EU cloudservers per ommegaande moet worden gestaakt.

Om hier iets aan te doen hebben Frankrijk en Duitsland binnen de EU het voortouw genomen om voor de EU een efficiënte en concurrerende, veilige en betrouwbare data-infrastructuur te ontwikkelen. Het gaat dus niet om een eigen clouddienst van de EU, maar om een Europees raamwerk van voorwaarden en vereisten aan leveranciers (niet per se Europees) ter bescherming van eigen opgeslagen data. De afhankelijkheid van bijvoorbeeld Amerikaanse leveranciers met servers buiten de EU moet zo verminderd worden en datasoevereiniteit van en binnen EU-lidstaten versterkt met waarborging van Europese richtlijnen en normen.

In Nederland hebben meerdere betrokken partijen zich georganiseerd in de Cloud Infrastructuur Coalitie (CiC) om de Nederlandse en Europese coalitie op het gebied van clouddiensten te verstevigen en om tegenwicht te bieden tegen eigenrichting van lidstaten binnen de EU. Hierbij wordt samengewerkt en samenwerking gezocht met de overheid en stevig ingezet op open standaarden.

Voor het Forum is het belangrijk om te bekijken of de standaarden die vanuit Gaia X naar voren komen voor Nederland geschikt zijn. Nederland neemt als lidstaat ook deel aan de Europese Cloud Federatie van de Europese Commissie om gezamenlijk de Europese cloudinfrastructuur te versterken. Het heeft ook – met alle andere EU-lidstaten – de Joint Declaration on Cloud getekend.

Een belangrijk vraagstuk wat nog speelt is hoe betrouwbaar (security, compliance, conformiteit) het werken met en in de cloud is. Hoe kan een aanbieder aantonen dat “het voldoende geregeld is” en hoe kan de afnemer beoordelen of het “voldoende geregeld is”? De Online Trust Coalitie (OTC) – waar onder andere ook het ministerie van EZK, NL Digital en VNO-NCW bij zijn aangesloten - verkent momenteel of certificering op Europees niveau de betrouwbaarheid van een Europese cloudomgeving kan waarborgen. Dit volgt de doelstelling van de OTC voor het beschikbaar maken van een eenduidige, efficiënte methode waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn.

Rudi Bekkers geeft aan dat ook een oplossing gevonden moet worden voor hoe overheden (mogen) omgaan met het opvragen van data door overheden gehost bij aanbieders, los van waar het opgeslagen is. De bijbehorende raamwerken zijn wereldwijd niet altijd compatibel. Vraag hierbij is welke partijen uit welke landen dan al dan niet kunnen meedoen met een cloudinitiatief in Europa met inachtneming van de vereisten van de EU.

In 2021 volgt een nadere presentatie van betrokken Forum-leden (EZK, BZK, VNG) over de ontwikkelingen die in Nederland gaande zijn rond Cloud, strategie en coalitievorming.

Zie ook:

Totstandkoming Corona-melder app

De CoronaMelder app meldt of u in de buurt bent geweest van iemand die na een test corona blijkt te hebben en is op een unieke manier ontwikkeld: in volledige openheid, privacy first en met de gebruiker centraal. De broncode, ontwerpen, documentatie en zelfs bevindingen uit pentests zijn vrij beschikbaar via Github. Hoe werkt deze manier van werken door in de privacy, security, het vertrouwen en de samenwerking tussen partijen? En welke rol kan het Forum spelen om deze werkwijze verder te bevorderen? Edo Plantinga (project- en programmamanager digitale overheid) gaf een toelichting.

Voor de ontwikkelaars was het wekken van vertrouwen in de te ontwikkelen app heel belangrijk. Wantrouwen van potentiële gebruikers en privacywaakhonden van een app die mogelijk allerlei data van gebruikers centraal opslaat lag immers op de loer en zou een succesvol gebruik in de weg staan. Daarnaast was er behoefte aan hulp van experts, ervaringsdeskundigen en een grote open source community van burgers om mee te kijken naar verbetering van de broncode en te helpen testen. Tijdens de ontwikkeling waren de broncode en bijbehorende documenten en gespreksverslagen voor hen op Github gezet zodat iedereen kon meekijken en in slack communities erover kon meepraten. Na oplevering van de app werden zij ook ambassadeurs voor de app om misverstanden in social media snel te kunnen corrigeren.

Een van de uitgangspunten in de ontwikkeling van de app is het zo toegankelijk mogelijk maken van de app voor mensen met een visuele beperking en hen die de Nederlandse taal niet machtig zijn. Ook stond privacy first voorop, zowel bij de ontwikkeling van de app als de werking van de app. Hierin zijn de ontwikkelaars relatief ver gegaan. Zo zou je in theorie kunnen afleiden dat vastgesteld is dat iemand met Covid-19 besmet is als zijn of haar app extra data verzendt om dit kenbaar maken bij actieve apps van mensen bij hem of haar in de buurt. De app is echter zo ontwikkeld dat dit niet uit het dataverkeer van iemands mobiele telefoon valt af te leiden.

Edo Plantinga geeft ter overweging aan het Forum mee dat het gebruik van open standaarden de ontwikkelaars veel tijd heeft bespaard. Daarnaast was het gebruik van gestandaardiseerde best practices als de Standard for public code en de ontwerpprincipes van Gebruiker Centraal zeker zo behulpzaam. Open source implementaties van standaarden en (open source) tools en API’s rondom standaarden als Internet.nl, NLX en Haven worden ook steeds belangrijker. Wellicht dat in de toekomst het Forum kan overwegen deze onderwerpen in een bepaalde vorm te adopteren.

Actiepunten

Nummer

Actiepunt

Wie

Per datum

Status

68

Agenderen APIs voor een komende Forum-vergadering

Cor Franke, Friso Penninga en Theo Peters

9 december 2020

 

67

“Cloud + rol overheid + Gaia X revisited” agenderen voor Forum I of II 2021, incl. betrokkenheid EZK

Michiel Steltman, Thomas Faber, Theo Peters, BFS

9 december 2020

Vergadering 10 maart 2021

66

Cloud-initiatief VNG R: waar speelt standaardisatie een rol

Theo Peters met Larissa Zegveld en Gerard Smits

9 december 2020

PM

65

Inbreng leveren aan ministeriële regeling betrouwbaarheidsniveaus en update handreiking

Gerard Hartsink, BFS

9 december 2020

 

64

Contact houden met Logius/machtigen bij uitwerking handreiking betrouwbaarheidsniveaus

BFS, Logius

9 december 2020

 

63

Aandacht voor internationale aspect in volgende versie inkoop en open standaarden en contat met NEVI

BFS, Gerard Hartsink

9 december 2020

 

62

Meehelpen aan intensiveren gebruik DigiNetwerk voor overheden i.p.v. internet

BFS

9 december 2020

 

58

Concrete bevindingen werkgroep API Strategie agenderen voor een komende Forum-vergadering.

BFS (Han)

24 juni 2020

Wordt geagendeerd in de eerste helft van 2021.

57

Video GeoPackage op website Forum?

BFS

24 juni 2020

Onderdeel van de beschrijving use cases (video) domeinen/standaarden

55

Brug slaan naar het NCSC inzake aanbevelingen en aanbestedingen inzake internet(veiligheids)-standaarden?

BFS

24 juni 2020

BFS werkt veel samen met NCSC in de stimulering van de adoptie van internet(veiligheids)-standaarden. We gaan regulier overleg inplannen.

53

Toelichten hoe profiel OAuth2.0 en andere (als en i.c.m. REST API Design Rules en aangekondigde profiel OIDC) in de praktijk toegepast kunnen worden en wat de onderlinge samenhang is.

BFS (Redouan)

6 mei 2020

In het najaar 2020 wordt het OIDC profiel aangemeld voor opname op de lijst. De samenhang rondom OAuth 2.0, OIDC en REST API’s wordt in het onderzoek voor opname van de standaard verder belicht.

52

Toelichting stand van zaken n.a.v. onderzoek eendomeinnaamextensie.

BZK DO i.o.

6 mei 2020

 Update plaatsgevonden in Forumstukken 24/6. Inhoudelijke update doorgeschoven.

46

Toelichting op hoe standaard REST API Design Rules in de praktijk kan worden toegepast.

BFS

6 mei 2020

REST API Design Rules-pagina op site. Gewerkt wordt aan info over relatie tussen REST API's, Digikoppeling en StUF i.s.m. Logius,

41

Nadere toelichting op wet DO over artikel 3 lid a en c in een volgende vergadering.

BFS (Désirée)

4 maart 2020

Wetsvoorstel bij Eerste Kamer, bespreking tweede helft 2020. Erna na Forum-vergadering.

37

Vinger aan de pols houden financiering beheer RIONED.

BFS

4 maart 2020

Doorlopend.

34

Inzake het traject Ptolu Next Level een duidelijk onderscheid maken tussen open standaarden die verplicht moeten worden uitgevraagd bij aanbestedingen en open standaarden die verplicht zijn te gebruiken (informatieveiligheidsstandaarden). Duidelijker moet worden gemaakt dat die laatste sowieso moeten worden toegepast (aanbesteding of niet).

BFS (Redouan)

4 maart 2020

Dit punt wordt opgepakt in het onderzoek naar de aard van de lijst. De verwachting is dat dit in Forum van maart 2021 voorgelegd kan worden.

33

Inzetten op een volwaardige aanpak van Internationaal in 2020.

BFS (Robin)

4 maart 2020

Wordt bekeken aan de hand van onderzoek internationaal

28

Forumleden geven aanvullingen/correcties door op sponsorschap lijst.

Forum

doorlopend

Doorlopend.

27

Leveranciers (meer) betrekken in procedures intake standaarden en de meerwaarde voor hen duidelijk te maken.

BFS

11 december 2019

Overleg met NL Digital, samenwerking met NEN

17

Toelichten voortgang plan van aanpak document-standaarden in een volgende Forum-vergadering.

BFS (Han)

12 juni 2019

Staat op backlog Forum.

15a

Uitnodigen Tweede Kamer voor toelichting over aanpak sterke verbetering webdomein-naambeheer en toepassing iv-standaarden in een volgende Forum-vergadering.

BFS (Bart)

24 april 2019

Contacten zijn er. Onderwerp wordt aan longlist met potentiële presentaties toegevoegd.

Afgeronde actiepunten

Nummer

Actiepunt

Wie

Per datum

Status

61

Voorstel vorm samenwerking NEN

BFS (Ludwig)

7 oktober 2020

Vergadering 9 december

60

Werkplan indikken + highlights formuleren

BFS (Joram)

7 oktober 2020

Vergadering 9 december

45

Bilaterale afstemming over onderwijs en zorg in Forum.

BFS, Joop van Lunteren (onderwijs) en Friso Penninga (zorg).

6 mei 2020

Voorgenomen in laatste kwartaal 2020

47

Toelichting op hoe NL GOV Assurance profile for Oauth2.0 in de praktijk kan worden toegepast.

BFS

6 mei 2020

Gerelateerd aan PTOLU Next level en afronding OIDC-profiel (najaar 2020)

42

Concrete praktijkvoorbeelden voor bestuurders over risico's niet-implementering en voordelen implementering open standaarden.

BFS (Bertwin)

4 maart 2020

Opgenomen in werkplan 2021

36

Oppakken aanbevelingen analyse IPv4 en IPv6.

BFS (Bart/Robin)

4 maart 2020

Inventarisatie aanpak opgepakt.

Documentatie-type