Oplegnotitie Lijsten Open Standaarden

Vergadering: Forum Standaardisatie 9 Juni 2021

Agendapunt: 3

Documentnummer: FS-20210609.3

Aan: Forum Standaardisatie

Van: Stuurgroep Open Standaarden

Datum: 26 mei 2021

Versie: 2.0

Bijlagen:

• FS-20210609.3A Forumadvies functioneel toepassingsgebied WPA2 Enterprise
• FS-20210609.3B Forumadvies versiewijziging SETU
• FS-20210609.3C Intakeadvies Digikoppeling
• FS-20210609.3D Forumadvies MIM
• FS-20210609.3E Intakeadvies Erfgoedstandaard
• FS-20210609.3F Expertadvies NL_LOM

Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Samenvatting

Ter besluitvorming

U wordt gevraagd om in te stemmen met de volgende adviezen.

Pas toe of leg uit:

• A. Handhaving van het functioneel toepassingsgebied van WPA2 Enterprise waarin een uitzondering geldt voor openbare gastnetwerken.
• B. Actualisering van de versie van SETU op de ‘pas-toe-of-leg-uit’ lijst.
• C. In procedure nemen van de uitbreiding van Digikoppeling met een REST API koppelvlak.

Lijst aanbevolen standaarden:

• D. Plaatsing van MIM op de lijst aanbevolen standaarden.
• E. In procedure nemen van de Erfgoedstandaard.

Ter kennisname

• F. Handhaving van NL_LOM op de ‘pas-toe-of-leg-uit’ lijst
• G. Lopende procedures

Ter besluitvorming

Ad A. Functioneel toepassingsgebied WPA2 Enterprise

[Bijlage: FS-20210609.3A Forumadvies functioneel toepassingsgebied WPA2 Enterprise]

Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies:

Het handhaven van het functioneel toepassingsgebied van WPA2 Enterprise met de uitzondering voor openbare netwerken voor gastgebruik.

Over de standaard

WPA2 Enterprise maakt het mogelijk om veilige WiFi netwerken op te zetten. De standaard beschrijft de beveiligingsmechanismen voor het tot stand brengen van toegang tot een WiFi-netwerk. Het huidige functioneel toepassingsgebied verplicht het gebruik van WPA2 Enterprise bij het tot stand brengen van toegang tot WiFi netwerken met uitzondering van openbare netwerken voor gastgebruik. WPA2 Enterprise staat sinds 2016 op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie.

Hoe is het proces verlopen?

Op 11 mei 2020 dienden de Stichting Privacy First en Publicroam B.V. een verzoek in om de uitzondering voor gastnetwerken uit het functioneel toepassingsgebied te laten vallen. Forum Standaardisatie besloot op 24 juni 2020 om het verzoek in procedure te nemen. Op 15 september 2020 kwam een groep experts bijeen. Het expertadvies is van 7 oktober tot en met 5 november 2020 ter openbare consultatie aangeboden op internetconsultatie.nl. Uit de openbare consultatie kwamen punten naar voren die aanleiding gaven tot aanvullend onderzoek. Op basis van het expertonderzoek, de openbare consultatie en het aanvullend onderzoek is het Forumadvies samengesteld.

Advies en gevraagd besluit

Het expertonderzoek resulteerde in een positief advies over de wijziging van het functioneel toepassingsgebied van WPA2 Enterprise. Het expertadvies legt daarbij nadruk op de maatschappelijke waarde voor het algemene publiek van veilige WiFi met roaming op gastnetwerken bij de overheid. In contrast met het overwegend positieve expertadvies leverde de openbare consultatie een aantal kritische reacties op.

Uit het expertadvies en de openbare consultatie blijkt geen evident draagvlak bij de overheid om het functioneel toepassingsgebied van WPA2 Enterprise te verbreden. Het expertadvies maakt wel melding van gemeenten die WPA2 Enterprise toepassen op hun gastnetwerken, maar daaruit volgt niet dat er over de breedte van de overheid draagvlak is voor het verplichten van WPA2 Enterprise voor alle WiFi gastnetwerken en alle soorten gastgebruik.

VNG en de Belastingdienst vinden een algemene verplichting van WPA2 Enterprise geen passend middel om veilige gastnetwerken te realiseren voor gebruikers zonder zakelijke binding met de organisatie die zij bezoeken.

Om roaming tussen WiFi gastnetwerken te realiseren en een tegelijk open markt te waarborgen, moet een organisatie kunnen kiezen uit meerdere dienstaanbieders die onderling afspraken hebben over federatie van identiteiten. Dat is op dit moment niet de realiteit van de markt.

Het expertadvies roept koepelorganisaties zoals VNG (Realisatie), UvW, IPO en CIO Rijk op om aan leveranciers van WPA2 Enterprise authenticatiediensten voorwaarden te stellen over privacy, leveranciersafhankelijkheid en interoperaliteit, om het persoonlijke en publieke belang te waarborgen. Zulke afspraken bestaan op dit moment niet.

Het gebrek aan bewezen draagvlak en evenwichtige marktondersteuning geven aanleiding tot het advies om de uitzondering voor gastnetwerken niet uit het functioneel toepassingsgebied te verwijderen. Forum Standaardisatie kan wel een oproep aan de overheid doen om gastnetwerken veilig aan te bieden. WPA2 Enterprise kan daarbij genoemd worden als faciliterende standaard.

Ad B. Versiewijziging SETU

[Bijlage: FS-20210609.3B Forumadvies versiewijziging SETU]

Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies aan het OBDO:

Het actualiseren van de versies van de deelstandaarden van de standaard SETU en het toekennen van het predicaat ‘uitstekend beheer’ aan TNO voor SETU.

Over de standaard

De standaard SETU zorgt voor uniformering van het elektronisch berichtenverkeer tussen aanbieders en afnemers (inleners) van tijdelijk personeel (flexibele arbeid). De standaard beschrijft welke gegevenselementen verplicht en welke optioneel zijn bij de uitwisseling van informatie in de uitzendbranche. SETU bestaat uit een aantal deelstandaarden met eigen versienummers voor opdrachtverstrekking, toewijzing, tijdregistratie en facturering. SETU staat sinds 2009 op de ‘pas-toe-of-leg-uit’ lijst van het Forum Standaardisatie en wordt beheerd door TNO in opdracht van (Stichting) SETU.

Hoe is het proces verlopen?

Op 9 oktober 2020 meldde TNO in opdracht van SETU een versiewijzigingen aan van de specificaties die onderdeel zijn van de SETU standaard. Met deze actualisering van SETU werd de standaard tevens uitgebreid met een nieuwe deelspecificatie voor informatie uitwisseling over vacatures. Verder vroeg TNO het predicaat ‘uitstekend beheer’ aan zodat er geen toetsingsprocedure meer doorlopen hoeft te worden bij toekomstige versiewijzigingen.

Forum Standaardisatie besloot op 9 december 2020 om deze versiewijzigingen in procedure te nemen. Op 16 februari vond een expertbijeenkomst plaats. Het expertadvies is van 8 april tot en met 6 mei 2021 aangeboden ter openbare consultatie op internetconsultatie.nl. Uit deze internetconsultatie kwamen geen reacties. Op basis van het expertonderzoek is het Forumadvies voor de versiewijzigingen van SETU opgesteld.

Advies en gevraagd besluit

De experts stellen vast dat de nieuwe versies van de SETU deelstandaarden voldoen aan de criteria voor de ‘pas-toe-of-leg-uit’ lijst. Actualisering van de SETU deelstandaarden op de ‘pas-toe-of-leg-uit’ lijst is noodzakelijk omdat de markt de nieuwe versies al gebruikt, en TNO de oude versies niet meer beheert. De nieuwe versie 2.2 van de deelstandaard voor facturering is bovendien gebaseerd op de standaard NLCIUS, die als verplichte standaard voor facturering op de ‘pas-toe-of-leg-uit’ lijst staat.

TNO heeft het beheer van de standaard SETU zodanig ingericht dat het volgens de experts in aanmerking komt voor het predicaat ‘uitstekend beheer’. Tijdens het expertonderzoek constateerden de experts wel dat de specificatiedocumenten alleen beschikbaar waren voor geregistreerde gebruikers op de SETU website. De experts adviseerden om de specificatiedocumenten inlog-vrij beschikbaar te stellen, en daaraan heeft TNO inmiddels gehoor gegeven.

Op basis van het expertonderzoek luidt het advies om de versies van de SETU deelstandaarden op de ‘pas-toe-of-leg-uit’ lijst te actualiseren en TNO het predicaat ‘uitstekend beheer’ toe te kennen voor SETU, zodat toekomstige versiewijzigingen niet meer getoetst hoeven worden.

Ad C. Uitbreiding Digikoppeling met REST API koppelvlak

[Bijlage: FS-20210609.3C-Intakeadvies-Digikoppeling]

Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies:

Het in procedure nemen van de actualisering van de koppelvlakken en verduidelijking van het functioneel toepassingsgebied van Digikoppeling op de ‘pas-toe-of-leg-uit’ lijst.

Over de standaard

Digikoppeling is een open standaard die bestaat uit een set koppelvlakspecificaties voor gestructureerd berichtenverkeer met en tussen overheidsorganisaties. De standaard bevat afspraken om berichten juist te adresseren, leesbaar en uitwisselbaar te maken en veilig en betrouwbaar te verzenden. Digikoppeling wordt beheerd door Logius en staat sinds 2009 op de ‘pas-toe-of-leg-uit’ lijst.

De bestaande koppelvlakstandaarden van Digikoppeling zijn gebaseerd op de uitwisseling van XML berichten volgens SOAP (Simple Object Access Protocol) principes. De afgelopen tien jaar worden REST APIs wereldwijd veel gebruikt als gangbaar en efficiënt alternatief voor SOAP.

Hoe is het proces verlopen?

Op 12 april 2021 meldde Logius bij Bureau Forum Standaardisatie de uitbreiding van Digikoppeling met een REST API koppelvlak conform. Op 20 april 2021 heeft een intakegesprek plaatsgevonden met de indiener. Op basis hiervan heeft onafhankelijk procedurebegeleider Lost Lemon een intakeadvies opgesteld.

Advies en gevraagd besluit

De uitbreiding van Digikoppeling met een REST API Koppelvlak heeft als doel om gebruikers te verlossen van twijfel wanneer ze Digikoppeling moeten toepassen of REST APIs mogen toepassen. Het REST API koppelvlak van Digikoppeling voldoet aan de standaarden REST API Design Rules en Open API Specification die op de ‘pas-toe-of-leg-uit’ lijst staan, en laat implementatie met de NLX van Common Ground toe.

Met het doorlopen van een toetsingsprocedure wil Logius de toevoeging van het REST API koppelvlak aan Digikoppeling graag ter bespreking stellen in een brede groep experts en overheidsorganisaties. Daarnaast wil Logius wil de beschrijving van het functioneel toepassingsgebied van Digikoppeling verduidelijken door expliciet in de tekst op te nemen dat Digikoppeling alleen verplicht is voor gegevensuitwisseling waarbij authenticatie moet plaatsvinden van de afnemer van de gegevens. Het gaat hier nadrukkelijk om een verduidelijking en niet om een wijziging van het functioneel toepassingsgebied.

Het intakeadvies bevestigt dat deze actualisering van Digikoppeling voldoet aan de criteria om in behandeling genomen te worden door het Forum Standaardisatie.

Ad D. Plaatsing MIM op lijst aanbevolen standaarden

[Bijlage: FS-20210609.3D Forumadvies MIM]

Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies aan het OBDO:

Het opnemen van de standaard MIM (Metamodel voor Informatiemodellering) op de lijst aanbevolen standaarden en het aan Geonovum toekennen van het predicaat ‘uitstekend beheer’ voor MIM.

Over de standaard

MIM (Metamodel voor Informatiemodellering) is een verzameling afspraken over het opstellen van informatiemodellen. Door het toepassen van MIM worden informatiemodellen beter vergelijkbaar en worden standaarden voor gegevensuitwisseling gebaseerd op deze informatiemodellen meer compatibel.

Technisch gezien is MIM een zogenaamd meta-model, een ‘model van een model’ dat bouwstenen van modellen beschrijft met hun betekenis en met afspraken over hoe deze toe te passen. MIM heeft een sector overstijgende toepassing en wordt beheerd door Geonovum.

Hoe is het proces verlopen?

Geonovum heeft MIM op 25 oktober 2018 aangemeld voor plaatsing op de ‘pas-toe-of-leg-uit’ lijst. Op 13 december 2018 besloot Forum Standaardisatie de standaard in procedure te nemen en op 24 januari 2019 kwam de expertgroep bijeen.

Uit het expertonderzoek kwam naar voren dat MIM niet voldeed aan de criteria voor plaatsing op de ‘pas-toe-of-leg-uit’ lijst. Het beheer van de standaard was nog onvoldoende georganiseerd en de financiering van het beheer was niet voor tenminste drie jaar gegarandeerd.

Ook zagen de experts inhoudelijke aandachtspunten, met name in relatie met linked data toepassingen. Bureau Forum Standaardisatie besloot in overleg met Geonovum om de procedure aan te houden en Geonovum in de gelegenheid te stellen deze knelpunten op te lossen.

In november 2020 gaf Geonovum aan dat de procedure hervat kon worden, echter nu met verzoek tot plaatsing van MIM op de lijst aanbevolen standaarden. Op 2 maart 2021 kwam de expertgroep opnieuw bijeen om MIM opnieuw te toetsen aan de criteria voor opname.

Het expertadvies werd van 8 april tot en met 6 mei 2021 aangeboden ter openbare consultatie op internetconsultatie.nl. In de openbare consultatie kwam een tweetal kritische reacties terug. Op basis van het expertadvies en de reacties uit de openbare consultatie is het Forumadvies samengesteld.

Advies en gevraagd besluit

De experts stellen vast dat MIM voldoet aan de criteria voor plaatsing op de lijst aanbevolen standaarden. Zij beamen dat het beheer zodanig georganiseerd is dat Geonovum voor MIM het predicaat ‘uitstekend beheer’ kan ontvangen. Ook is MIM zodanig aangepast dat het toepassingen met linked data beter ondersteunt. MIM wordt binnen de overheid al toegepast door onder andere DUO, Kadaster, minBZK (DSO), de Politie, VNG, de Waarderingskamer en de onderwijsketen.

Een aandachtspunt blijft de overlap van MIM met standaarden NEN 3610 uit het Geo-domein en de standaarden NTA 8035:2020, NEN 2660-1, CEN TC442/WG4/TG3 SML en ISO 12006-3 uit het domein van de bebouwde omgeving. Dit kan dit verwarring opleveren bij organisaties in deze sectoren. Een aantal experts stelt bovendien dat sommige van de bovengenoemde standaarden ook sector overstijgend gebruikt kunnen worden.

Het advies luidt om MIM op te nemen op de lijst aanbevolen standaarden. De overweging hierbij is dat MIM een volwassen, sector overstijgende standaard is die al breed wordt toegepast bij de overheid. NEN 2660-1 is nog in ontwikkeling en heeft vooralsnog een afgebakend toepassingsgebied.

Opname op de lijst aanbevolen standaarden brengt geen verplichting met zich mee, zodat NEN 3610 en NEN 2660 kunnen worden toegepast waar deze standaarden relevanter blijken. Geonovum en NEN worden wel opgeroepen om duidelijkheid te scheppen over de toepassingsgebieden van MIM en NEN 2660-1 en waar mogelijk compatibiliteit te waarborgen.

Ad E. Start procedure Erfgoedstandaard

Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies:

Het in procedure nemen van de Erfgoedstandaard voor plaatsing op de lijst aanbevolen standaarden.

Over de standaard

De Erfgoedstandaard is een gegevenswoordenboek ten behoeve van erfgoedregistraties. Door toepassing van de Erfgoedstandaard worden gegevens over erfgoed op gestandaardiseerde wijze en volgens eenduidige definities toegankelijk en uitwisselbaar.

Er bestaat geen richtlijn voor de wijze waarop gemeenten gegevens over erfgoed vastleggen. Dit zorgt voor interoperabiliteitsproblemen op het moment dat deze gegevens over de grenzen van de gemeente (bijvoorbeeld met de Rijksoverheid, provincies of andere gemeenten) gedeeld worden. De Erfgoedstandaard draagt bij aan de oplossing van dit probleem.

De Erfgoedstandaard wordt beheerd door de Werkgroep De Data-Beet in opdracht van het Bestuurlijk Platform Erfgoedgemeenten (BPE).

Hoe is het proces verlopen?

Op 29 maart 2021 meldde de Werkgroep De Data-Beet de Erfgoedstandaard in opdracht van het Bestuurlijk Platform Erfgoedgemeenten (BPE) aan voor plaatsing op de lijst aanbevolen standaarden. Op 6 mei 2021 vond een intakegesprek plaats met de indieners. Op basis van dit intakegesprek is het intakeadvies samengesteld.

Advies en gevraagd besluit

Uit het intakeadvies blijkt dat de Erfgoedstandaard voldoet aan de criteria om in procedure genomen te worden voor opname op de lijst aanbevolen standaarden. De standaard is toepasbaar op gegevensuitwisseling tussen overheidsorganisaties, lost een reëel interoperabiliteitsprobleem op en is niet al wettelijk verplicht. Hoewel vooral gemeenten deze standaard gebruiken om erfgoed mee te registreren, is de standaard over de breedte van de overheid inzetbaar.

Er kwamen geen zaken aan het licht die op voorhand zouden kunnen leiden tot een negatief plaatsingsadvies. Wel zal het expertonderzoek aandacht moeten besteden aan het beheer van de Erfgoedstandaard om te toetsen of het aan alle eisen voldoet.

Het advies is derhalve om de Erfgoedstandaard in procedure te nemen voor plaatsing op de lijst aanbevolen standaarden.

Ter kennisname

Ad F. Handhaving NL_LOM op de ‘pas-toe-of-leg-uit’ lijst

[Bijlage: FS-20210609.3F Expertadvies NL_LOM]

Over de standaard

NL_LOM is een metadata standaard voor educatieve content. Toepassing van NL_LOM op leermateriaal vergroot de vindbaarheid ervan en maakt de leerobjecten beter vergelijkbaar. NL_LOM specificeert hoe metadata zoals auteursgegevens, titel, uitgever en taal moet worden vastgelegd.

NL LOM is een Nederlands toepassingsprofiel van de internationale standaard IEEE-LOM. Het is in de eerste plaats een semantische standaard, maar NL_LOM heeft ook enkele technische kenmerken. NL_LOM wordt buiten de onderwijssector ook in de erfgoedsector gebruikt, en er wordt gewerkt aan bredere toepassing binnen de overheid.

NL_LOM staat sinds 2011 op de ‘pas-toe-of-leg-uit’ lijst. In het kader van onderhoud op de ‘pas-toe-of-leg-uit’ lijst is de situatie rond NL_LOM in 2019 geëvalueerd. De evaluatie gaf geen eenduidig beeld van de meerwaarde van NL_LOM op de ‘pas-toe-of-leg-uit’ lijst.

Hoe is het proces verlopen?

Op 3 augustus 2020 diende Kennisnet een verzoek in tot verwijdering van NL_LOM van de ‘pas-toe-of-leg-uit’ lijst. Op 7 oktober besloot het Forum Standaardisatie dit verzoek in procedure te nemen. De procesbegeleiders hebben in het najaar van 2020 een expertonderzoek gedaan waarin drie experts werden gehoord. Op basis van deze gesprekken, die een beeld gaven van het beheer en gebruik van de standaard bij de overheid, is een expertadvies samengesteld. Het expertadvies is van 18 februari 2021 tot en met 18 maart 2021 ter openbare consultatie aangeboden op internetconsultatie.nl. In deze openbare consultatie werden geen reacties ontvangen.

Verwijderingsprocedure afgebroken

Het expertonderzoek bracht aan het licht dat NL_LOM nog steeds aan de criteria voor de ‘pas-toe-of-leg-uit’ lijst voldoet. In de onderwijssector is NL_LOM inmiddels een gangbare standaard, en voor dit werkingsgebied is de ‘pas-toe-of-leg-uit’ verplichting geen noodzaak meer. Maar SURF geeft aan dat NL_LOM ook toegevoegde waarde heeft in andere sectoren zoals de cultuursector, waar de standaard nog niet gangbaar is.

SURF heeft daarom de ambitie om een breder gebruik van NL_LOM bij de overheid te stimuleren. Ook wil SURF commerciële uitgevers van educatief materiaal bewegen om NL_LOM te ondersteunen, wat nu te weinig gebeurt.

Uiteindelijk bleek bij de ondervraagde organisaties (Stichting EduStandaard, SURF en SURFnet) geen duidelijk draagvlak te bestaan voor verwijdering van NL_LOM van de ‘pas-toe-of-leg-uit’ lijst. Stichting Edustandaard besloot derhalve het verzoek tot verwijdering van NL_LOM van de ‘pas-toe-of-leg-uit’ lijst in te trekken.

Bureau Forum Standaardisatie heeft de verwijderingsprocedure op verzoek van de experts afgebroken, en zal de komende twee jaar toezien of het werkingsgebied van NL_LOM zich werkelijk uitbreidt buiten de onderwijssector. Als hier eind 2022 nog geen duidelijke tekenen van zijn, kan Bureau Forum Standaardisatie de verwijderingsprocedure alsnog hervatten.

Ad G. Lopende procedures

NL GOV Assurance profile for OpenID Connect 1.0 is een door Logius ontwikkeld overheidsprofiel op de internationale standaard Open ID Connect 1.0 die reeds op de lijst aanbevolen standaarden staat. OpenID Connect (OIDC) 1.0 biedt een standaard protocol om authenticatie diensten van meerdere dienstverleners op een open en gedistribueerde manier hergebruiken.

Op 15 oktober 2020 heeft Logius de standaard NL GOV Assurance Profile for OIDC 1.0 aangemeld voor opname op de ‘pas toe of leg uit’ lijst. Forum Standaardisatie besloot op 9 december 2020 om NL GOV Assurance Profile for Open ID Connect 1.0 in procedure te nemen.

Het Forum was zich er bij dit besluit van bewust dat NL GOV Assurance Profile for Open ID Connect 1.0 nog niet voldeed aan alle criteria voor plaatsing op de ‘pas toe of leg uit’ lijst. Daarom stelt Forum Standaardisatie wel als voorwaarde dat het (tijdelijk) beheer van de standaard georganiseerd moet zijn en er meer zicht moet komen op praktijkervaring met de standaard en marktaanbod, voordat een Forumadvies kan worden opgesteld.

In september 2021 is een expertsessie gepland om NL GOV Assurance Profile for Open ID Connect 1.0 te toetsen tegen de criteria voor opname op de lijst. De verwachting is dat het Forumadvies in het najaar van 2021 kan worden voorgelegd aan het Forum Standaardisatie.