Artikel Open Standaarden Monitor 2021

Standaarden verwaarloosd: tijd voor bestuurlijke actie

Vergadering: Forum Standaardisatie 28 september 2022

Agendapunt: FS-20220928.4B1

Documentnummer: 4B1

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Auteur: Forumlid Standaardisatie

Wij, als i-bestuurders, we laten iets liggen. De IT-voorzieningen waar onze samenleving afhankelijk van is: die kunnen goedkoper, slimmer en veiliger werken. En al die mooie data-strategiën blijven onhaalbaar zoals het nu gaat. De jongste Monitor Open Standaarden toont het opnieuw: we laten te veel kansen liggen. Graag vertel ik hier hoe we dat kunnen aanpakken!

Maar eerst: wat gaat er mis? Wanneer aannemers het Bouwbesluit negeren zodat balkons afbreken of vloeren instorten, wanneer boeren nitraatnormen overschrijden, wanneer de horeca zijn keuken-hygiëne verwaarloost: dan is er verontwaardiging en roep om strenge handhaving. Laten wij eens in onze eigen keuken kijken. Hoe gaat het met onze normen en standaarden, rond IT en informatievoorziening bij de overheid? Spoiler: niet goed. Dat blijkt uit de metingen die we jaarlijks doen, al sinds 2013. De nieuwe Monitor OpenStandaarden 2021 doet er weer verslag van: met 188 pagina’s feiten en verantwoording. We kunnen er niet omheen: onze keuken is niet en komt niet op orde, als we blijven doorgaan zoals we gewend zijn.

Formele basis

Sinds 2008 hebben we elkaar verplicht om open standaarden te gebruiken in onze IT-voorzieningen, (of tenminste te verklaren waarom nog niet met “pas toe of leg uit”). Alle gemeenten, provincies, waterschappen en het rijk werken daarvoor samen in het Forum Standaardisatie. Daar spreken we af welke krappe selectie van de vele standaarden die speciale verplichting krijgt. Het Forum adviseert over interoperabiliteit en het gebruik van open standaarden. Voor veilig en vlot digitaal verkeer, verbetering van datakwaliteit en meer keuze in het aanbod van leveranciers. De adviezen gelden voor de hele publieke sector en vooral voor overheids- organisaties.

Meting 2021: minder dan 50% voldoet

Met steekproeven controleert het Forum de aanbestedingen en het gebruik van standaarden, plus de toepassing ervan in centrale voorzieningen. Uit de inkoop-cijfers bleek dat bij slechts 40% van onze IT-aanbestedingen meer dan 2/3 van de relevante standaarden werd gevraagd! De trend gaat wel licht omhoog, maar veel te weinig. Deze grafiek toont de ontwikkeling sinds 2011. In dit tempo gaat het nog vele jaren duren voordat wij ons eigen ‘Bouwbesluit’ naleven. Voor hoeveel neerstortende balkons als IT-debacle of als sluipende betonrot in onze systemen willen wij nog tekenen?

Uit metingen aan de servers waarop onze websites en e-mail draaien, blijkt dat vijf maatregelen tegen phishing wél worden ingezet bij 94% van onze systemen, maar ook dat vier andere maatregelen pas bij 50- 74% actief zijn. Toch geldt ook hier:

één zwakke deur is genoeg voor de dief. Al die systemen zijn dus kwetsbaar voor inbraak, voor gijzeling van data of voor misleiding met een valse mail-afzender. Of kijk naar de inzet van IPv6-adressen op het internet: die ligt pas op 40% voor email en 79% voor websites, terwijl we dit jaar 100% moesten halen.

Wie nog steeds alleen via oude IPv4- adressen werkt kan feitelijk onbereikbaar raken. Willen we dit soort risico’s echt nemen?

Het belang van open standaarden

Een standaard is een afspraak over informatie of een proces. Als computersystemen gegevens uitwisselen, dan moeten zij die afspraken of processen hanteren. Doen ze dat niet, dan kunnen er fouten ontstaan, kan het systeem misbruikt worden of verkeerde data overnemen. Zonder die afspraken kunnen we niet mobiel met elkaar bellen, geen berichten uitwisselen, veilig mailen, elkaars documenten lezen, of het internet gebruiken.

Doordat er standaarden zijn, kunnen we elkaar begrijpen. Doordat de standaarden open zijn, kan iedereen aansluiten en kun je kiezen uit aanbieders. De afspraken beschrijven alleen software die door alle leveranciers gebruikt kan en mag worden. Dat voorkomt gedwongen winkelnering en is vereist voor open aanbesteding van IT-diensten.

Praktijk laat zien: het kan wél

Net zoals die aannemer en de horeca zich aan hun afspraken moeten houden, zo geldt dat ook voor ons. Gelukkig geeft de Monitor 2021 ook heel goede voorbeelden van waar het wel is gelukt. En ja, ook die overheden hebben te maken met legacy, met externe leveranciers, met botsende regels en andere prioriteiten in een krap budget. Toch lukt het hun! Zoals de gemeente Waddinxveen die een vrijwel perfecte aanbesteding deed. Zie hieronder een overzicht van nog vijf uitstekende aanbestedingen, als werd soms niet om álle relevante standaarden gevraagd.

Waarom lukt het in deze gevallen wel, maar bij de meeste overheden nog niet? De onderzoekers die de monitor opstellen hielden ook interviews met inkopers en architecten. Dat gaf een goede blik in onze keukens. Daaruit blijkt dat afzonderlijke aanbesteders of eenzame projectleiders de oude patronen nauwelijks kunnen doorbreken. Ook de landelijke voorlichting en stimulering vanuit het Forum Standaardisatie bereikt hun werkvloer slecht. Mensen beseffen de samenhang en het belang te weinig. Meestal ontbreekt het niet aan goede wil bij de individuele trekkers, maar het patroon in hun organisatie werkt tegen. En juist dát gegeven brengt ons, als bestuurders aan zet!

Het kan wél: goede voorbeelden

• Ministerie van BZK: vervangt het Rijksportaal als rijksbreed intranet. Commentaar op aanbesteding: “Een perfecte aanbesteding! Ruim aandacht voor open standaarden(beleid). De relevante open standaarden worden verzameld weergegeven en toegelicht”.
• Ministerie van Financiën: realiseren van nieuwe website voor de Rijksacademie. Commentaar: “Heel goed, alleen jammer dat de mailstandaarden niet zijn geëist. Duidelijk aangegeven dat het ICT-product moet voldoen aan relevante open standaarden zoals gepubliceerd bij BFS, […] veel verwezen naar specifieke open standaarden.”
• Gemeente Waddinxveen: nieuwe applicatie voor Commentaar: “Een goede aanbesteding! De oplossing dient te voldoen aan de verplichte open standaarden [..]. Helaas zijn de belangrijke standaarden HTTPS/HSTS, TLS en IPv4/6 en ODF niet gevraagd.”. Hier werden 16 standaarden als relevant aangemerkt door de beoordelaars:
• Gemeente Apeldoorn: Realisatie van een Integratievoorziening met een Enterprise Service Bus (ESB), een API Gateway en Digikoppeling. Commentaar: “Een goede aanbesteding waarbij veel van de relevante standaarden zijn uitgevraagd, we missen alleen ODF en Open API ”
• Gemeente Purmerend: dienstverlening eHRM als “proven technology”. Commentaar: “Een goede aanbesteding waarbij veel van de relevante standaarden zijn uitgevraagd, we missen alleen ODF, Open API specification, NL GOV Assurance profile en REST API Design Wel met de kanttekening dat de laatste twee pas recent op de lijst staan.”
• Regio Rivierenland: de Bommelerwaard zoekt een datadistributiesysteem. Commentaar: “Een goede aanbesteding. Veel relevante standaarden zijn uitgevraagd. Er moet worden voldaan aan de open standaarden. Deze drie zijn ook relevant maar werden niet uitgevraagd: ODF, DNSSEC en SAML.”

Handvaten voor bestuurders

Wanneer de leiding van een organisatie niet zelf, zichtbaar en consequent laat zien deze afspraken belangrijk te vinden, dan verandert de praktijk niet of nauwelijks. Dat weten we uit andere veranderprocessen: van onderop komen dit soort veranderingen niet of slechts moeizaam tot stand. In ketens moet elke partij meedoen om het net te sluiten, zowel interbestuurlijk (met andere organisaties) als binnen uw eigen organisatie. Wanneer meerdere disciplines nodig zijn hebben zij vaak moeite om tijdig, blijvend en vruchtbaar bij elkaar te komen. In dit geval gaat het om beleid, praktijk, ICT en Inkoop, vaak met nog andere eenheden. Zeker een kleine staf heeft vaak moeite daarbij de juiste hulp te vinden. Dat lukt niet zonder hulp van de bestuurder of hoogste manager. Maar hoe dan?

Heel praktisch: vraag de juiste mensen om tafel, ontdek wat er beter kan in eigen huis. Raadpleeg daarvoor de Monitor Open Standaarden en de IV-meting, om na te gaan hoe uw eigen organisatie de standaarden gebruikt. Gebruik hiervoor de eigen analyse, die voor veel uitvoeringsorganisaties beschikbaar is op [vindplaats nog invoegen]. Bespreek de afwijkingen of achterstanden die daarin staan zowel met uw dagelijks bestuur als met het management van de betrokken eenheden. Regel prioriteit voor de aanpak.

Of in de formele taal van organisaties: Controleer en verbeter de verankering van open standaarden in uw werk- processen en beleidskaders. Doe dat voor 1) Informatiebeveiliging en bedrijfsvoering; voor 2) ICT- opdrachtgeverschap met contract- management en voor 3) Aanschaf en inkoop, met de Beslisboom Open Standaarden.”

Vindplaatsen voor hulp en informatie

Op de website van Forum Standaardisatie helpt de Beslisboom bij selectie welke standaarden relevant zijn voor een specifiek geval. Er zijn

handreikingen bij inkoop. Er is uitleg wie watmoet doen per rol in het proces. Er staat een opgave van welke leveranciers met een manifest hebben verklaard om interoperabiliteit te ondersteunen. Er staan diverse praktijkervaringen beschreven. De medewerkers van het bureau zijn als accountmanager op deelgebieden benaderbaar voor advies. Voor het huidig gebruik van standaarden per voorziening, zie deze wiki-pagina van NORA).

Acties op landelijk niveau

Forum Standaardisatie analyseert jaarlijks met steekproeven of met name overheidsorganisaties de open standaarden toepassen. Hierbij wordt gekeken naar hun vermelding in aanbestedingen en naar het gebruik in generieke overheidsvoorzieningen. Aanvullend rapporteert het Forum halfjaarlijks over het gebruik van standaarden voor informatieveiligheid, door web- en email-domeinen te toetsen via internet.nl. Verder adviseert het Forum voor de praktijk en voor de beleidsontwikkeling. Het Forum Standaardisatie werkt hierin nauw samen met de ministeries van BZK en EZK.

Namens de koepels van overheden (die alle in het Forum zijn vertegenwoordigd) voeren we overleg met leveranciers uit de IT-branche om verbeteringen te realiseren. Ook die bedrijven hebben immers een maatschappelijke verantwoordelijkheid hierin. En het werken met open standaarden past naadloos in, is zelfs een voorwaarde voor het meer datagericht werken waar nu zoveel vraag naar is. Alle trends gaan dezelfde kant op. Interoperabiliteit voor datadeling zal echt niet lukken wanneer we niet allemaal dezelfde standaarden hanteren; dan wordt elke data-strategie zinloos.

Dus mogen we niet langer wachten op elkaar. De bestuurlijke afstand tussen landelijk overleg en de echte, decentrale praktijk blijkt nog steeds te groot, die brug moeten we nu slaan. Het is belangrijk dat elke overheidsorganisatie deze standaarden echt ook zelf oppakt.

Wij zijn er daarom van overtuigd dat nu de leiding aan zet is: voor i-bestuurders die het verschil kunnen maken. Uw ervaringen daarmee zijn ook van harte welkom bij ForumStandaardisatie; wij delen graag de successen en ervaringen.