Onderzoek doorontwikkeling lijsten met verplichte en aanbevolen standaarden
Content
Vergadering: Forum Standaardisatie, 20 april 2022
Agendpunt: 4A1
Documentnummer: FS-20220420.4A1
Auteur: Paul Dam, Lex Digitalis
Opdrachtgever: Bureau Forum Standaardisatie
Datum: 23 maart 2022
Download hier de PDF versie van dit onderzoeksrapport. Dit PDF bestand is niet digitaal toegankelijk.
Rechten: CC0 publieke domein verklaring
Samenvatting
"Digitalisering verandert onze maatschappij ingrijpend en is tegelijkertijd essentieel om de maatschappij draaiende te houden. De uitbraak van het coronavirus en de gevolgen daarvan tonen dat nog eens extra aan. Juist nu blijkt de meerwaarde van investeringen in een goed gedigitaliseerde overheid. Die dragen bijvoorbeeld bij aan het organiseren van levensreddende zorg en aan goede overheidsdienstverlening...Dit vraagt om samenwerking, afspraken en standaardisatie"
Uit NLDigiBeter
Het Forum Standaardisatie (hierna 'Forum') heeft de taak te adviseren over interoperabiliteit en veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens. In dat kader doet het Forum voorstellen aan het OBDO voor het opnemen van open standaarden op de lijsten met verplichte en aanbevolen. De huidige structuur van de lijsten van het Forum is ruim 12 jaar oud. De verdergaande digitalisering geeft aanleiding om te kijken naar de mogelijkheden voor doorontwikkeling van de lijsten. Dit onderzoek geeft duidelijkheid over de relevantie van de lijsten, mogelijke stimuleringsmaatregelen en een stappenplan voor doorontwikkeling. Voor het onderzoek zijn in de tweede helft van 2021 meer dan 20 personen geïnterviewd. Het betreft leden en voormalige leden van het Forum Standaardisatie en andere betrokkenen bij de digitale overheid.
Conclusie
De hoofdconclusie uit de interviews is dat de lijsten onverminderd een belangrijk instrument vormen voor standaardisatie, ter ondersteuning van de digitale overheid. De lijsten genieten veel aanzien onder de gebruikers: de architecten van de digitale overheid. Dat neemt niet weg dat verbeteringen in het gebruik van de lijsten, in de communicatie rond de lijsten en in de structuur en inhoud van de lijsten nodig zijn om de relevantie van de lijsten voor de toekomst te borgen.
Aanbevelingen
Organiseer de standaarden naar thematische clusters
Een clustering van standaarden naar onderwerpen maakt het mogelijk dat relevanter, meer specifiek en toegespitst gecommuniceerd kan worden over de inhoud van de lijsten. Het gaat dan om een basisindeling, maar niet de enige indeling voor gebruikers. Van belang is dezelfde clustering toe te passen op de verplichte en de aanbevolen standaarden. De Beslisboom Open Standaarden ordent nu al de standaarden op de ‘pas toe of leg uit’-lijst in onderwerpen. Deze clustering biedt een mogelijk startpunt voor een clustering. Het User Experience (UX)-onderzoek naar de website van Forum Standaardisatie toont aan dat daarnaast verschillende filters voor meer overzicht kunnen zorgen. We bevelen het Forum aan een thematische clustering van standaarden op te stellen voor beide lijsten, die in de communicatie meer op de voorgrond staat dan de lijsten. Dat wil niet zeggen dat dit de enige indeling is of dat dit de enige thema’s zijn waarover gecommuniceerd wordt. Het betreft hier ‘slechts’ een basis- of standaardindeling.
Zet gangbare standaarden minder op de voorgrond
De lijst van aanbevolen standaarden bevat op dit moment een groot aantal de facto-standaarden (zoals CSS, DHCP, HTML, HTTP, DNS en MIME). Dit belemmert een eenvoudig inzicht in de werkelijk relevante standaarden voor een toepassing. Ook ontstaat hierdoor mogelijk het beeld bij gebruikers dat ook andere standaarden op de lijst en de lijst als geheel minder relevant zijn. Het is van belang de facto-standaarden op de lijst te houden, maar minder op de voorgrond te laten treden in de communicatie over de lijsten en de opgenomen standaarden. We bevelen het Forum aan de facto-standaarden onder te brengen in een apart onderdeel van de lijsten, zodat deze wel hun status behouden en vindbaar zijn, maar niet op de voorgrond treden.
Voer actiever onderhoud op de lijsten
Een aantal standaarden op de aanbevolen lijst lijkt in onbruik te zijn geraak, is nooit actief gebruikt of is achterhaald geraakt door ontwikkelingen in technologie en digitalisering. Er is dan geen noodzaak meer om deze standaarden op de aanbevolen lijst te houden. We bevelen het Forum aan de aanbevolen lijst blijvend actief te onderhouden en standaarden waarvoor geen noodzaak (meer) bestaat uit de lijst te schrappen, via de gebruikelijke procedures.
Andersom geldt ook dat gebruikers geholpen worden door in de clustering van en de filters op de lijsten, actief na te gaan welke relevante standaarden opgenomen moeten worden in ieder cluster en onder ieder filter, ter ondersteuning van de digitale overheid. Het Forum wacht nu de aanmelding voor opneming van een standaard af. We bevelen het Forum aan standaarden aan te dragen voor opneming op de lijst in de thematische clusters en onder de filters waar dat relevant is voor gebruikers van de lijsten.
Geef 'andersoortige standaarden' ruimte op de lijsten
De aanbeveling van standaarden door het Forum heeft aanzien onder de architecten van de digitale overheid. Echter, gegevensuitwisseling en hergebruik van gegevens vergt meer dan praktische afspraken over de daarbij te gebruiken standaarden. Gegevensuitwisseling vergt ook het vertrouwen tussen partijen dat gevoelige gegevens na verstrekking in goede handen zijn. Andersom vergt gegevensuitwisseling tevens dat ontvangen gegevens aan kwaliteitseisen voldoen. De aantoonbare toepassing van best practices, baselines en normenkaders versterkt dat vertrouwen. Voorbeelden zijn Secure Software Development, FAIR Data Principles en de Data Pro Code. Het gebruik van dezelfde best practices, baselines en normenkaders door verschillende partijen verhoogt de herkenbaarheid en acceptatie ervan. Ook dat is een vorm van standaardisatie. We bevelen het Forum aan ook best practices, baselines en normenkaders die bijdragen aan betrouwbare gegevensuitwisseling de status ‘aanbevolen’ te geven. Na beoordeling (al zij het dat waar noodzakelijk andere beoordelingscriteria gehanteerd zullen moeten worden doordat de reguliere criteria niet toe te passen zijn) kunnen ook deze andersoortige standaarden een steuntje in de rug krijgen. Deze andersoortige standaarden krijgen binnen de clustering separaat ruimte.
Communiceer het maatschappelijk belang van standaarden naar besluitvormers
Een belangrijk aspect in de communicatie over standaarden is het maatschappelijk nut van standaardisatie en standaarden. Dit geldt met name voor de communicatie gericht aan bestuurders en andere verantwoordelijken die een belangrijke stem hebben bij de inrichting van de digitale overheid. Het zijn echter vaak de beleidsverantwoordelijken, die nog dichter op maatschappelijke vraagstukken acteren. De uitdaging is aan hen te tonen hoe standaardisatie kan ondersteunen, mogelijk het best aan de hand van praktijkverhalen, zoals in de eerdere publicatie van het Forum ‘Standaardwerken: het belang van verbinden’. Dat vereist dan wel dat die verhalen vindbaar zijn. Nu in verschillende sectoren standaardisatie specifiek wordt opgepakt (zoals door Nictiz in de zorg en Edustandaard in het onderwijs) ligt het voor de hand dat het Forum met deze initiatieven samenwerkt op dit punt. Ook meer algemeen geldt dat de informatie van het Forum op die plekken beschikbaar moet zijn waar deze voor de gebruiker relevant is, zoals op dit moment reeds gebeurt als onderdeel van de informatie van de NORA. We bevelen het Forum aan blijvend het maatschappelijk nut van iedere standaard onder de aandacht te brengen, op een plaats en wijze die voor bestuurders en andere verantwoordelijken veel meer op de voorgrond treedt dan de lijsten en standaarden zelf. Hiertoe kan het Forum Open Linked Data toepassen. Dit kan voor groepen van standaarden en behoeft niet voor iedere standaard afzonderlijk.
Maak 'uitleggen' gemakkelijker
Voorgeschreven is dat partijen zich bij het niet toepassen van de verplichte standaarden verantwoorden in hun jaarverantwoording. Vanaf het begin van het ‘pas toe of leg uit’-regime constateert het Forum dat partijen deze verantwoordingsplicht niet nakomen We bevelen het Forum aan na te gaan op welke wijze organisaties de ‘leg uit’-verplichting laagdrempeliger kunnen nakomen, bijvoorbeeld door toepassing van een ‘leg uit’-register dat het Forum faciliteert.
Maak escalatie mogelijk bij achterblijvende toepassing
Daarnaast bevelen we het Forum aan, met ondersteuning van het Bureau Forum Standaardisatie (hierna 'Bureau'), na te gaan op welke wijze escalatie ingezet kan worden bij het niet toepassen van verplichte standaarden.
Inleiding
De dynamiek van de standaardisatie
Digitalisering heeft de afgelopen decennia aan belang en urgentie gewonnen en werkt op alle leefdomeinen van mensen in Nederland door. Digitale technologie maakt een nieuwe aanpak van maatschappelijke uitdagingen mogelijk. Als drijvende kracht kan digitalisering leiden tot ingrijpende maatschappelijke veranderingen en verandering van interacties tussen mensen onderling, mensen en (overheids-) organisaties en (overheids-) organisaties onderling. ICT is overal, zoals in de aanvraag van een vergunning, de samenwerking in de strafrechtketen, bij de bestrijding van corona en de toekenning van toeslagen. De uitvoering vertrouwt steeds meer op digitale processen. Zij ondersteunen niet alleen de ontvoering, zij zijn de uitvoering.
De autonomie die het gedecentraliseerde bestuur in Nederland met zich meebrengt, zorgt voor de noodzaak tot standaardisatie om digitale processen goed op elkaar te laten aansluiten (zie Arno Visser, ‘De donkere kant van de maan’, in: EW, 8 januari 2022, pagina's 10-17; zie ook de tweets van Arre Zuurmond over dit essay). Burgers en bedrijven worden de dupe van een gebrek aan standaardisatie. De publieke sector kan alleen goed gebruikmaken van digitale technologie, als hij erkent dat daarvoor gemeenschappelijke afspraken onontbeerlijk zijn. Niet de oude structuur moet leidend zijn, zegt de Raad van State, maar het perspectief van de gebruiker (zie 'Ongevraagd advies over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen' Den Haag: Raad van State, 31 augustus 2018). De overheid kan digitale dienstverlening efficiënter en effectiever inrichten door te standaardiseren en te sturen op een gemeenschappelijke taal.
Het Forum Standaardisatie (hierna: het Forum) heeft tot taak om te adviseren over interoperabiliteit en veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens. In dat kader doet het Forum voorstellen aan het Overheidsbreed Beleidsoverleg Digitale Overheid (hierna: OBDO) voor het opnemen van standaarden op de lijst met open standaarden waarvoor een ‘pas toe of leg uit’-regime geldt en voor het opnemen van standaarden op de lijst met aanbevolen open standaarden. De huidige structuur van de lijsten van het Forum is ruim 12 jaar oud. Verschillende ontwikkelingen geven aanleiding om te kijken naar de mogelijkheden voor doorontwikkeling van de lijsten.
Doelstelling
Dit onderzoek geeft duidelijkheid over de relevantie van de lijsten, een stappenplan voor doorontwikkeling en mogelijke stimuleringsmaatregelen. Daartoe geeft dit onderzoek antwoord op de volgende onderzoeksvragen:
- De huidige ‘lijst van aanbevolen standaarden’ is vrij technisch en bevat rijp en groen door elkaar. Hoe kunnen wij meer structuur in deze lijst aanbrengen? Bijvoorbeeld ‘opkomend’, ‘gangbaar’, ‘andersoortig’, ‘richtinggevend uitgangspunt’?
- In 2020 heeft het Bureau Forum Standaardisatie (hierna: het Bureau), op verzoek van de staatssecretaris van BZK, een onderzoek laten uitvoeren naar de oorzaak van het achterblijven van het gebruik van open standaarden. Eén van de conclusies uit het Knelpuntenonderzoek was dat het maatschappelijk nut van een bepaalde standaard duidelijker zou moeten zijn. Is deze conclusie relevant voor de doorontwikkeling van de lijsten en zo ja, op welke wijze kan hieraan invulling gegeven worden?
- Uit eerdere onderzoeken (o.a. het Knelpuntenonderzoek) bleek dat architecten vaak redelijk overweg kunnen met de lijsten. Echter, zij zijn niet de partij die de besluiten neemt. Zijn de ‘Pas-toe-of- leg-uit lijst’ en de ‘lijst van aanbevolen standaarden’ voldoende bruikbaar voor de besluitvormende partijen (systeemeigenaren, CIO’s, CTO’s en inkopers);
- Hoe gaan we om met meer sectorale standaarden, vooral in samenhang met de meer generieke standaarden?
- Bij standaarden, die op een profiel worden aangeboden komt dat profiel op de ‘pas toe of leg uit’-lijst en de onderliggende standaarden op de lijst voor ‘aanbevolen standaarden’. Is dit beleid met betrekking tot profielen passend, of zijn er andere/betere manieren om dit te doen?
- De lijst van ‘aanbevolen standaarden’ bestaat naast de ‘pas toe of leg uit’-lijst; in dit onderzoek zal daarom ook naar die samenhang gekeken moeten worden. Hierbij worden wij graag ook geadviseerd mbt de mogelijkheid van (extra) stimuleringsmaatregelen;
- Hoe gaan we om met de transitie van bepaalde standaarden, zoals van StUF naar API.
In het onderzoek wordt zowel de ‘pas toe of leg uit’-lijst als de lijst met aanbevolen standaarden betrokken. Daarbij gaat het onderzoek specifiek in op vier aandachtspunten:
- welk beleid is passend ten aanzien van internationale standaarden waarvoor een Nederlands toepassingsprofiel bestaat (reeds hierboven genoemd),
- welk beleid is passend ten aanzien van standaarden die veelal in samenhang gebruikt worden, maar waarvan een deel de status ‘aanbevolen’ en een deel de status ‘verplicht’ heeft, en
- welk beleid is passend ten aanzien van een oude standaard op de ‘pas toe of leg uit’-lijst en een nieuwere opkomende standaard die voor opneming op een van de lijsten in aanmerking komt?
- moet op de ‘lijst voor aanbevolen standaarden’ ook ruimte zijn voor andersoortige standaarden, richtlijnen en principes, zoals bijvoorbeeld de FAIR Data Principles, Secure Software Development, de Data Pro code en zou op die manier de connectie met nut en noodzaak van de standaarden explicieter gemaakt kunnen worden?
Daarnaast is er aandacht voor het in de monitoring gerapporteerde achterblijvende gebruik.
Aanpak
Voor het onderzoek zijn in de tweede helft van 2021 meer dan 20 personen geïnterviewd. Het betreft leden en voormalige leden van het Forum Standaardisatie en andere betrokkenen bij de digitale overheid. In de interviews zijn de onderzoeksvragen als leidraad gebruikt. Het resultaat van ieder interview is besproken met de opdrachtgever. In die besprekingen is getracht de beelden uit de interviews te integreren tot een geheel. De meest relevante bevindingen zijn gedeeld en toegelicht in het overleg van het Forum Standaardisatie op 8 december 2021. De reacties van leden van het Forum Standaardisatie naar aanleiding van die toelichting zijn meegenomen in deze rapportage over het onderzoek.
Leeswijzer
De beantwoording van de onderzoeksvragen in deze rapportage is ingedeeld in drie hoofdstukken na deze inleiding:
- het gebruik van de lijsten en de standaarden,
- de structuur van de lijsten, en
- de inhoud van de lijsten.
De indeling in drie hoofdstukken tracht niet uit te drukken dat deze onderwerpen los staan van elkaar. Deze indeling heeft geen ander doel dan het onderzoek, de uitkomsten en de aanbevelingen gestructureerd en bondig weer te geven.
Dit rapport sluit af met conclusies en aanbevelingen.
Het gebruik van de lijsten en de standaarden
Het formele kader
In het kader van zijn taak om te adviseren over interoperabiliteit en veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens doet het Forum voorstellen aan het OBDO voor het opnemen van standaarden op de lijsten (zie Instellingsbesluit Forum Standaardisatie). Daarnaast doet het Forum voorstellen voor het onderhoud van de procedures voor toetsing van standaarden en het beheer van de genoemde lijsten. Door als overheid gebruik te maken van open standaarden wordt gegevensopslag meer duurzaam en wordt de afhankelijkheid van ICT-leveranciers verminderd (zie Instructie rijksdienst inzake aanschaf ICT-diensten en ICT-producten).
Het ‘pas toe of leg uit’-regime is voor de rijksoverheid, de uitvoeringsorganisaties van de centrale overheid en voor medeoverheden van toepassing bij de aanschaf van een ICT-dienst of ICT-product van ten minste € 50.000. Bij de aanschaf van een ICT-dienst of ICT-product voor een toepassingsgebied dat voorkomt op de ‘pas toe of leg uit’-lijst moet gekozen worden voor een ICT-dienst of een ICT-product dat gebruik maakt van de bij het desbetreffende toepassingsgebied vermelde open standaard. Afwijken kan alleen om redenen van bijzonder gewicht, zoals de verwachting dat een dergelijke dienst of een dergelijk product in onvoldoende mate wordt aangeboden of onvoldoende veilig of zeker functioneert. In de toelichting bij het departementaal jaarverslag bij de informatie over de bedrijfsvoering moet verantwoording worden afgelegd over de naleving van deze verplichting. Ook gemeenten, provincies en waterschappen passen verplicht de open standaarden toe waarop het ‘pas toe of leg uit’ regime van toepassing is (zie Besluit OBDO van 18 april 2018; Resultaatafspraak 20 in de iNUP-bestuursakkoorden; Richtlijnen van de commissie Besluit begroting en verantwoording provincies en gemeenten).
Kort gezegd, adviseert het Forum teneinde interoperabiliteit, veilige gegevensuitwisseling, hergebruik van gegevens, duurzame toegankelijkheid en leveranciersonafhankelijkheid te bevorderen. In dat kader moeten overheden gebruikmaken van de open standaarden van de 'pas toe of leg uit'-lijst van het Forum Standaardisatie indien deze van toepassing zijn bij de aanschaf van een ICT-dienst of ICT-product.
De mate van gebruik van open standaarden in de praktijk
Het gebruik van de verplichte open standaarden is een aantal jaren geleidelijk toegenomen, maar het einddoel dat alle overheden de relevante open standaarden toepassen is nog niet bereikt, en de ontwikkeling lijkt al enige tijd te stagneren (zie Monitor Open Standaarden 2020, Den Haag: ICTU 2021). Bij vrijwel alle aanbestedingen wordt om één of meer van de voor die aanbesteding relevante open standaarden gevraagd, maar vaak niet om alle relevante standaarden. In de gevallen dat een open standaard voor een aanbesteding relevant is, wordt daar in minder dan de helft van de gevallen om gevraagd. Dit percentage stagneert al sinds 2015. Al tien jaar wordt in geen enkel jaarverslag een expliciete 'leg uit' opgenomen voor het niet toepassen van verplichte open standaarden. De indruk bestaat dat architecten het al dan niet toepassen van verplichte standaarden wel kunnen uitleggen, maar dat deze verklaringen hun weg niet vinden naar het jaarverslag van de organisatie. Over meer dan de helft van de standaarden op de lijst zijn geen gebruiksgegevens beschikbaar. Voor de standaarden waarover wél gebruiksgegevens zijn verzameld (waaronder veel internetveiligheidstandaarden) is het beeld positief: het gebruik groeit richting 90% à 100%, zij het in een lager tempo dan in het OBDO afgesproken.
Gebruikers van de lijsten
In de interviews in onderhavig onderzoek is door vrijwel alle personen benoemd dat de mate van gebruik van open standaarden sterk verbeterd zou moeten worden. Onder andere uit het Knelpuntenonderzoek bleek dat architecten vaak redelijk overweg kunnen met de lijsten, maar medewerkers van aanbestedende diensten geven aan dat inkopers, architecten, ‘business’, leveranciers en andere functionarissen naar elkaar wijzen voor het gebruik van standaarden (zie Advies knelpunten voor adoptie, Den Haag: PBLQ 10 november 2020). Bij veel van de organisaties vindt nauwelijks opbouw van kennis en ervaring plaats omtrent het eisen van standaarden in aanbestedingen. Ingehuurde medewerkers nemen geen risico in de uitvoering van hun opdracht door – uit zichzelf, zonder dat hun opdrachtgever daar om vraagt – de verplichte en aanbevolen standaarden te eisen. Vaste medewerkers stromen door, waardoor evenmin kennisopbouw plaatsvindt. Een deel van de geïnterviewden wijst daarbij op de rol van bestuurders en andere verantwoordelijken, zoals CIO’s, CTO’s, systeem- en proceseigenaren en directeuren. Vrijwel alle geïnterviewde personen geven aan dat verbetering nodig is waar het gaat om het richten van de communicatie van het Forum op deze verantwoordelijken binnen organisaties:
Meer richten op verantwoordelijken
Meer dan voorheen moeten bestuurders en andere verantwoordelijken binnen overheidsorganisaties aangesproken worden op het gebruik van open standaarden. Zij hebben een bepalende invloed op innovaties en (door-) ontwikkelingen waarbij standaarden kunnen ondersteunen. Dit wil niet zeggen dat de communicatie gericht aan architecten en andere (technisch) inhoudelijk betrokkenen minder belangrijk zou moeten worden.
Nut van standaarden uitleggen in termen van bijdrage aan organisatiedoelstellingen
Maatschappelijke vraagstukken worden steeds vaker aangepakt met digitale middelen. Een belangrijk aspect in de communicatie over standaarden is daarom het maatschappelijk nut van standaardisatie en (de verplichte open) standaarden. Dit geldt met name voor de communicatie gericht aan bestuurders en andere verantwoordelijken die een belangrijke stem hebben in de digitalisering van overheidsdienstverlening en de inrichting van de digitale overheid. Het zijn echter vaak de beleidsverantwoordelijken, die nog dichter op maatschappelijke vraagstukken acteren. De uitdaging is aan hen te tonen welke digitale middelen ingezet kunnen worden en hoe standaardisatie daarbij kan ondersteunen. Voor verantwoordelijken moeten nut en noodzaak van standaarden uitgelegd worden in termen die voor hen relevant zijn. Van belang daarbij is wat een open standaard bijdraagt aan de publieke belangen die de organisatie behartigt en de doelstellingen van de organisatie.
Voor verantwoordelijken moet helder zijn dat met behulp van standaarden de samenwerking met ketenpartners verbeterd kan worden, de publieke taak beter uitgevoerd kan worden of dat het gebruik van een open standaard risico’s kan verkleinen (zoals informatiebeveiligingsrisico’s en desinvesteringsrisico’s).
Het maatschappelijk nut kan mogelijk het best uitgelegd worden aan de hand van praktijkverhalen, zoals in de eerdere publicatie ‘Standaardwerken: het belang van verbinden’. Deze publicatie wordt door geïnterviewden aangehaald als goed voorbeeld. Het regelmatig vernieuwen en aanvullen van een dergelijke publicatie met nieuwe inzichten, is daarbij van belang om verantwoordelijken te kunnen aanspreken.
Aantoonbaar toepassen andersoortige standaarden voor vertrouwen in gegevensuitwisseling
Digitale technologie maakt een nieuwe aanpak van maatschappelijke uitdagingen mogelijk én digitalisering kan leiden tot ingrijpende maatschappelijke veranderingen en verandering van interacties tussen mensen onderling, mensen en (overheids-) organisaties en (overheids-) organisaties onderling. Bij alle digitaal ondersteunde interacties spelen standaarden een rol, waardoor standaarden moeten meebewegen met en kunnen ondersteunen aan maatschappelijke uitdagingen en veranderingen. Er ontstaat daardoor ook behoefte aan andere vormen van standaardisatie dan voorheen, zoals standaardisatie ten aanzien van semantiek, datakwaliteit en informatiebeveiliging. Organisaties die gegevens uitwisselen hebben naast de noodzaak tot standaardisatie van koppelvlakken steeds meer behoefte aan wederzijds vertrouwen: worden de verstrekte gegevens door de ontvanger goed beschermd, voldoen de ontvangen gegevens aan de kwaliteitseisen van ons bedrijfsproces en verstaan wij elkaar bij gebruik van een begrip? Het verlenen van de status ‘aanbevolen’ door het Forum aan andersoortige standaarden, zoals richtlijnen, principes, best practices, frameworks en normenkaders kan daarbij dienstig zijn.
Relevantie in sectoren, vindbaarheid en gerichte communicatie
De verantwoordelijken moeten bereikt worden via de voor hen relevante communicatiemiddelen. Dat kan zeer verschillen. Beleidsverantwoordelijken richten zich op zeer uiteenlopende vraagstukken die relevant zijn in hun beleidskolom, zoals bij het Ministerie van OCW de doorstroming van het vmbo naar het mbo en bij het Ministerie van JenV de samenwerking in de vreemdelingenketen tussen IND, COA, DT&V, Koninklijke Marechaussee en politie. Digitalisering wordt hier steeds vaker ingezet om knelpunten aan te pakken. Gegevensuitwisseling vormt een deel van de oplossing, waarbij standaardisatie essentieel is. Die beleidsverantwoordelijken komen niet snel in aanraking met het Forum, publicaties en de website van het Forum en de lijsten. Er kan niet vanuit gegaan worden dat zij de weg weten te vinden naar (de website van) het Forum of dat de momenteel daar beschikbare informatie voor hen voldoende aanknopingspunten biedt om overtuigd te raken van de relevantie van open standaarden voor de uitdagingen op hun beleidsterrein. Communicatie over het belang van standaarden en standaardisatie moet direct gericht zijn aan verantwoordelijken, door bijvoorbeeld publicaties in Binnenlands Bestuur of in de vorm van de al voorgenomen ‘roadshow’ door de voorzitter van het Forum. Het Forum, dat in essentie een netwerkorganisatie is, kan er zelf aan bijdragen dat praktijkverhalen over het belang van standaardisatie bij verdergaande digitalisering en gegevensuitwisseling, in sectoren en op de verschillende bestuurslagen bekend raken en de verbinding tussen sectoren en bestuurslagen tot stand komt. Dit gebeurt bijvoorbeeld in het Kennisplatform API’s, waar het Forum ondersteuning aan biedt.
Praktijkverhalen moeten aangeboden worden op een plaats waar bestuurders en andere verantwoordelijken deze relevant vinden, zoals als onderdeel van de informatie die NORA biedt, via Pleio-communities (zoals ‘Kennisnetwerk Informatie en Archief’ en ‘Digitaal toegankelijke overheidsinformatie’), de GEMMA Softwarecatalogus, Wikipedia, Wikidata en binnen het Kennisplatform API’s. Door het toepassen van Open Linked Data wordt het mogelijk de informatie van het Forum op dit plaatsen waar het relevant is voor gebruikers te integreren. Nu in verschillende sectoren standaardisatie specifiek wordt opgepakt (zoals door Nictiz in de zorg en Edustandaard in het onderwijs) ligt het voor de hand dat het Forum voor wat betreft de communicatie met gebruikers in die sectoren aansluiting zoekt bij deze sectorale initiatieven. In sectoren waar dergelijke initiatieven niet of in mindere mate aanwezig zijn zullen verantwoordelijken vooral aangesproken worden door het Forum met algemene praktijkverhalen en waar mogelijk in samenhang met eventuele ‘sectorale’ standaarden op de lijsten, maar wel op plaatsen die voor hen relevant zijn, op hun platform, in hun netwerk of community.
Wijzen op de verplichting
Vanaf het begin van het ‘pas toe of leg uit’-regime constateert het Forum dat partijen zich niet verantwoorden over het niet gebruiken van de verplichte standaarden. Momenteel is voorgeschreven dat partijen zich verantwoorden in de jaarverantwoording. Enkele geïnterviewden hechten er belang aan om verantwoordelijken – met name bestuurders – te wijzen op de verplichting om open standaarden toe te passen en bij afwijkingen daarover verantwoording af te leggen in het jaarverslag. De meningen van geïnterviewden zijn verdeeld wat betreft de mate waarin bestuurders verleid zouden moeten worden tot het toepassen van open standaarden of meer dwingend aangesproken zouden moeten worden op de toepassing van open standaarden. Een deel van de geïnterviewden is voorstander van een veel dwingender verantwoordingsverplichting dan nu het geval is. De meeste geïnterviewden vinden dat een dergelijke dwingende verantwoordingsplicht alleen gerechtvaardigd is als een standaard pas op de ‘pas toe of leg uit’-lijst wordt geplaatst op het moment dat de standaard reeds breed toegepast wordt en nog slechts een zeer beperkt aantal organisaties de standaard nog niet toepast en daartoe gedwongen zou moeten worden. Standaarden staan echter veelal in een veel vroeger stadium in de levenscyclus op de ‘pas toe of leg uit’-lijst. De meeste geïnterviewden vinden een minder dwingende vorm (dan in het jaarverslag) van verantwoording voor het niet toepassen van standaarden passender. De toepassing van standaarden zou bijvoorbeeld kunnen plaatsvinden als onderdeel van het CIO-oordeel, zoals dat verplicht is gesteld bij de inrichting van het CIO-stelsel binnen de Rijksdienst in 2020 (zie het Besluit CIO-stelsel Rijksdient, Staatscourant 2020, 62488). De departementale CIO kan een CIO-oordeel of een externe kwaliteitstoets uitvoeren binnen alle fasen van projecten, programma’s of activiteiten met een digitaliseringsaspect of ICT-component. Voor het aanvangen van ICT-ontwikkelprojecten en onderhoudsactiviteiten met een grote ICT-component, die onder verantwoordelijkheid van het ministerie worden uitgevoerd, is een positief CIO-oordeel, of een beargumenteerde afwijking hiervan door de secretaris-generaal van het ministerie, vereist.
Tussenconclusie
Uit het voorgaande komt het beeld naar voren dat:
- architecten vaak redelijk overweg kunnen met de lijsten, maar inkopers, architecten, ‘business’, leveranciers en andere functionarissen wijzen naar elkaar voor het gebruik van standaarden,
- meer dan voorheen ook bestuurders en andere verantwoordelijken binnen overheidsorganisaties aangesproken moeten worden op het gebruik van open standaarden,
- met name voor hen geldt dat het maatschappelijk nut van standaardisatie en (de verplichte open) standaarden helder gecommuniceerd moeten worden,
- nut en noodzaak helder worden als in praktijkverhalen wordt uitgelegd hoe standaardisatie en standaarden bijdragen aan de publieke belangen die de organisatie behartigt en aan de doelstellingen van de organisatie (verbetering samenwerking met ketenpartners, beter uitvoeren van de publieke taak en risico’s verkleinen),
- verantwoordelijken bereikt moeten worden via de voor hen relevante communicatiemiddelen en communicatiekanalen, waar mogelijk moet het Forum daartoe aansluiting zoeken bij sectorale initiatieven (zoals Nictiz in de zorg en Edustandaard in het onderwijs),
- de status ‘aanbevolen’ ook toegekend moet kunnen worden aan andersoortige standaarden, zoals richtlijnen, principes, best practices, frameworks en normenkaders die het vertrouwen in de gegevensuitwisseling tussen partijen kunnen bevorderen,
- bestuurders en andere verantwoordelijken gewezen moeten worden op de verplichting om de standaarden op de ‘pas toe of leg uit’-lijst toe te passen of zich te verantwoorden over het niet toepassen van deze standaarden, maar de verantwoording moet eenvoudiger kunnen plaatsvinden dan via het jaarverslag van de organisatie.
De indeling van de standaarden op de lijsten (structuur)
Gezichtspunten bij mogelijke indelingen
De huidige lijst van aanbevolen standaarden is vrij technisch en bevat rijp en groen door elkaar. De lijst onderkent geen indeling van standaarden naar kenmerken. Dit geldt ook voor de ‘pas toe of leg uit’-lijst. Vrijwel alle geïnterviewde personen geven aan dat een indeling van de standaarden op de lijsten gebruikers helpt het overzicht te krijgen van de relevante standaarden, zodat helder is welke standaarden in welke gevallen voor hun organisatie van toepassing zijn. Uit de interviews blijken relevante gezichtspunten bij verschillende mogelijke indelingen van de lijsten:
Indeling naar levenscyclusfase van de standaard
Verschillende factoren kunnen ervoor zorgen dat bestaande standaarden minder gebruikt worden. Nieuwe technologie brengt nieuwe standaarden met zich mee. Dan kan voor vergelijkbare functionaliteit een bestaande standaard minder gebruikt gaan worden en een nieuwe standaard in opkomst zijn. In het kader van de toename van het gebruik van API’s voor gegevensuitwisseling, zijn momenteel de standaarden OAuth en OpenID Connect in opkomst voor autorisatie en authenticatie. Veelal is bij XML-gebaseerde gegevensuitwisseling voor SAML gekozen, een oudere standaard met een deels vergelijkbaar toepassingsgebied. Ook zorgen nieuw ontdekte kwetsbaarheden in beveiligingsstandaarden ervoor dat nieuwere beveiligingsstandaarden worden ingezet, zoals bij de vervanging van SSL door TLS enkele jaren geleden.
Niet van iedere gebruiker van de lijsten kan verwacht worden dat hij of zij op de hoogte is van deze trends, deze trends kan duiden en de juiste standaard kiest gezien de trends. Het Forum heeft tot doel het OBDO te adviseren ten aanzien van standaardisatie. De aanwijzing van verplichte standaarden is een middel. Voor de standaarden waar dit in het bijzonder speelt, kan het Forum voor gebruikers de levenscyclusfase van een standaard aanduiden, zodat gebruikers weten welke standaarden – bijvoorbeeld – ‘opkomend’ of ‘gangbaar’ zijn. Een aantal geïnterviewden wijst erop dat een dergelijke aanduiding niet van toepassing kan zijn op standaarden op de ‘pas toe of leg uit’-lijst. Ook verhoudt een aanduiding zoals ‘opkomend’ bij een aanbevolen standaard zich niet goed tot de verplichting een andere standaard toe te passen die op de ‘pas toe of leg uit’-lijst is opgenomen. Daarmee kan een dergelijke aanduiding wel toegekend worden aan aanbevolen standaarden die een vergelijkbaar functioneel toepassingsgebied hebben met een standaard op de ‘pas toe of leg uit’-lijst, maar moeten gebruikers wel geïnformeerd worden over dergelijke trends en hoe deze standaarden zich tot elkaar en tot deze trends verhouden.
Kort gezegd, is een indeling van de lijsten naar levenscyclusfase van standaarden niet gewenst, maar zou het Forum wel enkele standaarden – waar dit specifiek speelt – kunnen aanduiden als ‘opkomend’. Voor een verdere duiding aan gebruikers hoe standaarden zich tot elkaar verhouden kan, bijvoorbeeld voor een cluster van standaarden, een beeld gegeven worden van de ontwikkelingen (zoals technologische trends) en wat de verwachte effecten daarvan zijn op de standaarden op de lijsten. Het kan dan zijn dat het Forum duidt dat een verplichte standaard nog weliswaar verplicht is, maar dat een andere standaard op de aanbevolen lijst opkomend is voor hetzelfde functionele toepassingsgebied.
Thematische indeling naar onderwerpen
De huidige Beslisboom Open Standaarden deelt de standaarden op de ‘pas toe of leg uit’-lijst in naar onderwerp. Deze ordening is nu als volgt: Standaarden voor het stelsel van basisregistraties, Juridische verwijzingen, Document en (web)content, E-facturatie en administratie, Internet en beveiliging, REST API’s, Onderwijs en loopbaan, Bouw, Water en bodem en Overig. Deze indeling is tot stand gekomen op basis van de inhoud van de lijsten en wordt als praktisch, maar redelijk onbekend ervaren door geïnterviewden. Andere thematische indelingen zijn mogelijk, maar de door geïnterviewden genoemde alternatieven – bijvoorbeeld de indelingen van het Multi-Stakeholder Platform (MSP) on ICT Standardisation van de Europese Unie en het Handboek bedrijfsvoering van het ministerie van BZK – lijken nauwelijks praktische handvatten te bieden. De huidige indeling die het Forum voor de standaarden op de ‘pas toe of leg uit’-lijst hanteert, lijkt het meest aangewezen.
Indeling naar architectuurlagen
De indeling van standaarden naar architectuurlagen, zoals ‘gegevens-systemen-processen’, naar analogie van het OSI-model of ‘technisch-communicatie-beveiliging-semantisch’, maakt mogelijk dat de presentatie van de standaarden min of meer toegesneden kan worden op de behoefte van de gebruiker van de lijsten. Dit heeft vooral meerwaarde in combinatie met een thematische indeling zoals hiervoor beschreven. Zo kan voor een aan te schaffen ICT-dienst of ICT-product ter ondersteuning van administratieve processen of documentbeheer onderscheid gemaakt worden naar doelgroepen. Zo kan een informatiearchitect zich richten op gegevensrepresentaties (zoals VISI, WDO of STIX/TAXII) en een systeemarchitect op de onderliggende standaarden (zoals DigiKoppeling). Deze indeling geeft daardoor mede een manier om (informatie over) standaarden minder op de voorgrond te presenteren als deze voor de gebruiker minder relevant is.
'Sectorale' standaarden
Enkele standaarden op de lijsten zijn in gebruik voor een zeer specifieke toepassing (zoals de standaarden voor de bouw, het onderwijs, het bodem- en waterbeheer en zorgdeclaraties), terwijl andere standaarden zeer breed toepasbaar zijn (zoals IPv6, TLS en HTML). Deze standaarden voor een specifieke toepassing worden algemeen aangeduid als ‘sectoraal’. Echter, de bedoelde standaarden worden niet slechts in één sector gebruikt. Zo worden de standaarden voor waterbeheer door Rijkswaterstaat, provincies, waterschappen, bedrijven en onderzoeksinstellingen gebruikt. Deze standaarden (zoals Aquo, GWSW, SIKB0101, SIKB0102, NL LOM, E-Portfolio NL, VISI, NLCS en IFC) richten zich op een specifieke toepassing en omvatten veelal voorschriften met betrekking tot de semantiek van de inhoud van de gegevensuitwisseling.
Een andere vraag is of het Forum ten aanzien van ‘sectorale’ standaarden zou moeten adviseren deze op te nemen op de lijsten. Geïnterviewden geven overwegend aan dat het Forum deze mogelijkheid moet blijven bieden, maar geven tevens aan dat:
- de aangedragen standaarden voor intersectorale gegevensuitwisseling bedoeld zouden moeten zijn,
- de gebruikers van een standaard zelf moeten beslissen of zij deze aanmelden voor plaatsing op de lijst, en
- het is de rol van het Forum door middel van de reguliere procedure na te gaan of de standaard aan de vereisten voldoet en zo ja, het OBDO te adviseren op welke lijst de standaard geplaatst moet worden.
Voor slechts enkele ‘sectoren’ staan er standaarden op de lijsten. Een indeling van de lijsten naar sectoren is daarmee, met de huidige standaarden, niet opportuun. Deze standaarden kunnen voor veel gebruikers buiten beschouwing blijven, terwijl voor gebruikers binnen het specifieke toepassingsgebied de sectorale standaarden juist relevant zijn. Dit pleit voor aparte clusters ten behoeve van deze standaarden, zoals Bouw, Onderwijs en loopbaan en Water en bodem.
Tussenconclusie
Verschillende indelingen van de lijsten sluiten elkaar niet uit. Uit het voorgaande komt het beeld naar voren dat:
- een clustering van standaarden naar onderwerpen het mogelijk maakt om relevanter, meer specifiek en toegespitst te communiceren over de inhoud van de lijsten;
- dezelfde clustering moet worden toegepast op de verplichte en de aanbevolen standaarden;
- de Beslisboom Open Standaarden nu al de standaarden op de ‘pas toe of leg uit’-lijst ordent in herkenbare clusters;
- clusters een basisindeling vormen voor gerichter communicatie, maar niet de enige indeling voor gebruikers,
- naast clusters (een basisindeling) verschillende filters relevant kunnen zijn voor gebruikers, zoals ook blijkt uit het User Experience (UX)-onderzoek naar de website van het Forum Standaardisatie in 2021,
- standaarden met een zeer specifiek toepassingsgebied (‘sectorale’ standaarden) afhankelijk van de gebruiker wel of niet in de presentatie op de voorgrond gewenst zijn;
- bij gebruikers vrijwel nooit behoefte bestaat aan zicht op of informatie over een groot aantal de facto-standaarden (zoals CSS, DHCP, HTML, HTTP, DNS en MIME), maar dat het wel noodzakelijk is dat deze standaarden hun status als aanbevolen standaard behouden,
- voor gebruikers nuttig is dat andersoortige standaarden getoetst en beoordeeld worden en de status ‘aanbevolen’ kunnen krijgen, maar deze aan gebruikers ook inderdaad als andersoortig (bijvoorbeeld in een apart cluster) te presenteren,
- opkomende standaarden voor een functioneel toepassingsgebied waar reeds een verplichte standaard is aangewezen, als ‘opkomend’ gekenmerkt kunnen worden op de lijst van aanbevolen standaarden, en
- de ontwikkelingen binnen een cluster van standaarden, naast de lijsten nader geduid kunnen worden in publicaties van het Forum, zoals in roadmaps.
De standaarden op de lijsten (inhoud)
In dit hoofdstuk staat de vraag centraal welk beleid ten aanzien van de inhoud van de lijsten gevoerd moet worden, ter ondersteuning van de taak van het Forum: de bevordering van interoperabiliteit, veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens. In het vorige hoofdstuk ging het nog om de structuur en ordening van de lijsten. In dit hoofdstuk gaat het om de invulling binnen die structuur. In dat kader behandelt dit hoofdstuk eerst de invloed van de vulling van de clusters (de opgenomen standaarden) op de bruikbaarheid van de lijsten.
De bruikbaarheid van de lijsten
De lijsten zijn geen one-stop-shop van relevante standaarden
Geïnterviewden geven aan dat gebruikers van de lijsten, zoals architecten, de lijsten als een bron zien bij hun verkenning welke standaarden een rol spelen. Dat kan nuttig zijn, maar de lijsten zijn niet opgesteld met dat doel. De lijsten voldoen dan ook niet aan de eisen die gesteld mogen worden aan een bron van informatie ter bepaling welke standaarden nuttig zijn. Een dergelijk overzicht van standaarden zou veel omvangrijker en veranderlijker zijn en mogelijk subjectiever samengesteld. Desalniettemin is er vraag naar een meer compleet beeld van relevante standaarden. Dit heeft echter een ander karakter dan de plaatsing van een standaard op een van de lijsten.
Het Forum kan een meer compleet beeld van relevante standaarden geven buiten de lijsten. Dit kan bijvoorbeeld in de vorm van een publicatie over een verkenning van standaarden. Dit kan dienen ter aanvulling op een cluster van standaarden op de lijsten, als bedoeld in voorgaand hoofdstuk.
Actief aanvullen van open standaarden
Daarnaast is mogelijk dat in een cluster of onder een filter bepaalde open standaarden ontbreken, waardoor interoperabiliteit, veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens mogelijk in gevaar komen. Plaatsing op de lijsten van dergelijke standaarden dient de taak van het Forum. Het Forum zal moeten beslissen, mede gegeven de beperkte capaciteit van het Bureau, of en zo ja, op welke wijze zij een actievere rol kan vervullen ten aanzien van deze ontbrekende standaarden. Standaarden die door een verkenning in beeld komen, kunnen door het Bureau aangemeld worden voor opneming op een van de lijsten. Het merendeel van de geïnterviewden is daar voorstander van, zolang deze activiteit zich beperkt tot enkele clusters van standaarden. De clusters met de sectorale standaarden, zoals Bouw, Bodem en Waterbeheer, behoren daar niet toe. Meer voor de hand liggend is een verkenning naar de andersoortige standaarden (zie het vorige hoofdstuk), zoals op het gebied van semantiek. Daarbij dienen de standaarden de gebruikelijke toetsingsprocedure te doorlopen. Het Forum biedt zo een kader dat sectoraal aangevuld kan worden. Actief aanvullen hoort bij het onderhoud van de lijsten en dient periodiek plaats te vinden.
Actief schrappen van open standaarden
Van enkele standaarden op de lijsten is bekend dat deze op korte termijn opgevolgd worden door andere standaarden die ook daadwerkelijk breed in gebruik zullen worden genomen ten koste van de oudere standaarden. Ook andere situaties komen voor waarvoor geldt dat de toepassing van een (nu nog) aanbevolen of verplichte standaard de interoperabiliteit (op termijn) niet ten goede komt. Het is niet gewenst dat deze standaarden op de lijst blijven, ondanks dat gebruikers of de oorspronkelijke aanmelder van de standaard niet vragen om verwijdering van de standaard van de lijsten. Het Forum kan een actieve rol spelen door standaarden te schrappen van de lijsten. Het Bureau kan daartoe het vooronderzoek doen, met name gericht op de vraag of het aanhouden van de standaard op de lijst de interoperabiliteit, veilige en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens nog bevordert. Dat is in het belang van de taak van het Forum. Evenals actief aanvullen, behoort actief schrappen tot het periodiek onderhoud van de lijsten. Ook hierbij moet de gebruikelijke toetsingsprocedure doorlopen worden.
Dit is anders bij een opkomende standaard die in enig opzicht wel vergelijkbaar is met een standaard die reeds op de aanbevolen of verplichte lijst staat, maar die reeds opgenomen standaard niet direct zal vervangen. Het gaat dan bijvoorbeeld om OAuth en OIDC enerzijds en SAML anderzijds, mede als gevolg van een belangrijke technologische ontwikkeling in API’s. Uit de formulering van het functioneel toepassingsgebied van beide standaarden moet dan duidelijk zijn welke standaard in welke situatie het best toegepast kan worden. In een toelichting op het cluster of op een maatschappelijk thema kan een dergelijke verhouding tussen standaarden nader geduid worden voor gebruikers. Bij sterk vergelijkbare functionele toepassingsgebieden kan het voorkomen dat ook experts niet kunnen uitmaken (het niet met elkaar eens worden) of een al op de lijsten opgenomen standaard geschrapt moet worden om ruimte te maken voor een opkomende standaard. Er kan voor een functioneel toepassingsgebied immers maar één standaard verplicht zijn. Minder optimaal is om op de lijsten toe te staan dat verschillende standaarden voor hetzelfde functioneel toepassingsgebied zijn opgenomen en het aan de gebruiker wordt overgelaten om te kiezen tussen de standaarden. Dit draagt niet bij aan de taak van het Forum: het bevorderen van interoperabiliteit. Te overwegen is om dit desalniettemin toe te staan onder de voorwaarde dat de standaarden duidelijk herkenbaar als groep op de lijst zijn opgenomen en richtlijnen beschikbaar zijn waarmee kan worden bepaald welke standaard in welke gevallen toegepast moet worden. Dergelijke richtlijnen moeten verder gaan dan een uitleg van het functioneel toepassingsgebied. Het gaat dan vrijwel altijd om externe factoren. Indien een bepaalde technologie in een sector zeer gangbaar is, kan dat een reden zijn om een ‘oudere’ standaard te kiezen. Deze situatie heeft gelijkenissen met Digikoppeling, een set van standaarden waarbinnen – kort gezegd – een gebruiker kan kiezen voor een van drie technologieën (WUS, ebMS of REST API), maar Digikoppeling staat als zodanig op de lijst verplichte standaarden, niet de verschillende onderliggende standaarden. Daarmee is niet gezegd dat dit een ideaalbeeld is, maar het biedt wel ruimte om verschillende standaarden met een min of meer vergelijkbaar functioneel toepassingsgebied op de lijst met verplichte standaarden te plaatsen. Ondanks dat daarmee niet eenduidig voor één standaard wordt gekozen, beperkt deze werkwijze de keuzemogelijkheden wel tot enkele standaarden.
Samenhang tussen verplichte en aanbevolen standaarden
Enkele (internationale) standaarden hebben de status ‘aanbevolen’, terwijl een toepassingsprofiel voor die standaard op de ‘pas toe of leg uit’-lijst is opgenomen. Dit geldt bijvoorbeeld voor de internationale standaard OAuth. Vrijwel alle geïnterviewden geven aan dat het niet gewenst is om naast een toepassingsprofiel op de ‘pas toe of leg uit’-lijst de onderliggende (internationale) standaard op de aanbevolen lijst te plaatsen. Indien een toepassingsprofiel op de ‘pas toe of leg uit’-lijst is opgenomen, heeft de status ‘aanbevolen’ voor de onderliggende (internationale) standaard vrijwel geen toegevoegde waarde en leidt mogelijk tot averechtse effecten en tot verwarring (zoals de – onjuiste – interpretatie dat het toepassen van de aanbevolen standaard voldoende is). De ‘achterliggende’ (internationale) standaard moet dan niet de status ‘aanbevolen’ krijgen. In de toelichting op het toepassingsprofiel dat op de ‘pas toe of leg uit’-lijst staat, dient – uiteraard – wel verwezen te worden naar de (internationale) standaard.
Daarnaast komt voor dat verschillende standaarden veelal in samenhang worden gebruikt, maar waar de ene standaard op de ‘pas toe of leg uit’-lijst is opgenomen en de andere standaard op de lijst met aanbevolen standaarden. Gebruikers hebben toelichting nodig om dit verschil te kunnen duiden en om onduidelijkheid over de status te voorkomen. Het Forum kan deze duiding geven als onderdeel van de informatie die over de standaarden wordt ontsloten of als aanvulling bij een cluster van standaarden. Zolang de plaatsing van de standaarden op de verschillende lijsten uitlegbaar is aan gebruikers en weloverwogen naar aanleiding van de toetsingsprocedure tot stand is gekomen, is geen ander beleid noodzakelijk op dit punt.
Ogenschijnlijk weinig gebruikte standaarden
Uit de Monitor Open Standaarden blijkt dat een aantal standaarden zelden relevant lijkt te zijn. Bij deze meting van het gebruik zijn kanttekeningen te plaatsen. De belangrijkste daarvan is dat de meting ten behoeve van de Monitor Open Standaarden zich beperkt tot standaarden die genoemd worden in publiek toegankelijke aanbestedingsdocumenten. Niet gemeten wordt of standaarden daadwerkelijk in gebruik zijn.
Echter, zelfs indien een standaard daadwerkelijk zelden relevant is, heeft de opneming op een van de lijsten meerwaarde door – op het moment dat een standaard relevant is – buiten twijfel te stellen dat de standaard verplicht of aanbevolen is. Enkele standaarden worden bijvoorbeeld intersectoraal toegepast voor uitsluitend zeer specifieke toepassingen, zoals het Waterbeheer.
Tussenconclusie
De aanbevelingen in dit hoofdstuk ten aanzien van de inhoud van de lijsten dienen om de lijsten voldoende bruikbaar te maken voor de gebruikers (systeemeigenaren, CIO’s, CTO’s en inkopers). Uit het voorgaande komt het beeld naar voren dat:
- gebruikers behoefte hebben aan een meeromvattend overzicht van relevante standaarden, waarin de lijsten niet kunnen voorzien, maar waarvoor het Forum publicaties zou kunnen uitbrengen, bijvoorbeeld over verkenningen,
- voor enkele clusters van standaarden op de lijsten of voor maatschappelijke thema’s, het Bureau periodiek een verkenning moet uitvoeren en naar aanleiding daarvan actief standaarden moet kunnen aanmelden voor opneming op een van de lijsten,
- periodiek onderhoud van de lijsten nodig is, waaronder aanvullen en schrappen van standaarden op de lijsten (uiteraard volgens de daarvoor staande procedures_,
- een (internationale) standaard die onderliggend is aan een (Nederlands) toepassingsprofiel dat op een van de lijsten staat, moet niet op een van de lijsten opgenomen worden, en
- ook weinig uitgevraagde standaarden, moeten op de lijsten blijven, omdat het gebruik van deze standaarden wel degelijk relevant kan zijn.
Conclusies
De hoofdconclusie uit de interviews is dat de lijsten onverminderd een belangrijk instrument vormen voor standaardisatie, ter ondersteuning van de digitale overheid. De lijsten genieten veel aanzien onder de gebruikers: de architecten van de digitale overheid. Dat neemt niet weg dat verbeteringen in het gebruik van de lijsten, in de communicatie rond de lijsten en in de structuur en inhoud van de lijsten nodig zijn om de relevantie van de lijsten voor de toekomst te borgen. Hieronder worden de onderzoeksvragen beantwoord.
Hoe kunnen wij meer structuur in de lijst aanbrengen?
Vraag: "De huidige ‘lijst van aanbevolen standaarden’ is vrij technisch en bevat rijp en groen door elkaar. Hoe kunnen wij meer structuur in deze lijst aanbrengen? Bijvoorbeeld ‘opkomend’, ‘gangbaar’, ‘andersoortig’, ‘richtinggevend uitgangspunt’?"
De lijst van aanbevolen standaarden moet gestructureerd worden in clusters van standaarden, gelijk aan de lijst van verplichte standaarden. De clusters die nu in gebruik zijn in de Beslisboom Open Standaarden biedt een aanknopingspunt voor een indeling. Het gaat dan om de clusters: Standaarden voor het stelsel van basisregistraties, Juridische verwijzingen, Document en (web)content, E-facturatie en administratie, Internet en beveiliging, REST API’s, Onderwijs en loopbaan, Bouw, Water en bodem en Overig. Deze clusters zijn enkele jaren geleden tot stand gekomen op basis van de standaarden die toen op de lijst stonden. De mogelijkheid bestaat dat de clustering in de toekomst bijgesteld moet worden indien de samenstelling van de lijsten verandert. Voor de andersoortige standaarden kan op voorhand overwogen worden deze in een apart cluster op te nemen. Een cluster kan standaarden van beide lijsten bevatten. Daarnaast kunnen verschillende filters (de informatie over) de standaarden beter toegankelijk maken voor gebruikers.
De clusters van standaarden bieden een aanknopingspunt om nut en noodzaak voor een groep van standaarden te verhelderen, zonder dat nodig is dit voor iedere standaard afzonderlijk te doen. Daarnaast kunnen trends en ontwikkelingen voor een cluster inzichtelijk gemaakt worden, waaronder een duiding hoe de standaarden binnen een cluster zich tot elkaar verhouden (zoals welke standaarden in combinatie worden gebruikt, of een 'opkomende' standaard een andere standaard op termijn overbodig maakt c.q. vervangt en wat de invloed is van trends in technologie op standaarden). Dit kan bijvoorbeeld in de vorm van een roadmap voor een cluster.
Om gebruikers beter te helpen kunnen standaarden op de aanbevolen lijst gelabeld worden met ‘opkomend’ of ‘de facto-standaard’. Dit staat los van de clustering.
Hoe kunnen de lijsten helpen het maatschappelijk nut van de standaarden te verduidelijken?
Vraag: "In 2020 heeft het Bureau Forum Standaardisatie, op verzoek van de staatssecretaris van BZK, een onderzoek laten uitvoeren naar de oorzaak van het achterblijven van het gebruik van open standaarden. Eén van de conclusies uit het Knelpuntenonderzoek was dat het maatschappelijk nut van een bepaalde standaard duidelijker zou moeten zijn. Is deze conclusie relevant voor de doorontwikkeling van de lijsten en zo ja, op welke wijze kan hieraan invulling gegeven worden?"
Voor verantwoordelijken moeten nut en noodzaak van standaarden uitgelegd worden in termen die voor hen relevant zijn. Van belang daarbij is wat een open standaard bijdraagt aan de publieke belangen die de organisatie behartigt en aan de doelstellingen van de organisatie. Voor verantwoordelijken moet helder zijn dat met behulp van standaarden de samenwerking met ketenpartners verbeterd kan worden, de publieke taak beter uitgevoerd kan worden of dat het gebruik van een open standaard risico’s kan verkleinen (zoals informatiebeveiligingsrisico’s en desinvesteringsrisico’s).
Het maatschappelijk nut kan mogelijk het best uitgelegd worden aan de hand van praktijkverhalen, zoals in de eerdere publicatie ‘Standaardwerken: het belang van verbinden’ en de andere praktijkverhalen op de website van het Forum. De publicatie ‘Standaardwerken: het belang van verbinden’ van het Forum wordt aangehaald als goed voorbeeld. Het regelmatig vernieuwen en aanvullen van een dergelijke publicatie met nieuwe inzichten, is daarbij van belang om verantwoordelijken te kunnen aanspreken. Dit kan per cluster van standaarden en is niet noodzakelijk per standaard.
Zijn de lijsten voldoende bruikbaar voor besluitvormers?
Vraag: "Uit eerdere onderzoeken (o.a. het Knelpuntenonderzoek) bleek dat architecten vaak redelijk overweg kunnen met de lijsten. Echter, zij zijn niet de partij, die de besluiten neemt. Zijn de ‘Pas-toe-of- leg-uit lijst’ en de ‘lijst van aanbevolen standaarden’ voldoende bruikbaar voor de besluitvormende partijen (systeemeigenaren, CIO’s, CTO’s en inkopers)?"
Vrijwel alle geïnterviewde personen geven aan dat verbetering nodig is waar het gaat om het richten van de communicatie van het Forum op verantwoordelijken, zoals CIO’s, CTO’s, systeem- en proceseigenaren en directeuren. Beleidsverantwoordelijken komen niet snel in aanraking met het Forum, publicaties en de website van het Forum en de lijsten. Er kan niet vanuit gegaan worden dat zij de weg weten te vinden naar (de website van) het Forum of dat de momenteel daar beschikbare informatie voor hen voldoende aanknopingspunten biedt om overtuigd te raken van de relevantie van open standaarden voor de uitdagingen op hun beleidsterrein.
Voor verantwoordelijken moeten nut en noodzaak van standaarden uitgelegd worden in termen die voor hen relevant zijn. Van belang daarbij is wat een open standaard bijdraagt aan de publieke belangen die de organisatie behartigt en aan de doelstellingen van de organisatie. Het maatschappelijk nut kan mogelijk het best uitgelegd worden aan de hand van praktijkverhalen. Daarnaast zal in het ook voor kleinere projecten verplichte CIO-oordeel getoetst worden of aan standaarden wordt voldaan/. Zie de publicatie 'Architectuur, functionele haalbaarheid en technische maakbaarheid' van het Adviescollege ICT Toetsing dat een leidraad biedt voor de toetsing of standaarden toegepast worden als onderdeel van de activiteiten van de Adviescollege ICT-toetsing).
Streefbeeldafspraken en onderlinge metingen kunnen bestuurders en andere verantwoordelijken helpen bij een meer prestatiegerichte sturing op het voldoen aan de verplichtingen. Dit kan gelijktijdig vergezeld gaan met gerichte communicatie aan bestuurders, waarin resultaten en vorderingen in de metingen zijn opgenomen.
Hoe gaan we om met sectorale standaarden?
Vraag: "Hoe gaan we om met meer sectorale standaarden, vooral in samenhang met de meer generieke standaarden?"
Enkele standaarden op de lijsten zijn in gebruik voor een zeer specifieke toepassing (zoals de, het onderwijs en het bodem- en waterbeheer), terwijl andere standaarden zeer breed toepasbaar zijn (zoals IPv6, TLS en HTML). De standaarden voor een specifieke toepassing worden algemeen aangeduid als ‘sectoraal’, maar worden veelal niet slechts in één sector gebruikt. Geïnterviewden geven overwegend aan dat het Forum deze mogelijkheid moet blijven bieden dergelijke standaarden op een van de lijsten te plaatsen, als deze ook sector- of organisatie-overstijgend ingezet kunnen worden.
Geïnterviewden geven ten aanzien van ‘sectorale’ standaarden aan dat de reguliere toetsingsprocedure doorlopen moet worden. In de clustering worden deze standaarden separaat onderkend, zoals nu in de clusters ‘Onderwijs en loopbaan’, ‘Bouw’ en ‘Water en bodem’.
Hoe gaan we om met profielen op standaarden?
Vraag: "Bij standaarden, die op een profiel worden aangeboden komt dat profiel op de ‘pas toe of leg uit-lijst’ en de onderliggende standaarden op de ‘lijst voor aanbevolen standaarden’ te zetten. Is dit beleid met betrekking tot profielen passend, of zijn er andere/betere manieren om dit te doen?"
Vrijwel alle geïnterviewden geven aan dat dit geen gewenste situatie is. Indien een toepassingsprofiel op de ‘pas toe of leg uit’-lijst is opgenomen, heeft de status ‘aanbevolen’ voor de (internationale) standaard vrijwel geen toegevoegde waarde en leidt mogelijk tot averechtse effecten en tot verwarring. De ‘achterliggende’ (internationale) standaard moet dan niet de status ‘aanbevolen’ krijgen. In de toelichting op het toepassingsprofiel dient – uiteraard – verwezen te worden naar de (internationale) standaard.
Hoe kunnen wij de samenhang van verplichte en aanbevolen standaarden inzetten om het gebruik van standaarden te stimuleren?
Vraag: "De lijst van aanbevolen standaarden bestaat naast de ‘pas toe of leg uit'-lijst; in dit onderzoek zal daarom ook naar die samenhang gekeken moeten worden. Hierbij worden wij graag ook geadviseerd met betrekking tot de mogelijkheid van (extra) stimuleringsmaatregelen?"
Standaarden worden veelal in samenhang gebruikt. Terwijl de ene standaard op de ‘pas toe of leg uit’-lijst is opgenomen, kan een andere standaard op de lijst met aanbevolen standaarden zijn opgenomen. Gebruikers hebben toelichting nodig om dit verschil en de samenhang te kunnen duiden en om onduidelijkheid over de status te voorkomen. Het Forum kan deze duiding geven als onderdeel van de informatie die over de standaarden wordt ontsloten. Echter, meer behulpzaam is om een duiding per cluster van standaarden of voor een maatschappelijk thema te geven waarin de eventuele samenhang tussen verschillende standaarden wordt geduid. Daarbij kan ook worden ingegaan op de levenscyclusfase van de standaarden. Voor zover nuttig, kan tevens een duiding worden gegeven van de samenhang met andere standaarden, clusters en maatschappelijke thema’s.
Hoe gaan we om met transities van standaarden?
Vraag: "Hoe gaan we om met de transitie van bepaalde standaarden, zoals van StUF naar API?"
Verschillende factoren kunnen ervoor zorgen dat bestaande standaarden minder gebruikt worden. Nieuwe technologie brengt nieuwe standaarden met zich mee. Dan kan voor vergelijkbare functionaliteit een bestaande standaard minder gebruikt gaan worden en een nieuwe standaard in opkomst zijn. Ook zorgen nieuw ontdekte kwetsbaarheden in beveiligingsstandaarden ervoor dat nieuwere beveiligingsstandaarden worden ingezet. Niet van iedere gebruiker van de lijsten kan verwacht worden dat hij of zij op de hoogte is van deze trends, deze trends kan duiden en de juiste standaard kiest gezien de trends.
Het Forum heeft tot doel te adviseren ten aanzien van standaardisatie. De aanwijzing van verplichte standaarden is een middel. Voor de standaarden waar dit in het bijzonder speelt, kan het Forum voor gebruikers de levenscyclusfase van een standaard aanduiden, zodat gebruikers weten welke standaarden – bijvoorbeeld – ‘opkomend’ of ‘gangbaar’ zijn.
Een dergelijke aanduiding kan niet van toepassing zijn op standaarden op de ‘pas toe of leg uit’-lijst. Indien een dergelijke aanduiding wordt toegekend aan een aanbevolen standaard die een vergelijkbaar functioneel toepassingsgebied heeft met een standaard op de ‘pas toe of leg uit’-lijst, moeten gebruikers geïnformeerd worden hoe deze standaarden zich tot elkaar en tot deze trends verhouden.
Wat doen we met 'andersoortige' standaarden zoals principes, richtlijnen, kaders, baselines en best practices?
Vraag: "Moet op de ‘lijst voor aanbevolen standaarden’ ook ruimte zijn voor andersoortige standaarden, richtlijnen en principes, zoals bijvoorbeeld de FAIR data principes, Secure Software Development, de Data Pro code? Zou op die manier de connectie met nut en noodzaak van de standaarden explicieter gemaakt kunnen worden?"
Gegevensuitwisseling en hergebruik van gegevens vergen meer dan praktische afspraken over het te gebruiken koppelvlak. Gegevensuitwisseling vergt ook vertrouwen tussen partijen ten aanzien van beveiliging en kwaliteit van gegevens. In dat kader is voor gebruikers nuttig dat andersoortige standaarden (zoals best practices, baselines, principes en normenkaders) getoetst en beoordeeld worden en de status ‘aanbevolen’ kunnen krijgen. Waar noodzakelijk zullen andere beoordelingscriteria gehanteerd moeten worden doordat de reguliere criteria niet toe te passen zijn op andersoortige standaarden. Deze andersoortige standaarden krijgen binnen de clustering separaat ruimte.
Hoewel andersoortige standaarden mogelijk meer tot de verbeelding spreken dan de afspraken over koppelvlakken, kan niet gezegd worden dat met andersoortige standaarden nut en noodzaak van standaarden die al op de lijsten staan explicieter gemaakt kunnen worden.