Oplegnotitie Lijsten Open Standaarden

Vergadering: Forum Standaardisatie woensdag 24 juni 2020

Agendapunt: 3

Documentnummer: FS-20200624.3

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Bijlagen: 

• FS-20200624.3A Evaluatie CMIS
• FS-20200624.3B Intakeadvies aanpassing toepassingsgebied WPA2 Enterprise

Ter besluitvorming

U wordt gevraagd om in te stemmen met de volgende adviezen:

‘Pas toe of leg uit’-lijst:

• A. Evaluatie: verwijderen CMIS (content-uitwisseling tussen CMS-/DMS-systemen) van 'pas toe of leg uit'-lijst
• B. Het starten van een toetsingsprocedure voor WPA2 Enterprise (standaard om gebruikers automatisch en veilig toegang te geven tot aangesloten WiFi-netwerken) voor een wijziging van het toepassingsgebied)

Ter kennisname

• C. Voortgang onderzoek naar de aard van de lijst van open standaarden
• D. Stand van zaken lopende procedures

Ter besluitvorming

Ad A. Evaluatie: verwijderen CMIS van 'pas toe of leg uit'-lijst

[Bijlage A]

Het Forum Standaardisatie wordt gevraagd om het volgende advies over te nemen:

Het starten van een procedure ter verwijdering van CMIS van de ‘Pas toe of leg uit’-lijst en opvolging geven aan de voorgestelde aanbevelingen.

Over de standaard en achtergrond

Met behulp van standaard Content Management Interoperability Services (CMIS) kunnen applicaties als Content Management Systemen (CMS) en Document Management Systemen (DMS) werken met content die afkomstig is uit verschillende repositories (een opslagplaats voor ongestructureerde data), zonder nieuwe koppelingen te hoeven bouwen of gebruik te hoeven maken van leverancierseigen oplossingen. Het is hierdoor eenvoudiger om informatie en de bijbehorende metadata uit verschillende databases en over organisatiegrenzen heen uit te wisselen. Bovendien is het met CMIS eenvoudiger om te migreren van een systeem naar een ander systeem. Bij de aanschaf van een DMS en CMS dient deze CMIS te ondersteunen, alleen als je van plan bent om gegevens uit te wisselen met andere DMS en CMS systemen. Het functioneel toepassingsgebied van CMIS geeft aan, dat CMIS moet worden toegepast op het ontsluiten van ongestructureerde gegevens in content repositories van content management systemen (CMS’en) en van document management systemen (DMS’en), met als doel deze gegevens uit te wisselen met andere CMS’en en DMS’en over de organisatiegrens heen.

Sinds december 2014 staat CMIS v1.0 op de ‘Pas toe of leg uit’-lijst. Het Forum Standaardisatie heeft deze standaard geïdentificeerd voor evaluatie in 2019. De evaluatie sluit aan op de adoptieadviezen die zijn overeengekomen bij de opname van CMIS op de ‘Pas toe of leg uit’-lijst en op de resultaten van de Monitor Open standaarden: rapportage 2018. Over de toepassing van CMIS in generieke voorzieningen is toen geconstateerd dat geen enkele voorziening aan CMIS voldoet, terwijl de toepassing van CMIS voor een aantal voorzieningen wel relevant is. Wel werd CMIS meegenomen als vereiste bij aanbestedingen, indien dat relevant was. Qua gebruik gaf CMIS een gemengd beeld. De evaluatie betreft ook de adoptieadviezen die zijn overeengekomen bij de opname van CMIS op de ‘Pas toe of leg uit’-lijst.

Hoe is het proces verlopen?

In de vergadering van 12 juni 2019 besloot het Forum Standaardisatie om CMIS te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In de evaluatie hebben twaalf partijen input geleverd: ministerie BZK, Logius, ministerie JenV, Belastingdienst, VNG Realisatie, SSC-ICT, gemeente Amsterdam, DICTU, OASIS, Doc-direct, Nationaal Archief en Instituut Fysieke Veiligheid. De vragen richtten zich op vijf aandachtsgebieden: het functioneel toepassingsgebied, het gebruik van de standaard, de relevantie van de standaard, openstaande adoptiepunten en nieuwe ontwikkelingen die van belang zijn voor CMIS.

Conclusies uit de evaluatie

De evaluatie richtte zich op de zes aspecten:

• Toepassingsgebied: Het huidige functioneel toepassingsgebied is:

‘CMIS moet worden toegepast op het ontsluiten van ongestructureerde gegevens in content repositories van content management systemen (CMS’en) en van document management systemen (DMS’en), met als doel deze gegevens uit te wisselen met andere CMS’en en DMS’en’. Het functionele toepassingsgebied is na de opname nader toegelicht: Het functioneel toepassingsgebied stelt aan CMS en DMS systemen de eis om CMIS te ondersteunen bij het uitwisselen van ongestructureerde gegevens (met CMS’en en DMS’en van andere organisaties) over de organisatiegrens heen. Organisaties passen de standaard in tegenstelling tot het functioneel toepassingsgebied alleen intern toe.

• Belang: Met behulp van CMIS kunnen applicaties als Content Management Systemen (CMS) en Document Management Systemen (DMS) werken met content die afkomstig is uit verschillende repositories (een opslagplaats voor ongestructureerde data), zonder nieuwe koppelingen te hoeven bouwen of gebruik te hoeven maken van leverancierseigen oplossingen. Van het gebruik CMIS worden ook nadelen genoemd: CMIS 1.0 specificeert vooral algemene basisfunctionaliteiten, ondersteunt geen situaties waarin een meer uitgebreide structuur van het metadatamodel nodig is, is minder geschikt als meer functionaliteit gevraagd wordt, de metadata die in CMIS kan worden opgevraagd is beperkt en altijd gekoppeld aan een bestand en CMIS vergt serieuze inspanning voor inregeling en implementatie.
• Beheer: OASIS is de beheerder van de CMIS. Na de specificatie van versie 1.0 en als subset versie 1.1 heeft geen verdere doorontwikkeling meer plaatsgevonden. De grote deelnemers (DMS) hebben CMIS in hun software geïnstalleerd. Oorspronkelijk was de ambitie hoog, maar bij gebrek aan draagvlak bij de leden heeft OASIS als beheerder van CMIS het Technical Comité voor CMIS is gesloten op 9 mei 2017.
• Gebruik: Het gebruik is onder te verdelen in extern en intern gebruik. Extern gebruik bestaat uit de uitwisseling van ongestructureerde documenten over organisatiegrenzen heen. Monitor Open standaarden: rapportage 2018 vermeldt, dat CMIS overheidsbreed wordt opgenomen in de vereisten bij de aanschaf van CMS/DMS oplossingen. Doch de daadwerkelijke toepassing over de organisatiegrenzen heen van standaard CMIS, behalve bij de Belastingdienst, niet aangetroffen. De overige toepassingen zijn vooralsnog interne toepassingen. De verwachting is dat het gebruik van CMIS niet zal stijgen, in tegendeel. CMIS wordt ingehaald door nieuwe ontwikkelingen als Common Ground. De roadmap voor Common Ground van VNG Realisatie zegt over het (ont)koppelen van zaaksystemen en de registers waar documenten en overige informatie in zijn opgeslagen: ‘De API-standaarden voor zaakgericht werken zijn de opvolger van de Zaak- en documentservices (ZDS) en helpen bij het (ont)koppelen van zaaksystemen en de registers waar documenten en overige informatie in zijn opgeslagen’. Zo geven het Nationaal Archief en Justid aan dat zij geen toepassing van CMIS zien bij het overbrengen van documenten van DMS-en naar e-depots. Hiervoor zijn services ontwikkeld op basis van Open API.
• Openstaande adoptiepunten: De adviezen in de adoptiepunten zijn ten dele opgevolgd. Zij hebben niet geleid tot een toename van de landelijke adoptie van CMIS.
• Lopende ontwikkelingen: De doorontwikkeling van CMIS bij beheerder OASIS is gestopt; het Technisch Comité is op 9 mei 2017 gesloten. De grote leveranciers ondersteunen CMIS nog steeds, maar van aanjagen is geen sprake. Volgens een van de experts heeft van de oorspronkelijke leveranciers HP zichzelf teruggetrokken. Over de oorspronkelijke business case van CMIS is navraag gedaan bij de indertijd bij CMIS betrokken expert van ministerie BZK. Een van deze cases, het overbrengen van documenten vanuit DMS’en naar e-depots bij het Nationaal Archief en Justid, zou kunnen worden versterkt door de herziening van de archiefwet, waarbij de overbrenging niet na 20, maar al na 10 jaar moet plaatsvinden. Echter, hiervoor blijkt CMIS niet de gewenste oplossing door de beperking in de metadatering. Gezien de geschetste ontwikkelingen en relatief complexe karakter van CMIS in relatie tot moderne koppeling oplossingen is de verwachting van de meeste betrokken experts in dit onderzoek, dat CMIS geen grote rol gaat spelen in het oplossen van interoperabiliteitsproblemen van content.
• er maar 1 partij, VNG Realisatie, is die belang hecht aan een ‘Pas toe of leg uit’-verplichting (criterium ‘draagvlak’); voor gebruik binnen de organisatie;
• opname op de ‘Pas toe of leg uit’-lijst in ruim 5 jaar niet geleid heeft tot een grotere adoptie (criterium ‘opname bevordert adoptie’);
• API’s ook steeds meer de rol van CMIS gaan overnemen (criterium ‘toegevoegde waarde’);
• de beheerder van de standaard OASIS de standaard niet meer onderhoudt of ontwikkelt (criterium ‘open standaardisatieproces’);
• er in Nederland geen beheerder of aanspreekpunt voor CMIS is en daadwerkelijk gebruik moeilijk vast te stellen is (volgt uit de Monitor Open Standaarden).

Bijgevolg voldoet CMIS in de praktijk niet aan het beoogde doel, zoals verwoord in de basiscriteria voor het aanmelden van een open standaard voor opname op de ‘Pas toe of leg uit’-lijst.

Overwegingen voor het Forum Standaardisatie die uit de evaluatie volgen zijn:

• Verwijder CMIS van de ‘Pas toe of leg uit’-lijst, conform de procedure hiertoe. Om aan de behoefte van huidige gebruikers van CMIS waaronder gemeenten tegemoet te komen kan CMIS worden opgenomen op de ‘aanbevolen’-lijst van open standaarden; zodat het aansluit op de realiteit bij de (grote) gemeenten en zij geen discussies krijgen met hun leveranciers van DMS/CMS over CMIS bij hun uitvragen (actie: OBDO en Forum Standaardisatie).
• Het volgende adoptieadvies blijft relevant: Investeer (meer) in voorlichting en advies over het gebruik van open standaarden in hun onderlinge samenhang. Voor CMIS is er de samenhang tussen CMIS en OpenAPI Specification. In dit specifieke geval is voor CMIS een verwijzing naar de Common Ground op zijn plaats (actie: Logius, en BZK als opdrachtgever).

Rapporteer, indien bovenstaande actiepunten worden opgepakt, over uiterlijk een jaar over de voortgang en/of resultaten (te bewaken en agenderen door Bureau Forum Standaardisatie).

Ad B. Het starten van een toetsingsprocedure voor WPA2 Enterprise voor een wijziging van het toepassingsgebied.

[Bijlage B]

Het Forum Standaardisatie wordt gevraagd om in te stemmen met het volgende advies:
Het starten van een uitgebreide toetsingsprocedure voor een voorgestelde wijziging van het functioneel toepassingsgebied WPA2 Enterprise op de ‘Pas toe of leg uit’-lijst.

Over de standaard en achtergrond

WPA2 Enterprise maakt het mogelijk om veilige wifi-netwerken op te zetten. WPA2 Enterprise is al opgenomen op de ‘Pas toe of leg uit’-lijst. De standaard specificeert de beveiligingsmechanismen bij het tot stand brengen van toegang tot een wifi-netwerk. De standaard is noodzakelijk om eigen medewerkers veilig toegang te bieden tot wifi en om op eenvoudige wijze elkaars gebruikers veilig toegang tot wifi-netwerken te verlenen (zoals bij Rijk2Air, Govroam en Eduroam). Bij WPA2 Enterprise spelen drie partijen een rol: de ‘gebruiker’, de ‘Identity Provider (IdP)’ en de ‘Service Provider (SP)’. Zodra een gebruiker contact maakt met het betreffende WiFi-punt toetst de SP (beheerder van het WiFi-punt) op basis van de inloggegevens bij de IdP (de thuisorganisatie van de gebruiker) de identiteit van de gebruiker. Na positieve verificatie van de identiteit van de gebruiker, wordt toegang verleend tot het WiFi-netwerk zonder dat aanvullende inlog noodzakelijk is. Het huidige functioneel toepassingsgebied is nu als volgt geformuleerd: WPA2 Enterprise moet worden toegepast op het tot stand brengen van toegang tot WiFi-netwerken, met uitzondering van openbare netwerken voor gastgebruik. Het functioneel toepassingsgebied van de huidige verplichting voor WPA2 Enterprise maakt een uitzondering voor openbare wifi-gastnetwerken. Hierdoor wordt het gebruik van de standaard dus niet verplicht bij het aanbieden van wifi-gasttoegang aan gasten/burgers.

Hoe is het proces verlopen?

Op 12 mei 2020 heeft Stichting Privacy First de standaard WPA2 Enterprise aangemeld voor een wijziging van het functioneel toepassingsgebied. Op 19 mei 2020 heeft een intakegesprek plaatsgevonden met de indiener. In dit gesprek is onderzocht of de voorgestelde wijziging van het functioneel toepassingsgebied voldoet aan de criteria om in procedure genomen te worden. Daarnaast is vooruitgeblikt op de procedure. Op basis van dit gesprek en het intake-onderzoek heeft Lost Lemon een intake-advies opgesteld.

Advies en gevraagd besluit

Het functioneel toepassingsgebied van de huidige verplichting voor WPA2 Enterprise maakt een uitzondering voor openbare wifi-gastnetwerken. Hierdoor wordt het gebruik van de standaard niet bevorderd bij het aanbieden van wifi-gasttoegang aan gasten en burgers. Dit is wel wenselijk omdat de meeste overheidsinstanties nog altijd openbare wifi-gastnetwerken aanbieden die niet veilig zijn voor gebruikers, tenzij gebruikers zelf beveiligingsmaatregelen treffen. Dit maakt gebruikers kwetsbaar voor kwaadwillenden die eenvoudig toegang kunnen krijgen tot persoonlijke gegevens. Aanpassing van het functioneel toepassingsgebied zorgt ervoor dat naast medewerkers, ook gasten eenvoudig en veilig toegang hebben tot wifi-netwerken.

Verschillende overheidsorganisaties maken al gebruik van WPA2 Enterprise voor gastnetwerken. bijvoorbeeld via Publicroam zoals gemeente Den Haag, gemeente Amsterdam, gemeente Wassenaar, gemeente Voorschoten, gemeente Alkmaar, gemeente Heerlen/Parkstad IT, stichting ICTU en Hoogheemraadschap Delfland. Daarnaast maken onderwijsinstellingen gebruik van Eduroam Visitor Access voor het bieden van toegang aan gasten. Voor rijksoverheden is de dienst Rijks2Air-gast beschikbaar. Voor overheidsbreed gebruik is een soortgelijke dienst in ontwikkeling onder de naam Govroam Visitor Access. Aruba biedt een oplossing voor veilige gasttoegang onder de naam Aruba Clearpass. Het is nog niet duidelijk hoe organisaties die nog geen gebruikmaken van WPA2 Enterprise voor hun gastennetwerken tegenover de wijziging van het functioneel toepassingsgebied staan.

Vanwege de impact van deze wijziging voor gebruikers, aanbieders en andere betrokken en om een verificatie- en vernieuwingsslag te kunnen doen van het reeds gepubliceerde WPA2 Enterprise, wordt daarom geadviseerd om WPA2 Enterprise wel in procedure te nemen voor een uitgebreide toetsingsprocedure voor de voorgestelde wijziging van het functioneel toepassingsgebied. Daarmee sluit het aan bij zowel het toetsen op criteria voor een gewijzigd functioneel toepassingsgebied en de huidige stand van zaken van de bestaande publicatie van WPA2 Enterprise.

Ter kennisname

Ad C. Voortgang onderzoek naar de aard van de lijst van open standaarden

[Geen bijlage]

Zoals reeds in de forumvergadering van mei 2020 gemeld is, laat het Bureau Forum Standaardisatie een onderzoek uitvoeren naar het karakter van de lijst aanbevolen standaarden (in relatie tot de ‘Pas toe of leg uit’-lijst) met het oog op de taak van het Forum de digitale interoperabiliteit van de (semi-)publieke sector te bevorderen. Dit mede met het oog op de behoefte om bepaalde bredere open standaarden of afspraken (zoals architectuurprincipes, methodes stelsels en bijvoorbeeld afspraken rond eenduidige overheidsdienstverlening en semantische standaardisatie) een status te bieden. Het onderzoek vraagt om extra capaciteit, waar nog geen invulling voor is gevonden. Door de beperkte capaciteit bij het Bureau is de opdracht ten tijde van de vergadering daardoor nog niet uitgezet. Naar verwachting zal de opdracht na de zomer uitgezet worden om in het najaar onderzoek uit te voeren. Dit zal gebeuren in samenwerking met de sponsoren in het Forum Standaardisatie. De sponsoren van het onderzoek zijn: Benno Overeinder, Floor Jas en Joop van Lunteren. De uitkomst van dit onderzoek wordt naar verwachting gepresenteerd in de Forumvergadering van december 2020.

Ad D. Aankomende aanmelding OpenID Connect (OIDC)-profiel

[Geen bijlage]

Zoals eerder in de forumvergadering van december 2019 is aangekondigd werkt Logius sinds eind 2019 aan een Nederlands OpenID Connect (OIDC) profiel: NL GOV Assurance profile for OpenID Connect 1.0, een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken. Dit Nederlands profiel regelt onder andere afspraken over veiligheid, interoperabiliteit en nieuwe structurele upgrades voor bepaalde toepassingen in het publieke domein in Nederland. Logius betrekt hierbij alle belanghebbende partijen om tot een breed gedragen Nederlandse OIDC-profiel te komen. Het voornemen van Logius is om in augustus 2020 het profiel aan te melden voor plaatsing op de ‘Pas toe of leg uit’-lijst. Indien Logius voor 1 september 2020 aanmeldt, zal een intake onderzoek volgen waarna het Forum in de vergadering van 7 oktober 2020 kan besluiten of Nederlands OIDC-profiel in procedure genomen wordt voor plaatsing op de ‘Pas toe of leg uit’-lijst.

Meer informatie over standaarden in behandeling op https://www.forumstandaardisatie.nl/open-standaarden/in-behandeling