Oplegnotitie Open Standaarden, adoptie

Vergadering: Forum Standaardisatie 14 de

Agendapunt: 14 juni 2023

Documentnummer: FS-20230614.4

Bijlagen: 

• 4B1. Gesprekken met aanbesteders Monitor 2022
• 4B2. Rapportage bevindingen gespreksronde Monitor 2022
• 4B3. Eindnotitie-Pilot-Monitoring-van-grote-ICT
• 4B4. Analyse naar organisatie Monitor 2022
• 4B5. Ranking VAROS
• 4C. Sponsorschap dossiers en thema’s Forum Standaardisatie
• 4D. Agendering IV-meting en Monitor, en aanwezigheid Forum-leden
• 4E. Letter to Microsoft on DANE support

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Samenvatting

I. Ter bespreking en besluitvorming

• A. Vertoning van video over de Beslisboom Open Standaarden
• B. Verdiepende gesprekken en nadere analyse Monitor Open Standaarden 2022
• C. Sponsorschap dossiers en thema’s
• D. Agendering IV-meting en Monitor OS, en aanwezigheid

II. Ter kennisname

• E. Internet- en beveiligingsstandaarden
  • Brief over onvolledige ondersteuning DANE en IPv6 van JenV en BZK aan Microsoft
  • Presentatie tijdens RIPE-congres
• F. Kennisplatform API’s (voor betere, snellere gegevensuitwisseling)
• G. Document- data- en contentstandaarden
• H. Praktijkverhaal met Oscar Koeroo (VWS)
• I. Semantiek
• J. Eindconferentie TinTin
• K. Input voor en deelname aan Open Overheid

I. Ter bespreking en besluitvorming

Ad A. Vertoning van video over beslisboom open standaarden

Het Forum Standaardisatie wordt gevraagd om:

1. kennis te nemen van de video over de Beslisboom Open Standaarden;
2. de video verder te verspreiden onder uw achterban.

Toelichting

BFS heeft een video over de Beslisboom Open Standaarden gepubliceerd. De hoofdboodschap van de video is: gebruik de beslisboom bij de aanschaf van ICT-systemen/-diensten. Met uitvragen van open standaarden wordt publieke ICT beter, veiliger en toegankelijker. De video past in de serie video’s van het Forum Standaardisatie over de standaarden op de ‘pas toe of leg uit’ lijst.

De video legt via een animatie de werking van de Beslisboom uit. De video is op tijd gereed om te laten zien op het Pianoo-congres op 8 juni aanstaande en op het GovTech-congres op 9 juni aanstaande.

Ad B. Verdiepende gesprekken en nadere analyse Monitor Open Standaarden 2022

[bijlagen: 4B1, 4B2, 4B3, 4B4, 4B5]

Het Forum Standaardisatie wordt gevraagd om:

1. Kennis te nemen van drie gespreksverslagen en de punten die BFS hieruit naar voren haalt en zo nodig van commentaar te voorzien;
2. Kennis te nemen van de analyse van de Monitor Open Standaarden 2022 voor een aantal grote organisaties en de ranking VAROS.
   (NB: Deze laatste twee stukken zijn niet voorbesproken in de stuurgroep Open Standaarden.)

Toelichting

In het kader van de Monitor Open Standaarden 2022 zijn gesprekken gevoerd. De verslagen hiervan liggen aan u voor ter kennisname/bespreking. In voorgaande jaren zijn dergelijke verslagen ook besproken in de eerste helft van het jaar, na het uitkomen van het rapport in december. Voor de Monitor van 2021 was dit in maart 2022: Oplegnotitie Adoptie Open Standaarden. Voor de Monitor van 2020 was dit in april van 2021: Conclusies van de gesprekken over de Monitor Open Standaarden 2020.

Net als in voorgaande jaren hebben de onderzoekers de gesprekken gevoerd met inkoopadviseurs van onderzochte aanbestedingen en met beheerders van overheidsbrede voorzieningen. Daarnaast deed PBLQ in 2022 een pilot om te verkennen of grote ICT-projecten op dezelfde manier onderzocht konden worden als de overheidsbrede voorzieningen.

De gesprekken zijn een waardevolle adoptieactiviteit op zich, leveren vaak goede achtergrondinformatie op en de nodige kwalitatieve verdieping naast de cijfers van de Monitor Open Standaarden. Inmiddels is echter ook een verzadiging opgetreden aan nieuwe inzichten en niet alle uitspraken hoeven meteen tot acties te leiden.

Wat zijn volgens het Bureau Forum Standaardisatie nu belangrijke nieuwe uitspraken waar BFS -mede gelet op de beperkte capaciteit van het bureau- mee uit de voeten zou kunnen? Of die punten opleveren waarvan gevraagd kan worden aan andere partijen om hier aandacht aan te besteden, zoals in de Duiding en Maatregelen notitie die ieder jaar met de Monitor Open Standaarden wordt meegestuurd richting het OBDO? Met deze vragen in het achterhoofd heeft BFS een aantal passages geel gearceerd in de stukken. Samengevat komt dat neer op de onderstaande punten.

4B1: Gesprekken ICTU met inkoopadviseurs

• Er is behoefte aan duidelijker communicatie over de relatie tussen type aanbesteding en specifieke (sets van) relevante standaarden.
• De Beslisboom komt tegemoet aan de behoefte om geholpen te worden bij toepassen

verplichte open standaarden.

• Pianoo is een logische plek om informatie te vinden voor inkopers.

Reactie BFS: in de Handreiking vragen om open standaarden bij inkoop van ICT staan veel praktijkvoorbeelden van typen aanbestedingen en specifieke sets van standaarden. Kennelijk worden deze nog niet goed gevonden. Dit is een punt voor de doorontwikkeling van de Beslisboom en om op te pakken met Pianoo.

4B2: Bevindingen gespreksronde PBLQ overheidsbrede voorzieningen

• Geïnterviewden geven aan dat het gebruik van standaarden bij hen gedegen is belegd in de processen, rollen en verantwoordelijkheden.
• Geen van de gesproken partijen is echter bekend met het besluit om in het jaarverslag verantwoording af te leggen over het (niet)gebruik van

standaarden. Een overall scan van de jaarverslagen van afgelopen jaren leert bovendien dat standaarden hierin niet (structureel) worden benoemd.

• De architect heeft een belangrijke borgingsrol bij vervangingstrajecten. Keuzes over het gebruik van standaarden worden in de startfase van een project gemaakt en opgeschreven in een project start architectuur (PSA).

Reactie BFS: De adoptie van open standaarden ligt bij de overheidsbrede voorzieningen over het algemeen op een hoog niveau (al valt er nog een wereld te winnen als het gaat om uitleggen waarom standaarden achterwege worden gelaten). Om die reden wordt de monitoraandacht verlegd naar andere gebieden.

4B3: Eindnotitie PBLQ pilot grote ICT projecten

• Kost meer tijd en inspanning dan het uitvoeren van het onderzoek naar GDI Voorzieningen maar zou zeker goed zijn om te doen.
• De Project Start Architectuur zou een goed aanknopingspunt zijn voor nader onderzoek.
• PSA’s worden echter niet gedeeld op het Rijks ICT dashboard.
  
  Reactie BFS: Onderzoeken of het mogelijk is dat PSA’s gepubliceerd worden op het Rijks ICT dashboard of elders.

4B4: Analyse naar organisatie Monitor 2022 (NB niet besproken in stuurgroep OS)

De analyse naar organisatie is bekend. Deze heeft ICTU ook bij eerdere monitors gemaakt. De analyse is gebaseerd op de Monitor 2022, en het onderdeel ‘domeinnamen’ is noodgedwongen iets aangepast. Jaap Korpel heeft daarvoor de cijfers uit de IV-meting gebruikt die in Hoofdstuk 6 staan (adoptie per ministerie) van de IV-meting. Daarmee zijn ze nu ook helemaal terug te herleiden tot deze ‘officiële’ publicatie.

4B5: Ranking VAROS (NB niet besproken in stuurgroep OS)

Nieuw is de Ranking VAROS: de scores op aanbestedingen, voorzieningen en domeinnamen per ministerie samengevat in één percentage – en dan een ranglijst gemaakt. Voor andere organisaties is dat niet zinvol (de gegevens zijn te fragmentarisch: voor de meeste diensten is alleen een aanbesteding of alleen één of meer voorzieningen beoordeeld, en voor de mede-overheden zijn er alleen cijfers over aanbestedingen). Een ‘gemiddeld percentage’ voegt dan weinig toe.

De analyse naar organisatie en de Ranking VAROS snijden de informatie uit de Monitor 2022 specifiek toe op een aantal organisaties en zijn geschikt voor het agenderen van de adoptie van open standaarden bij diverse bestuurstafels.

Aanvullend op de ranking VAROS beschikt BFS over factsheets voor een aantal individuele ministeries. Op verzoek kan BFS die toezenden.

Ad C. Sponsorschap dossiers en thema’s

[bijlage: 4C]

Het Forum Standaardisatie wordt gevraagd om:

1. de lijst te bespreken; en
2. aan te geven wie welke openstaande dossiers en thema’s wil sponsoren (eventueel met wisselingen en aanvullingen op reeds gesponsorde dossiers en thema’s).

Om standaardisatie, het gebruik en de adoptie van standaarden te bevorderen wordt conform het instellingsbesluit en het werkplan Forum Standaardisatie van alle Forum-leden verwacht dat zij sponsor zijn van (minstens) één dossier of thema van het Forum Standaardisatie. Op verzoek van de Stuurgroep open standaarden heeft het bureau deze dossiers en thema’s op een rij gezet met daarbij genoemd de huidige sponsor(en) hiervan met een verwijzing naar het werkplan 2023.

Enkele dossiers en thema’s hebben voor zover bekend nog geen sponsor(en), o.a. door het vertrek van een Forum-lid en het nog niet toebedeeld en/ of het relatief nieuw zijn van het dossier of thema.

Ad D. Agendering IV-meting en Monitor OS, en aanwezigheid

[bijlage: 4D]

Vraag aan ieder Forum-lid om:

1. een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en van de IV-meting onder zijn/haar achterban;
2. kennis te nemen van het overzicht van de aanwezigheid.

Toelichting

1. In de bijlage treft u een overzicht aan van de huidige stand van zaken, voor zover bekend, met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).
   1. De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.

• Monitor 2022: voor verspreiding kunt u gebruikmaken van de laatste monitor en daarin opgenomen managementsamenvatting zoals beschikbaar op de pagina over de Monitor Open Standaarden op de website van Forum Standaardisatie.
• IV-meting begin 2023: deze is op 25 mei 2023 vastgesteld door OBDO. De meting en het nieuwsbericht zijn binnenkort beschikbaar via de pagina over “Meting Informatieveiligheidstandaarden” op de website van Forum Standaardisatie.
  1. Daarnaast hebben de leden van het OBDO op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component. Ook herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.

2. Daarnaast is een overzicht bijgevoegd van de aanwezigheid van de Forum-leden bij Forum-vergaderingen sinds 13 juni 2018.

II. Ter kennisname

Ad E. Internet- en beveiligingsstandaarden

[bijlage: 4E]

E1. Brief over onvolledige ondersteuning DANE en IPv6 van JenV en BZK aan Microsoft

Onvolledige ondersteuning DANE (vertrouwelijkheid e-mailtransport)

Op 22 mei 2023 is er vanuit de Rijksoverheid een reactie (zie bijlage) gestuurd op de brief van Microsoft 30 januari 2023 over de onvolledige ondersteuning van DANE. In de reactie wordt door de Rijksoverheid teleurstelling uitgesproken over het nieuwe uitstel en wordt erop aangedrongen om DANE spoedig volledig te ondersteunen. Daarbij is ook verwezen naar recente Kamervragen en -antwoorden daarop waarin de achterblijvende ondersteuning door Microsoft aan de orde kwam. De brief is ondertekend door Emine Özyenici (hoofddirecteur Bedrijfsvoering, tevens CIO, JenV) en Ron Roozendaal (directeur Digitale Samenleving tevens plaatsvervangend directeur-generaal Digitalisering en Overheidsorganisatie, BZK).

Nadere achtergrondinformatie

Microsoft ondersteunt op Exchange Online sinds begin 2022 DANE (validatie) voor uitgaande mail. Dat is mede het resultaat van eerdere acties van Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie.

Voor inkomende mail heeft Microsoft de ondersteuning DANE in Exchange Online nog niet op orde, ondanks een oorspronkelijk aankondiging dat dit eind 2021 ondersteund zou worden. De ontbrekende ondersteuning zien we terug in de Metingen Informatieveiligheidstandaarden en noemde de Staatssecretaris BZK ook in antwoord op recente Kamervragen.

Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie hebben Microsoft begin 2023 per brief aangesproken op de gebrekkige ondersteuning van DANE voor inkomende mail (en daarnaast op de niet-default ondersteuning van IPv6).

Eind januari ontving SLM Rijk een antwoordbrief van Microsoft. Daarbij heeft Microsoft de geplande implementatiedatum voor DANE op inkomende mail opnieuw verschoven, nu van juli 2023 naar maart 2024. Een preview zou nu beschikbaar komen in december 2023.

DANE is een voor de overheid verplichte open standaard voor beveiligd mailtransport tussen mailservers. De standaard zorgt ervoor dat het veel moeilijker wordt voor kwaadwillenden om e-mailverkeer af te luisteren.

Het advies aan overheidsorganisaties (zoals ook in de vorige vergadering van Forum Standaardisatie aan de orde kwam) is om:

1. als (potentiële) klant zelf ook een formeel verzoek bij Microsoft in te dienen voor de ondersteuning van DANE voor inkomende mail in Exchange Online;
2. als je nog geen gebruikmaakt van Exchange Online dit in ieder geval uit te stellen, totdat Microsoft de ondersteuning van DANE voor inkomende mail in Exchange Online op orde heeft;
3. als je desondanks al Exchange Online gebruikt of dit wel al wil gaan doen, dan gebruik te maken van een emailgateway die wel DANE (en de andere verplichte standaarden) ondersteunt, alhoewel dit aanvullende complexiteit en kosten met zich meebrengt.

Onvolledige ondersteuning IPv6 (modern internetadres)

In tegenstelling tot veel andere mailproviders, ondersteunt Microsoft per default nog geen IPv6 op haar Exchange Online mailservers. Het is wel mogelijk om als klant IPv6 te laten activeren. Daarvoor moet de klant een verzoek indienen bij Microsoft (‘opt-in’).

De Meting informatieveiligheidsstandaarden van begin 2023 liet zien dat Exchange Online wordt gebruikt op 510 van de 1502 domeinnamen die mail kunnen ontvangen. Daarvan is op 197 domeinnamen IPv6 geactiveerd, en op 313 nog niet.

Op dit moment bevat de ‘opt-in’-instructie op de Microsoft-website enkele onduidelijkheden. Deze zijn door BFS aangekaart bij Microsoft. Het doel is om binnenkort een heldere instructie te hebben, op de website van zowel Microsoft als Forum Standaardisatie. Vervolgens wil BFS overheden die gebruikmaken van Exchange Online en nog geen IPv6 hebben geactiveerd, gericht gaan benaderen om IPv6 te laten activeren. Microsoft heeft laten weten een support-medewerker beschikbaar te hebben voor als overheidsorganisaties in het reguliere ‘opt-in’-proces toch vast lopen.

E2. Presentatie tijdens RIPE-congres

Benjamin Broersma (BFS) heeft tijdens het RIPE-congres op 24 mei 2023 in Rotterdam een presentatie verzorgd over de publiek/private samenwerking binnen Platform Internetstandaarden, over de Internet.nl testtool, en over het uitvoeren van metingen met deze tool. Benjamin zou de presentatie samen verzorgen met Gerben Klein Baltink (voorzitter Platform Internetstandaarden) maar die was helaas verhinderd. Benno Overeinder had het contact tussen Platform Internetstandaarden en de organisatie van het RIPE-congres gelegd, zodat er ruimte op de agenda werd gereserveerd voor deze presentatie.

Ad F. Kennisplatform API’s (voor betere, snellere gegevensuitwisseling)

Op 11 mei 2023 heeft het Kennisplatform API’s een bijeenkomst georganiseerd waar verschillende onderwerpen werden behandeld. Bureau Forum Standaardisatie (BFS) is trekker binnen het Kennisplatform API’s van de werkgroep Strategie en Beleid en neemt zitting in de stuurgroep van het kennisplatform. De werkgroep Strategie en Beleid, die sinds eind 2022 versterkt is vanuit het actieplan "Data bij de Bron", heeft zich ingezet om daadwerkelijke strategieën en opgehaalde ideeën uit te werken. Vanaf begin 2023 is deze werkgroep bezig met het verbeteren van de visie op het Kennisplatform API’s. De werkgroep heeft de vastgestelde intentieovereenkomst tekstueel aangepast met als doel meer ondertekenaars aan te trekken. Ondertekenaars van deze overeenkomst streven naar een veiligere en efficiëntere uitwisseling van gegevens en data door de digitale overheid, door applicaties en data zoveel mogelijk te scheiden en de data bij de bron te bewaren. In een plenaire interactieve sessie 'van dromen naar doen', verzamelde de werkgroep input om de visie naar een strategie te vertalen. Deze input wordt de komende maanden verder uitgewerkt in de werkgroep.

Na de plenaire sessie waren er diverse parallelle sessies te volgen. Tijdens de eerste ronde werd de API Design Rules validator besproken. Deze testtool berekent op basis van 7 Design Rules een score die vervolgens aan elke API wordt gekoppeld die op developer.overheid.nl gepubliceerd wordt. In een andere ronde ging het over het belang van API’s in het federatieve datastelsel. In het federatieve datastelsel kunnen overheden vanuit verschillende ketens en sectoren straks makkelijker data delen. Hierin spelen API’s een onmisbare rol. Het Informatiehuis Water belichtte de mogelijkheden van de OData standaard, die goede zoek- en filtermogelijkheden binnen API’s biedt en in veel applicaties kan worden gebruikt. Het KNMI presenteerde het KNMI Data Platform, dat inzicht biedt in datasets die door het KNMI zijn gegenereerd of onderhouden. API’s maken deze datasets toegankelijk. Ook was er een presentatie over rechtendelegatie Basisregistratie Adressen en Gebouwen (BAG) met het Kadaster. Het doel van deze demonstratie was dat een SAAS-leverancier namens een bevoegd gezag (gemeente) de BAG API gebruikt met hun eigen middelen. Logius gaf tenslotte een update over de API Design Rules die momenteel modulair worden opgezet, waarvan diverse onderdelen in de toekomst verplicht zullen worden.

Ad G. Document- data- en contentstandaarden

• Vanuit het ontwikkelaarsteam van de PDF checker hebben wij input geleverd aan een marktconsultatie van Doc-Direkt over het digitaal toegankelijk maken van documenten. In deze marktconsultatie zoekt DocDirect zowel oplossingen voor het creëren van digitaal toegankelijke documenten ‘bij de bron’ in Microsoft Office, als het (automatisch) toegankelijk maken van bestaande PDF-documenten die dat nog niet zijn. In onze reactie hebben wij DocDirect geadviseerd over de mogelijkheden en onmogelijkheden van het volautomatisch toegankelijk maken van documenten, en het valideren op digitale toegankelijkheid. Hierbij hebben wij ook de kennis en open code aangeboden die wij in het PDF checker project hebben opgebouwd.
• Sinds april heeft nl de versie 1.0, en daarmee is de bèta-status komen te vervallen. De PDF checker is sinds dit jaar meer een community-project. Logius en Forum Standaardisatie financieren gezamenlijk de hosting, het onderhoud en de doorontwikkeling van de PDF checker. Ook verwachten wij financiering op te halen van de community van Pleio-gebruikers. Pleio wil de PDF checker standaard gaan inbouwen in het platform zodat alle PDF-bestanden die worden geüpload, eerst worden getest op digitale toegankelijkheid.
• Op 16 mei 2023 leverde BFS een bijdrage aan de brainstormsessie over de governance van metadatering voor overheidsgegevens. Deze bijeenkomst bracht vertegenwoordigers van minBZK, RDDI, Nationaal Archief, KOOP (nu onderdeel van Logius), VNG en Forum Standaardisatie bij elkaar. In de sessie stonden drie punten centraal: het eigenaarschap, het beheer en het geven van status met betrekking tot normen voor metadatering van overheidsgegevens. Forum Standaardisatie zou vooral een rol kunnen hebben bij het (adviseren over) het geven van status aan metadata-standaarden.

Ad H. Praktijkverhaal met Oscar Koeroo (VWS)

Wat betekent het om een ‘online presence’ te hebben? Oscar Koeroo (overkoepelend Chief Information Security Officer (CISO) van Ministerie van Volksgezondheid, Welzijn en Sport) licht dit toe vanuit de praktijk. Het doel van de serie praktijkverhalen is om geleerde lessen en werkende aanpakken te documenteren om daarmee andere bestuurders te inspireren.

Ad I. Semantiek

• Op 22 juni aanstaande staat een nieuwe Keukentafelsessie met Arre Zuurmond gepland. Oplossingen voor burgerproblematiek staan hierin centraal, met speciale aandacht voor multidisciplinair samenwerken en semantiek. BFS heeft meerder tafelgasten en thema’s aangereikt voor het programma, waaronder de in ontwikkeling zijnde handreiking voor de wetgevingsjurist, waarin multidisciplinair samenwerken en methoden als Wetsanalyse een plek krijgt. En de leergemeenschap digitale vertalingen onder aanvoering van de HvA, UvA, Hanzehogeschool en RuG.
• Voor de GDI programmeringstafel gegevensuitwisseling wordt door Mariette Lokin een actueel overzicht en analyse gemaakt van eerdere en nieuwe initiatieven op het gebied van semantische standaardisatie. BFS leest mee en levert op FS betreffende onderwerpen en ontwikkelingen een inhoudelijke bijdrage.
• In vervolg op de presentatie op 13 februari bij SZW, directie stelsel en volksverzekeringen, is een verzoek ontvangen om te helpen en kijken hoe de methodiek wetsanalyse kan helpen in het SUWI domein.

Ad J. Eindconferentie TinTin

Op 17 april was de ‘Eindconferentie TinTin’ (toetsingskader voor de ingebruikname van technologie voor infectieziekten bestrijding). Het Onderzoeksteam Pandemische Paraatheid heeft een toetsingskader ontwikkeld dat helpt om de juiste overwegingen te maken bij het ontwikkelen van technologie bij infectieziektebestrijding. Onderdeel van het toetsingskader is de check op verplichte standaarden.

Ad K. Input voor en deelname aan Open Overheid

Open Overheid werkt aan een nieuw actieplan. BFS heeft, op basis van het instellingsbesluit en het werkplan van Forum Standaardisatie, input geleverd voor dit nieuwe actieplan Open Overheid. Daarbij heeft BFS zich opgegeven als deelnemer. Dit zorgt voor meer zichtbaarheid van open standaarden en verbinding met andere open overheidsdoelstellingen.