Oplegnotitie open standaarden, adoptie

Content

Vergadering: Forum Standaardisatie 28 februari 2024

Agendapunt: 4

Documentnummer: FS20240228.4

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Samenvatting

Ter bespreking

  • A. Peilen stemming inloopacties achterblijvers
  • B. Agendering IV-meting en Monitor OS, sponsorschap en aanwezigheid
  • C. Ontwikkelingen Architectuur Digitale overheid

Ter kennisname

  • D. Nieuw overleg Beheersbaarheid Internet Domeinnamen Rijksoverheid (BID-R)
  • E. Open en toegankelijk
    • Norm Voorkeursformaten van het Nationaal Archief
    • PDF Checker
    • Practice what you preach
  1. F. API’s (voor betere, snellere gegevensuitwisseling)
  2. G. Internet- en beveiligingsstandaarden
    • Bijeenkomst voor CIO-beraad, CISO- en CTO-raad
    • Nulmeting HTTPS en HSTS
    • Meting security.txt
    • Contact met Microsoft over ondersteuning van DANE (vertrouwelijk e-mailtransport)
  3. H. Opzet Monitor Open Standaarden 2024
  4. I. Praktijkverhaal Bronportfolio

Ter bespreking

Ad A. Peilen stemming inloopacties achterblijvers

Toelichting

Deze Forumvergadering is er flink wat tijd gereserveerd voor adoptie. Zowel de jaarlijkse monitor rapportages Open Standaarden, als de halfjaarlijkse informatieveiligheidstandaarden-meting (IV-meting) laten consequent een groep achterblijvers zien van 45 à 25%. Zowel bij gebruik, als bij uitvraag bij aanbesteding. En zowel voor standaarden waarvoor een pas-toe-of-leg uit regime geldt, als voor standaarden waarvoor streefbeeldafspraken zijn gemaakt, en zelfs voor standaarden die per 1 juli wettelijk verplicht zijn.

Er zijn al flink wat maatregelen voorgesteld om deze achterstand in te lopen. En de meeste daarvan zijn overgenomen in OBDO-besluitvorming. Hoewel bij verschillende organisaties flinke vorderingen zijn gemaakt, blijft een grote groep stelselmatig achter.

In deze Forumvergadering willen we de stemming peilen ten aanzien van een baaierd van maatregelen, acties en actiehouders. Niet om vervolgens al deze maatregelen in te gaan voeren, maar om zicht te krijgen bij in welk soort maatregelen in het Forum het gevoel of de overtuiging bestaat dat deze zullen helpen. Vervolgens zal het bureau een aantal van deze acties uitwerken voor een volgende Forumvergadering, waarin dan zo nodig besluitvorming kan worden voorgelegd, of doorgeleid naar het OBDO.

Een deel van de acties en maatregelen die langskomen is niet gericht op nieuwe maatregelen, maar op de acties die helpen om al afgesproken maatregelen tot uitvoering te laten komen. Ook niet alle stellingen, acties en maatregelen die langskomen zijn wenselijk, doordacht of genuanceerd. Ze dienen ook om de bandbreedte en stemming te bepalen.

In de vergadering kunnen individuele Forumleden, via hun telefoon, anoniem hun inzicht en mening geven, door vragen t.a.v. stellingen en maatregelen te beantwoorden. Daarna zal het beeld dat daaruit komt gedeeld worden, en kunnen aanvullende en invullende opmerkingen, gegeven worden. Ook is er ruimte voor suggesties die niet als stelling of maatregelen langskwamen.

De tool die we willen gebruiken voor het ophalen via de telefoon is (waarschijnlijk) sli.do. Voor het gebruik daarvan is geen app of registratie vereist.

In het verleden zijn flink wat onderzoeken uitgevoerd naar het waarom van het achterblijven, en wat de bottlenecks zijn (zowel in opdracht van het Forum, als wetenschappelijke. onderzoeken). Een samenvatting daarvan (top 10) wordt in de vergadering gepresenteerd, voorafgaand aan de peiling, zodat deze desgewenst meegenomen kunnen worden in de afwegingen.

Ad B. Agendering IV-meting en Monitor OS, sponsorschap en aanwezigheid

[bijlage: 4B]

Vraag aan ieder Forum-lid om:

  1. een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en van de IV-meting onder zijn/haar achterban;
  2. een update te geven over sponsorschap;
  3. kennis te nemen van het overzicht van de aanwezigheid.

Toelichting

  1. In de bijlage treft u een overzicht aan van de huidige stand van zaken, voor zover bekend, met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).
    1. De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.
    2. Daarnaast hebben de leden van het OBDO op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component. Ook herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.
  2. De Forum-leden zijn ook sponsor van een of meerdere Forum-onderwerpen. Dit is eveneens weergegeven in de bijlage.
  3. Daarnaast is een overzicht bijgevoegd van de aanwezigheid van de Forum-leden bij Forum-vergaderingen sinds 9 maart 2022.

Ad C. Ontwikkelingen Architectuur Digitale overheid

Toelichting

Guido Bayens, voorzitter Architectuurraad Digitale Overheid, licht de “Architectuur Digitale Overheid 2030” toe. Het OBDO heeft dit document na een brede interbestuurlijke review op verzoek van PGDI op 30 november 2023 vastgesteld. In zijn toelichting zal hij specifiek aandacht hebben voor de relatie met Forum Standaardisatie, met open standaarden en met het federatief datastelsel.

Het document “Architectuur Digitale Overheid 2030” geeft een beeld van de architectuur van de digitale overheid in 2030. Het is een samenvattende beschrijving die de brug slaat tussen bestuurders/beleidsmakers en architecten. Daartoe geeft het een samenhangend beeld van bestaande afspraken over beleid, architectuur en overeengekomen bouwstenen van de digitale overheid. Bovendien doet het voorstellen voor aanvullend beleid, uitwerking van architectuur en aanpassing van en uitbreiding van bouwstenen (in het document te herkennen doordat deze teksten onderstreept zijn). Daarmee is het een basis voor het verdere gesprek over de inrichtingskeuzes op weg naar 2030.

Link naar Architectuur Digitale Overheid 2030 (pgdi.nl)

Ter kennisname

Ad D. Nieuw overleg Beheersbaarheid Internet Domeinnamen Rijksoverheid (BID-R)

Sinds 2020 faciliteert het Forum Standaardisatie een rijksbreed overleg dat zich focust op de beheersbaarheid van internetdomeinen, ook wel afgekort: het BID-overleg. Het overleg is destijds in het leven geroepen om de complexiteit rondom het beheer van internetdomeinen gezamenlijk aan te pakken en grip te krijgen op de online overheid. Daarbij was het overleg gericht op kennisdeling tussen overheden en had het als doel domeinnaambeheer op een hoger volwassenheidsniveau te krijgen. Uit het overleg zijn onder andere de 5 basisprincipes voor regie op internetdomeinen, Handreiking Beheer Internetdomeinen Rijksoverheid en het adviesrapport Internetdomeinbeleid voortgevloeid.

Ondanks positieve geluiden is het BID-overleg sinds mei 2022 niet meer voorgezet. Toch blijkt uit onder andere sessies van Forum Standaardisatie en het adviesrapport Internetdomeinbeleid, dat er behoefte is aan een doorstart van dit overleg. De alsmaar voortdurende voortzetting van wildgroei leidt tot een gebrek aan overzicht en inzicht in overheidsdomeinen, waardoor het aansturen op en voldoen aan kwaliteitseisen steeds moeilijker wordt. Daarnaast vormt het niet op orde hebben van het internetdomeinportfolio een groot risico op bijvoorbeeld domein-spoofing, phishing en de herkenbaarheid van de digitale overheid. 

In samenwerking met BZK/Directie Digitale Samenleving, CIO Rijk, AZ/Dienst Publiek en Communicatie, Logius/KOOP en BZK Directie Communicatie, heeft BFS het initiatief genomen om het nieuwe overleg Beheersbaarheid InternetDomeinnamen Rijksoverheid (BID-R) in te richten. Het doel van dit overleg is om alle verantwoordelijken ten aanzien van internetdomeinnaambeheer samen te brengen, waarbij best practices, kennis en knelpunten worden gedeeld. Het overleg dient actiegericht te zijn, zodat internetdomeinbeleid wordt gestimuleerd en effectief wordt toegepast. Zeker gezien de recente ontwikkelingen, denk aan de domeinnaamextensie en RIO, is het noodzakelijk dat er een plek komt waar deze initiatieven kunnen landen en dat er rondom deze inhoud wordt samengewerkt. Voor nu zal het overleg zich alleen richten op de rijksoverheid en niet op decentrale overheden. Daarom is “-R” toegevoegd aan de oorspronkelijke naam van het overleg.

In het nieuwe BID-R overleg zullen daarom onder andere domeinliaisons, technische mensen, mensen die werken bij een communicatiedirectie en een afvaardiging van CIO offices worden uitgenodigd. Om het onderwerp verder onder de aandacht te brengen, wordt ter lancering van het nieuwe overleg een kick-off georganiseerd. Deze kick-off zal plaatsvinden op donderdag 4 april 2024 van 14:00 tot 17:00 uur in The Hague Conference Centre Babylon. Tijdens deze informatieve dag zal nogmaals de urgentie worden belicht en gaan we in gesprek met een aantal mensen uit de praktijk. Hierbij zal Chris van ’t Hof als dagvoorzitter het publiek door het programma leiden en is Kees Verhoeven uitgenodigd als keynote spreker.

Ad E. Open en toegankelijk

Norm Voorkeursformaten van het Nationaal Archief

Op 25 januari vierde het Nationaal Archief de publicatie van de nieuwe Norm Voorkeursformaten in het bijzijn van de Rijksarchivaris en de redactiegroep van de norm. De afgelopen drie jaar nam BFS deel aan de redactiegroep, waarin ook departementen, uitvoeringsorganisaties, gemeenten, provincies en waterschappen vertegenwoordigd waren. De inbreng vanuit BFS was erop gericht om de norm voorkeursformaten af te stemmen met de lijst open standaarden van het Forum Standaardisatie. BFS blijft betrokken bij het onderhoud en de doorontwikkeling van de Norm Voorkeursformaten van het Nationaal Archief.

Foto: viering van de publicatie Norm Voorkeursformaten van het Nationaal Archief. Op de voorgrond Eva Reizevoort en Marin Rappard van het Nationaal Archief. Achteraan, derde van links Afelone Doek, Rijksarchivaris en algemeen directeur van het Nationaal Archief.

Opmerking van de redactie: de foto is vanwege de digitale toegankelijkheid niet toegevoegd aan deze webpagina. De foto is wel in te zien in het PDF-bestand die te downloaden is boven aan deze pagina.

PDF Checker

In 2024 wordt de hosting, onderhoud en doorontwikkeling van de PDF checker weer gezamenlijk gefinancierd door Logius Digitoegankelijk en Forum Standaardisatie. De PDF checker wordt gehost en onderhouden door Pleio. Logius Digitoegankelijk en Forum Standaardisatie nemen elk 50% van de financiering voor hun rekening.

Practice what you preach

Vorig jaar vond het verplichte driejaarlijkse toegankelijkheidsonderzoek op de website van het Forum Standaardisatie plaats. Op basis van dit onderzoek kreeg de website weer de B-status (‘voldoet gedeeltelijk’). Hoewel BFS de afgelopen jaren stappen heeft gezet in de richting van een toegankelijker website, zijn wij er nog niet. Met name de vele PDF documenten op de website blijven een obstakel voor digitale toegankelijkheid. Daarom is BFS in december een begonnen om een HTML-first publicatieproces op te zetten. Vergaderstukken, adviezen, metingen en andere documenten blijven in PDF beschikbaar, maar worden ook als webpagina’s in digitaal toegankelijke HTML ontsloten. Dit is een klus die aanzienlijke inzet en middelen zal vergen. Volledige openbaarheid van alle informatie blijft voorop staan.

Ad F. API’s (voor betere, snellere gegevensuitwisseling)

Larissa Zegveld heeft als voorzitter van het Forum deelgenomen aan een paneldiscussie tijdens de strategische conferentie op 30 november 2023. Deze paneldiscussie focuste op de maatschappelijke meerwaarde van API's, de noodzaak van transities en het belang van standaardisatie. Ook werd de opkomst van API's en het bestaan van oudere, betrouwbare standaarden, zoals StUF, besproken. Een goede samenwerking voor de transitie van standaarden is noodzakelijk. Zo legt Larissa uit: "De volgende stap is dat we samen op één lijn komen, meer eendrachtig samenwerken". Lees voor het volledige verslag hier verder.

Logius, de beheerder van de REST API Design Rules, heeft in januari 2024 een update voor de verplichte API-standaard ingediend. De standaard REST-API Design Rules geeft een verzameling basisregels voor structuur en naamgeving waarmee de overheid op een uniforme en eenduidige manier REST-API's aanbiedt. Dit maakt het voor ontwikkelaars gemakkelijker om betrouwbare applicaties te ontwikkelen met API's van de overheid. De nieuwe versie biedt meerwaarde omdat deze breder inzetbaar is binnen verschillende werkingsgebieden, waaronder GEO en beveiligde omgevingen. Verder zijn er verbeteringen doorgevoerd om de monitoring en beoordeling van de conformiteit van basisregistraties en andere API's op developer.overheid.nl te verbeteren.

G. Internet- en beveiligingsstandaarden

Bijeenkomst voor CIO-beraad, CISO- en CTO-raad

Op 31 januari zijn de Monitor Open Standaarden 2022 en IV-meting in de raden door Larissa Zegveld toegelicht op een speciale bijeenkomst voor CIO-beraad, CISO- en CTO-raad. Dit op uitnodiging van Directie CIO Rijk | DG Digitalisering en Overheidsorganisatie. Er ontstond een discussie over bestuurlijke kracht van pSG, de organisatie van wilsverklaring, de tactiek van het verleiden en de invoering van generieke voorzieningen die adoptie van standaarden helpen. Er is niet specifiek één oplossing maar belangrijk is die oplossing door te voeren die het meeste effect heeft, gezien de tijdsdruk en capaciteitstekorten. De kracht van herhaling werkt ook in dit verandertraject. Volgend jaar komt dit weer als een ‘special’ onder de aandacht met als doel een positieve ontwikkeling in de adoptie van standaarden te zien.

Nulmeting HTTPS en HSTS

In het kader van het "Besluit beveiligde verbinding met overheidswebsites en webapplicaties" is in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties door Forum Standaardisatie met de testresultaten uit de Meting Informatieveiligheidstandaarden medio 2023 (peildatum 1 juli 2023) een nulmeting rapportage opgesteld over HTTPS en HSTS. De nulmeting is gepubliceerd op de Digitaleoverheid.nl. Op die website is eerder ook een document met “veelgestelde vragen” beschikbaar gemaakt.

Meting security.txt

Bij de Meting Informatieveiligheidstandaarden overheid begin en medio 2023 is getest op de aanwezigheid en geldigheid van security.txt. In de metingen is hierover niet gerapporteerd omdat er geen streefbeeldafspraak voor is. Op 1 juli 2023 had van de 5190 websites 35% een geldige security.txt. Bij de centrale overheid maakt 33% (procentpunt) gebruik van de verwijzing naar de centrale security.txt van het NCSC. Van enkel de geldige security.txt bij de centrale overheid is 77% een verwijzing naar de centrale security.txt van de NCSC.

Tabel 1 - Adoptie security.txt per overheidscategorie op 1 juli 2023

Categorie (aantal domeinnamen) Totaal (5190) Centrale overheid (3424) Provincies (53) Waterschappen (61) Gemeenten (841) Gemeenschappelijke regelingen (811)
Percentage 35% 43% 42% 47% 25% 13%

De groei in procentpunten ten opzichte van begin 2023 is 13% als enkel wordt gekeken naar de 2653 domeinnamen die begin 2023 werden gemeten, waarvan in de meting van juli –na uitfaseren van domeinnamen– nog 2593 zijn gemeten. In procentpunten laat de centrale overheid een groei van 12% zien, de provincies en waterschappen hadden in januari nog een zeer lage adoptie maar door een meer dan 40% stijging komen zij in juli op een gelijk niveau als de centrale overheid. De gemeenten stijgen 19% procentpunt en de gemeenschappelijke regelingen 5%.

Tabel 2 - Adoptie security.txt per overheidscategorie vergelijking juli t.o.v. januari 2023

Categorie (aantal domeinnamen) Totaal (2593) Centrale overheid (1808) Provincies (24) Waterschappen (30) Gemeenten (363) Gemeenschappelijke regelingen (368)
juli 2023 37% 43% 42% 47% 27% 13%
januari 2023 24% 31% 0% 7% 8% 8%

Contact met Microsoft over ondersteuning van DANE (vertrouwelijk e-mailtransport)

In aansluiting op de eerdere briefwisseling met Microsoft (2 januari, 30 januari, 22 mei 2023) heeft Microsoft in januari 2024 een Private Preview voor geselecteerde klanten georganiseerd. Daaraan hebben DICTU en de gemeente Den Bosch deelgenomen door een testomgeving in te richten en feedback te geven. BZK en BFS waren coördinerend betrokken en hebben ook feedback gegeven. De samenwerking met Microsoft verliep soepel en prettig.

De volgende stap is dat Microsoft een Public Preview voor alle klanten gaat organiseren. BZK en BFS onderhouden daarover contact met Microsoft om duidelijk te krijgen hoe Nederlandse overheidsorganisaties daaraan kunnen deelnemen.

Op de publieke roadmap van Microsoft staat dat DANE op inkomende mail vanaf juni 2024 beschikbaar komt voor alle klanten (General Availabiliy). Merk op dat Microsoft oorspronkelijk eind 2021 communiceerde als beoogde realisatiedatum.

Nadere achtergrondinformatie

Microsoft ondersteunt op Exchange Online sinds begin 2022 DANE (validatie) voor uitgaande mail. Dat is mede het resultaat van eerdere acties van Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie.

Voor inkomende mail heeft Microsoft de ondersteuning DANE in Exchange Online nog niet op orde, ondanks een oorspronkelijk aankondiging dat dit eind 2021 ondersteund zou worden. De ontbrekende ondersteuning zien we terug in de Metingen Informatieveiligheidstandaarden en noemde de Staatssecretaris BZK ook in antwoord op recente Kamervragen.

Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie hebben Microsoft begin 2023 per brief aangesproken op de gebrekkige ondersteuning van DANE voor inkomende mail (en daarnaast op de niet-default ondersteuning van IPv6). Na een antwoordbrief van Microsoft en een nieuwe brief vanuit de overheid, lopen er nu gesprekken over de implementatieplanning en deelname van de Nederlandse overheid aan de previews.

DANE is een voor de overheid verplichte open standaard voor beveiligd mailtransport tussen mailservers. De standaard zorgt ervoor dat het veel moeilijker wordt voor kwaadwillenden om e-mailverkeer af te luisteren.

Advies

Het advies aan overheidsorganisaties (zoals ook in de voorgaande eerdere vergaderingen van Forum Standaardisatie aan de orde kwam) is onveranderd, namelijk om:

  1. als (potentiële) klant zelf ook een formeel verzoek bij Microsoft in te dienen voor de ondersteuning van DANE voor inkomende mail in Exchange Online;
  2. als je nog geen gebruikmaakt van Exchange Online dit in ieder geval uit te stellen, totdat Microsoft de ondersteuning van DANE voor inkomende mail in Exchange Online op orde heeft;
  3. als je desondanks al Exchange Online gebruikt of dit wel al wil gaan doen, dan gebruik te maken van een emailgateway die wel DANE (en de andere verplichte standaarden) ondersteunt, alhoewel dit aanvullende complexiteit en kosten met zich meebrengt.

Ad H. Opzet Monitor Open Standaarden 2024

  1. Aanbestedingenonderzoek en onderzoek van ‘leg uit’ in jaarverslagen
    We onderzoeken de toepassing van de ‘pas toe of leg uit’- standaarden, net zoals in voorgaande jaren. Dat wil zeggen, in openbare aanbestedingen uit 2023, 35 van de rijksoverheid en 35 van medeoverheden. Worden de relevante standaarden hierin specifiek geëist? 
    Extra aandacht in dit onderzoek voor “cloud” aanbestedingen. Tweede jaar waarin we in de monitor aandacht besteden aan dit thema.
  2. Voorzieningen van de Generieke Digitale Infrastructuur

We onderzoeken alle circa 35 voorzieningen van de GDI. Zijn de relevante standaarden toegepast?

  1. Gebruik per standaard

We gaan per ‘pas toe of leg uit’-standaard na wat we weten over het gebruik via de beheerder van de standaard of anders.

  1. Optioneel een aantal verkenningen waarmee de huidige monitor versterkt kan worden

Gedacht wordt aan de relatie met de monitor GDI, de monitor Open Source, de Gemma Softwarecatalogus en de behoefte aan een meer algemene monitor voor digitale gemeenschapsgoederen. Ook kan worden gedacht aan een uitvraag onder standaardisatieorganisaties over of en hoe zij leveranciersoverleg hebben ingericht.

I. Praktijkverhaal Bronportfolio

In de monitor 2022 viel de voorziening Veiligheids- en Gezondheidsregio Gelderland-Midden (VGGM) op door het zogenaamde broneisenportfolio. Een praktische tool waarin de Beslisboom Open Standaarden is verwerkt. Het voorkomt niet alleen dat zo’n open standaard in het aanbestedingsdocument terechtkomt, maar ook dat het te vrijblijvend gebeurt. Aldus Arnoud Willemsen, Informatiearchitect, Afdeling Informatievoorziening & ICT (I&I). Dit praktijkverhaal maakt onderdeel uit van een serie met als doel de geleerde lessen en werkende aanpakken te documenteren om daarmee andere bestuurders te inspireren.

Documentatie-type

vergaderstuk