Aanbiedingsformulier Overheidsbreed Beleidsoverleg Digitale Overheid

Vergadering: Forum Standaardisatie 28 februari 2024

Agendapunt: 2C

Documentnummer: FS-20240228.2C

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Agendapunt Onderwerp	5c Monitor Open Standaarden 2023 incl. notitie duiding en maatregelen
Datum behandeling	1 februari 2024
Sponsors Betrokken partijen	Overheidsbreed
Contactgegevens	Organisatie : Forum Standaardisatie Contactpersoon : Desiree Castillo Gosker en Ludwig Oberendorff  Telefoonnummer : Desiree 06-52504226 en Ludwig 06-52311217  E-mailadres : Ludwig.Oberendorff@forumstandaardisatie.nl
Doel van de behandeling	Ter besluitvorming
Eerder behandeld in	Anders: Forum Standaardisatie
Uitkomst behandeling:	Overeenstemming
Resultaat toets: Gemaakte afspraken:	N.a.v. eerdere Monitor Open Standaarden & IV-Meting in voorgaande jaren de volgende afspraken: OBDO 30 november 2023: licht van scenario 3 te acteren, wordt er in samenwerking met BZK hieraan doorgewerkt door de inzet te verdubbelen door middel van een op te richten team. Een team dat zich hierin verder gaat toespitsen op hoe dit ordentelijk opgepakt en uitgevoerd kan worden en zich gaat ontwikkelen tot een overheidsbreed inzetbare team. Aanvullend wordt per organisatie een persoon aangewezen voor de aanjaagfunctie. 1 december 2022: CIO-Rijk (trekker) i.s.m. BZK, VNG en Manifestgroep maken plan van aanpak waarbij nader bekeken wordt wat de meest impactvolle maatregel is. Hierbij kan als uitgangspunt de best practice VWS worden gebruikt. Vervolgens wordt het wederom ter bespreking geagendeerd. Dit maakt dat er collectief gestuurd worden. 7 april 2022: - Verzoek aan MinBZK om een verdergaande verplichting van IPv6 voor websites en e-mail te realiseren, bijv. op basis van de Wet digitale overheid (Wdo) - IPv6 na 12 jaar pas-toe-of-leg-uit beleid en streefbeeld afspraak (eind 2021) onvoldoende om achterblijvers over de streep te trekken. Voorafgaand aan verplichting middels Wdo de tussenstap: de voorzitter neemt contact op met de ADR (voor de Rijksonderdelen), en er komt een ‘naming & shaming’ volgorde in de rapportage van achterblijvers. 19 november 2020: Opdracht geven binnen eigen cirkel voor compliance aan alle standaarden (informatieveiligheid én IPv6), bijzondere aandacht voor de veilige configuratie van TLS (HTTPS) en STARTTLS. 26 november 2019: Aanspreken achterblijvers binnen eigen cirkel t.a.v. de eerdere streefbeeldafspraken (deadlines eind 2017 en 2018).
Discussiepunten Beslispunten	Het OBDO neemt kennis van de ‘Monitor Open Standaarden’, en van de onderstaande adviezen van Forum Standaardisatie. Voorgesteld wordt deze adviezen over te nemen. 1. Prioriteit te geven aan het inlopen van de achterstand bij de (sinds 1 juli 2023) wettelijk verplichte informatieveiligheidstandaarden (https/hsts), gevolgd door de informatieveiligheidstandaarden waarvoor in het OBDO streefbeeldafspraken zijn gemaakt. Neem in de plannen van aanpak die daarvoor worden ontwikkeld deadlines op, waarna websites bij non-compliance worden uitgeschakeld (deze aanpak leverde zeer goede resultaten op). Stel op ‘koepel’ en rijksniveau een programmamanager van formaat aan, die de voortgang in de gaten houdt en aanjaagt. 2. Verweef de aandacht voor open standaarden in reeds bestaande kaders, die zijn belegd bij de functies van CIO, CISO en CTO. a. Kaders rond i-Control & ICT-kwaliteitsaspecten (CIO’s) Agendeer de (wettelijke) verplichtingen en metingen ook in de CIO-overleggen tussen (moeder)departementen en uitvoeringsorganisaties/zbo’s. Sommige organisaties geven aan nog niet (eerder) het belang op hun achterstanden te zijn gewezen. b. Informatiebeveiliging (BIO) en bedrijfsvoering (CISO’s) Zorg dat de informatieveiligheidstandaarden waarvoor een wettelijke verplichting, een streefbeeldafspraak of een ‘pas toe of leg uit’ verplichting geldt, in de nieuwe versie van de BIO worden verweven (of dat ernaar verwezen wordt). Zodat de verhouding tussen deze normenkaders duidelijk is, structurele aandacht voor adoptie wordt georganiseerd (planning & control cyclus BIO), en stapeling van kaders en audits kan worden voorkomen. Maak daarnaast expliciet dat websites, e-mail adressen en internetdomeinen onderdeel uitmaken van de bedrijfsmiddelen, waarvan de BIO voorschrijft dat ze geïnventariseerd moeten zijn. Dat helpt het website & internetdomein portfolio overzichtelijk te krijgen. Het implementatie werk van de standaarden en digitoegankelijkheid behapbaar te maken. En voor burgers en bedrijven om door het bos de bomen beter te kunnen zien. c. Aanschaf en inkoop (gebruik de Beslisboom Open Standaarden) d. Architectuurkaders (zoals NORA, en Enterprise Architectuur Rijk) 3. Laat aan beleidszijde uitwerken op welke wijze naleving, handhaving en/of toezicht op respectievelijk wettelijke verplichte standaarden, de streefbeeldafspraken en ‘pas toe of leg uit’ beter kan plaatsvinden. Betrek daarbij de audit- dienst(en). Geef daarbij speciale aandacht aan overheidsorganisaties die zich niet door OBDO besluitvorming gebonden achten. 4. Zorg ervoor dat de ondersteuning van verplichte open standaarden onderdeel zijn van het leveranciersmanagement van individuele overheidsorganisaties. Ga in gesprek met achterblijvende leveranciers en vraag hen periodiek naar de planning voor ondersteuning van standaarden. Gebruik de collectieve slagkracht van de overheid om grotere leveranciers en techgiganten te bewegen naar adoptie van alle verplichte standaarden, bijvoorbeeld via Strategisch Leveranciersmanagement (SLM) Rijk.
Toelichting	[bijlage 5c2 Notitie Duiding en maatregelen en bijlage 5c3 Monitor Open Standaarden 2023]. In het rapport zijn links opgenomen naar sub-bijlagen, en naar de pagina met de meest recente meting Informatieveiligheidstandaarden.] Aanbestedingen, gebruik en Cloud onderwerp van onderzoek Dit jaar richtte het onderzoek zich op het moment van aanschaf van ICT: wordt in de 69 onderzochte aanbestedingen goed toegepast, en wordt er anders uitgelegd waarom niet? Verder is van 10 eerdere aanbestedingen bekeken wat er daadwerkelijk geleverd is. Daarnaast is begonnen met een onderzoek naar cloud aanbestedingen. Hoe zit het daar met de achterliggende doelen van open standaarden: leveranciersonafhankelijkheid, digitale soevereiniteit, interoperabiliteit, veiligheid en dataportabiliteit? Verder zijn er – waar bekend - gebruiksgegevens van standaarden opgenomen. Belangrijk onderdeel daarvan zijn de gebruikscijfers van Informatie Veiligheid (IV) standaarden die haljaarlijks gemeten worden. Samenvattende bevinding: Grosso modo zijn de resultaten uit de monitor op het gebied van aanbestedingen niet veel anders dan in voorgaande jaren, al is wel een lichte opwaartse trend te zien in het gebruik, maar het gaat heel langzaam. Zo worden de beleidsdoelstelling van 100% pas in 2046 gehaald. De vraag om de relevante open standaarden in aanbestedingen blijft gemiddeld rond de 50% schommelen. Tijdens implementatie en beheer wordt vaak niet structureel gecontroleerd of de gevraagde standaarden geleverd worden. Open standaarden, krijgen net als vorig jaar, meer aandacht krijgen in departementale jaarverslagen. Daarin wordt weliswaar niet specifiek uitgelegd als er niet is toegepast, maar er is wel in algemene zin aandacht besteed aan het ‘pas toe of leg uit’-beleid. Dat is mogelijk te danken aan de aangepaste specifiekere formulering in de Rijksbegrotingsvoorschriften. Na behandeling in het OBDO, stuurt BZK de Monitor naar de Tweede Kamer (verzamelbrief is eind maart gepland).

Duiding en Maatregelen Monitor Open Standaarden 2023

Vergadering:	OBDO 1 februari 2024 (via SO-OBDO 16 januari)
Agendapunt:	5c
Documentnummer:	5c2
Aan:	OBDO via SO-OBDO
Van:	Forum Standaardisatie
Bijlagen:	Monitor Open Standaarden [NB. dit is inhoudelijk de definitieve versie; richting OBDO volgt nog een opmaak slag]

Deze concept notitie is een oplegger bij de Monitor Open Standaarden 2023, waarin de resultaten uit de monitor worden geduid, en verbetermaatregelen worden voorgesteld gericht aan het OBDO.

Deze Monitor Open Standaarden 2023, inclusief deze Duiding & Maatregelen notitie, is besproken in het Forum Standaardisatie van 27 september en 13 december 2023, en wordt geagendeerd in het OBDO van 1 februari 2024. Na behandeling in het OBDO stuurt BZK de Monitor naar de Tweede Kamer.

Duiding

In de Monitor Open Standaarden staat ieder jaar de vraag centraal hoe het staat met het gebruik in de praktijk van de open de standaarden die op de ‘pas toe of leg uit’-lijst staan van het Forum Standaardisatie.

In 2023 richtte het onderzoek zich vooral rond het moment van aanschaf van ICT. Dat is ten eerste onderzocht door te kijken naar hoe de relevante open standaarden gevraagd worden in 69 openbare aanbestedingen (pas toe) en door te onderzoeken of bij nalaten hiervan goed uitgelegd wordt (let uit). Vervolgens door nader in gesprek te gaan naar aanleiding van zes van deze aanbestedingen. Nieuw in 2023 is dat PBLQ verdiepend onderzoek heeft uitgevoerd naar aanleiding van tien aanbestedingen die al in 2022 waren onderzocht, maar waarvan het de vraag was hoe het hiermee verder is gegaan in de fase van implementatie en in beheer name. Wat is er gebeurd ná de levering als het gaat om open standaarden?

Daarnaast is in 2023 een begin gemaakt met het thema ‘cloud’. Want nu het aantal cloudoplossingen toeneemt bij publieke organisaties rijst daarbij de vraag hoe het gesteld is met de aandacht voor leveranciersonafhankelijkheid, digitale soevereiniteit, interoperabiliteit, veiligheid en dataportabiliteit. Met andere woorden, de waarden achter het belang van de toepassing van open standaarden.

In 2023 is de toepassing van de standaarden in overheidsbrede voorzieningen van de GDI bewust een keer overgeslagen ten behoeve van de verdieping rond het moment van aanschaf van ICT. Grosso modo zijn de resultaten uit de monitor op het gebied van aanbestedingen niet veel anders dan in voorgaande jaren, al is wel een lichte opwaartse trend te zien in het gebruik. De twee figuren in de pagina’s hierna laten dit goed zien.

Note van redactie: In verband met de digitale toegankelijkheid is deze afbeelding is niet beschikbaar op deze webpagina. 

De vraag om de relevante open standaarden in aanbestedingen blijft gemiddeld rond de 50% schommelen. Onderdeel daarvan zijn de informatieveiligheidstandaarden (die vaak relevant zijn in een aanbestede ICT-dienst of product). Dat is te weinig, gelet op de veiligheidsrisico’s (phishing, ceo-fraude, ransomware, fake-news), en gelet op wettelijke verplichting die geldt sinds 1 juli 2023. Dit beeld wordt bevestigd door de meest recente meting van deze IV- standaarden met peildatum 1 juli 2023 Meting Informatieveiligheidstandaarden | ForumStandaardisatie waarnaar in ook in deze monitor van 2023 wordt verwezen.

Verder blijkt uit het kwalitatieve deel van het onderzoek (de gesprekken gevoerd door ICTU en PBLQ) dat de aanbesteding weliswaar professionaliseert, maar na de gunning de aandacht voor open standaarden verflauwt. Tijdens de implementatie en in beheer name wordt er vaak niet structureel gecontroleerd of de gevraagde standaarden daadwerkelijk geleverd worden.

Samenvattend: met de adoptie van open standaarden lijkt het de goede kant op te gaan, maar het gaat heel langzaam. Zo worden de beleidsdoelstelling van 100% pas in 2046 gehaald.

Note van redactie: In verband met de digitale toegankelijkheid is deze afbeelding is niet beschikbaar op deze webpagina. 

Verder laat het onderzoek zien dat – net als in 2022 - open standaarden meer aandacht krijgen in departementale jaarverslagen. Daarin wordt weliswaar niet specifiek uitgelegd als er niet is toegepast, maar er is wel in algemene zin aandacht besteed aan het ‘pas toe of leg uit’-beleid. Dat is mogelijk te danken aan de aangepaste specifiekere formulering in de Rijksbegrotingsvoorschriften.

En ook in 2023 zijn er weer organisaties die het heel goed doen. Zes van de negenzestig aanbestedingen scoorden perfect. Alle relevante standaarden werden uitgevraagd. Het lijkt erop dat organisaties die in het algemeen hun informatievoorziening en ICT-huishouding in orde hebben, ook goed scoren op de toepassing van open standaarden. Die zullen later als goede voorbeelden op de website van het Forum Standaardisatie gepubliceerd worden bij de uitstekende aanbestedingen.

En niet te vergeten, ook de overheidsbrede voorzieningen die in 2022 voor het laatst zijn onderzocht, lieten een positief beeld zien als het gaat over het toepasen van open standaarden. Zijn de relevante standaarden nog niet toegepast, dan staat dit wel gepland: comply, explain and commit.

Maatregelen

1. Het Forum Standaardisatie adviseert het OBDO de volgende maatregelen te nemen en hierbij prioriteit te geven aan het inlopen van de achterstand bij de (sinds 1 juli 2023) wettelijk verplichte informatieveiligheidstandaarden (https/hsts), gevolgd door de informatieveiligheidstandaarden waarvoor in het OBDO streefbeeldafspraken zijn
   Neem in de plannen van aanpak die daarvoor worden ontwikkeld deadlines op, waarna websites bij non-compliance worden uitgeschakeld (deze aanpak leverde zeer goede resultaten op). Stel op ‘koepel’ en rijksniveau een programmamanager van formaat aan, die de voortgang in de gaten houdt en aanjaagt.
   NB: Deze maatregel is in lijn met de afspraak die gemaakt is op 1 december 2022 naar aanleiding van de bespreking van de IV-meting van voorjaar 2022. Toen is in het OBDO al afgesproken dat CIO-Rijk (trekker) in samenwerking met VNG, Manifestgroep en BZK/Digitale Overheid een (‘licht’) plan van aanpak zal opstellen, waarmee collectief door het OBDO op adoptie bij achterblijvers kan worden gestuurd.
2. Verweef de aandacht voor open standaarden in reeds bestaande
   De aandacht voor verplichte open standaarden structureel moet structureel in bestaande kaders verweven zijn en het onderwerp belegd bij de functies van CIO, CISO en CTO.

• a. Kaders rond i-Control & ICT-kwaliteitsaspecten (CIO’s)
• b. Informatiebeveiliging (BIO) en bedrijfsvoering (CISO’s)
• c. Aanschaf en inkoop (gebruik de Beslisboom Open Standaarden)
• d. Architectuurkaders (zoals NORA, en Enterprise Architectuur Rijk)

Ad. a. CIO-overleggen

Agendeer de (wettelijke) verplichtingen en metingen ook in de CIO-overleggen tussen (moeder)departementen en uitvoeringsorganisaties/zbo’s. Sommige organisaties geven aan nog niet (eerder) het belang op hun achterstanden te zijn gewezen.

Ad. b: BIO.

Zorg dat de informatieveiligheidstandaarden waarvoor een wettelijke verplichting, een streefbeeldafspraak of een ‘pas toe of leg uit’ verplichting geldt, in de nieuwe versie van de BIO worden verweven (of dat ernaar verwezen wordt). Zodat de verhouding tussen deze normenkaders duidelijk is, structurele aandacht voor adoptie wordt georganiseerd (planning & control cyclus BIO), en stapeling van kaders en audits kan worden voorkomen.

Maak daarnaast expliciet dat websites, e-mail adressen en internetdomeinen onderdeel uitmaken van de bedrijfsmiddelen, waarvan de BIO voorschrijft dat ze geïnventariseerd moeten zijn. Dat helpt het website & internetdomein portfolio overzichtelijk te krijgen.

Het implementatie werk van de standaarden en digitoegankelijkheid behapbaar te maken. En voor burgers en bedrijven om door het bos de bomen beter te kunnen zien.

3. Laat aan beleidszijde uitwerken op welke wijze naleving, handhaving en/of toezicht op respectievelijk wettelijke verplichte standaarden, de streefbeeldafspraken en ‘pas toe of leg uit’ beter kan plaatsvinden. Betrek daarbij de audit-dienst(en). Geef daarbij speciale aandacht aan overheidsorganisaties die zich niet door OBDO besluitvorming gebonden achten.
4. Zorg ervoor dat de ondersteuning van verplichte open standaarden onderdeel zijn van het leveranciersmanagement van individuele Ga in gesprek met achterblijvende leveranciers en vraag hen periodiek naar de planning voor ondersteuning van standaarden.
   Gebruik de collectieve slagkracht van de overheid om grotere leveranciers en techgiganten te bewegen naar adoptie van alle verplichte standaarden, bijvoorbeeld via Strategisch Leveranciersmanagement (SLM) Rijk.

Monitor Open Standaarden 2023

Note van de redactie: onderstaande informatie is een tekstuele uitleg bij de infographic in het PDF-bestand. Die te downloaden is boven aan deze pagina. 

Strategisch Leveranciersmanagement (SLM) Rijk.

Monitor Open Standaarden Hoofdlijnen en conclusies

Siwert de Groot | Joost Vreuls

Goed nieuws 

Er zijn 69 aanbestedingen onderzocht. 813 x relevantie standaarden, 408 gevraagd = 50 % (plaatje met hartje met het woord: de helft)

Diversiteit in aanbestedingen: 26% een kwart van de organisaties perfect of op weg naar perfect. 

Positief beeld: 35 landelijke voorzieningen (b.v.: DigiD, Mijnoverheid.nl, Basisregistratie personen)

Inkoop: lijkt te professionaliseren (plaatje van euro teken met twee wieltjes in elkaar)

Slecht nieuws

Aanbestedingen: gaat heel langzaam de goede kant op (plaatje van schilpad te zien)

Pas in 2046 100%

Diversiteit in aanbestedingen: 26%, een kwart blijft duidelijk achter. (paatje met ster)

Zorgelijk: Standaarden digitale toegankelijkheid. Uitvraag 2022 lager dan 2021. In 1/3 van de gevallen niet uitgevraagd. (plaatje oor, oog en hand met streep erdoor)

Standaarden veiligheid: 50% wel 50% niet. 

Standaarden gegevensuitwisselin Rijksoverheid: maar in 30% uitgevraagd!

Cloud

2022: Meer dan helft aanbestede applicaties in de cloud (plaatje van wolk met vinkje)

Veel voordelen, ook risico's. Data en toegang in handen van derden! (plaatje uitroepteken)

Overig

Andere relevante standaarden per aanbesteding neemt toe: 2013 3,7, 2022 11,8

Kernboodschap

Het belang van open standaarden is groot. De overheid wil door middel van deze standaarden bijdragen aan veilig internet, toegankelijke overheidsinformatie, hoge kwaliteit van data en goede gegevensuitwisseling tussen overheidsorganisaties onderling én met burgers en ondernemers. Bovendien helpen open standaarden om te grote afhankelijkheid van individuele leveranciers te voorkomen. Het toepassen van open standaarden is een voorwaarde voor goede publieke dienstverlening.

Uit de onderzoeken die de basis vormen voor deze en eerdere Monitors Open Standaarden, blijkt dat de lange termijn ontwikkeling van de adoptie van standaarden van de Pas toe of leg uit-lijst langzaam de goede kant op gaat. In 2022 werd in 50 procent van de gevallen de relevante open standaarden bij ICT-aanbestedingen daadwerkelijk uitgevraagd. Dat percentage vertoont een licht stijgende lijn. Er zijn overheidsorganisaties die het heel goed doen, die alle relevante standaarden uitvragen. Organisaties die in het algemeen hun informatie- voorziening en ICT-huishouding in orde hebben, lijken ook goed te scoren op de toepassing van open standaarden. Eerdere analyses van 35 landelijke voorzieningen – denk aan DigiD, MijnOverheid, de Basisregistratie Personen – laten zien dat een ruime meerderheid van deze landelijke voorzieningen aan de eisen voldoet, daar (groten-)deels aan voldoet of concrete plannen heeft om daar aan te voldoen.

Naast de cijfermatige onderbouwing van de stand van zaken, zijn er ook veel gesprekken gevoerd met aanbesteders. De uitkomsten daarvan kun je niet zomaar veralgemeniseren, maar een onderzoek naar aanbestedingen en het vervolg daarop (implemen- tatie, inbeheername) bij medeoverheden, wijst in de richting van een verdere professionalise- ring van het ICT-inkoopproces.

Er is ook minder goed nieuws. Als we in dit tempo doorgaan, duurt het nog heel lang voor het percentage uitgevraagde standaarden echt omhoog gaat. Het Leg uit-deel van het beleid werkt boven- dien niet zoals bedoeld. Daarnaast geven sommige open standaarden reden tot zorg: digitoegankelijkheid - wettelijk verplicht - werd in 2022 minder vaak uitgevraagd dan in 2021. De veilig- heidsstandaarden werden in 2022 maar in de helft van de onderzochte gevallen uitgevraagd, standaarden gericht op gegevensuitwisseling werden bij de Rijksoverheid maar in 30 procent van de gevallen gevraagd.

De gesprekken met medeoverheden laten zien dat de aandacht voor open standaarden na de gunning verflauwt. Tijdens implementatie en inbeheername wordt niet structureel gecontroleerd of ze daadwerkelijk geleverd worden. De bekendheid met de Pas toe of leg uit-lijst en de hulpmiddelen van het Forum – de handreiking en de beslis- boom – is bovendien nog niet erg groot.

De cloud

Het speciale thema van de Monitor was dit jaar de cloud. De voordelen hiervan zijn evident: lagere kosten, minder onderhoud en groter gebruikersgemak.

Een ruime meerderheid van de onderzochte aanbestedingen in 2022 betreft inmiddels dit soort systemen. We stevenen af op de vanzelfsprekende keuze voor de cloud, tenzij er duidelijke redenen zijn om dat niet te doen. In het essay SaaS of Soeverein waar- schuwt Arend Jan Wiersma voor de risico’s van de cloud. Hij wijst op het feit dat de toegang tot de applicaties en de data in handen komt van derde partijen. En op de noodzaak van maatregelen om de risico’s daarvan te beperken. In de gesprekken met aanbe- steders constateren zij dat de marktmacht van de cloudpartijen steeds groter wordt. Er is minder ruimte om eisen te stellen.

Inleiding

ICTU verzorgt in opdracht van Forum Standaardisatie een jaarlijkse rapportage die inzicht geeft in het gebruik van de open standaarden. De Monitor Open Standaarden ziet er dit jaar wat anders uit dan in de voorgaande jaren: de rapportage is in een aantal onderdelen gesplitst. Dit stuk is een samenvattende, integrerende en niet al te technische rapportage van een beperkte omvang. Het is gebaseerd op onderliggende rapporten, die beschikbaar zijn voor degenen die dieper op de materie in willen gaan.

De Monitor Open Standaarden 2023 bestaat uit de volgende onderdelen:

• Hoofdlijnen en conclusies 
  ICTU
  Dit document.
• Vraag naar open standaarden in aanbestedingen 
  ICTU
  Onderzoek naar een selectie van openbare aanbestedingen die in 2022 werden gedaan, het rapport heeft drie bijlagen met daarin respectievelijk een beschrijving van de onderzoeksaanpak (1), een overzicht van alle onderzochte aanbestedingen (2) en het verslag van gesprekken met de aanbestedende diensten (3).
• Aanbesteding en follow-up bij medeoverheden 
  PBLQ
  Kwalitatief onderzoek bij medeoverheden (11 organisaties, 15 gesprekken) naar de rol van open standaarden bij de inkoop en implementatie van systemen.
• Inventarisatie gebruiksgegevens 
  BFS | ICTU
  Een overzicht van het gebruik per open standaard.
• Essay
  Saas of Soeverein
  Arend Jan Wiersma

Tenzij anders vermeld, zijn alle cijfers die genoemd worden afkomstig uit de Monitor 2023.

Het open standaardenbeleid

De overheid wil doormiddel van het openstandaarden beleid een aantal doelen realiseren. Om goede publieke diensten te verlenen moeten overheidsorganisaties over de juiste gegevens beschikken en die gegevens op het juiste moment met elkaar en met burgers en bedrijven kunnen delen. Om dit mogelijk te maken zijn er afspraken nodig over de manier waarop gegevens worden vastgelegd en hoe ze uitgewisseld worden, dat heet interoperabiliteit.

Standaardisatie bevordert bovendien de kwaliteit van data. Het beleid is ook gericht op leveranciersonafhankelijkheid: door open standaarden te gebruiken kan men eenvoudiger naar een andere ICT-aanbieder overstappen. Open standaarden dragen daarnaast bij aan de veiligheid op het internet: het beveiligen van websites en applicaties tegen misbruik door kwaadwillenden. En tot slot zijn er standaarden gericht op openbaarheid en ervoor zorgen dat ook mensen met een tijdelijke of permanente beperking, met de overheid kunnen communiceren (inclusie en openbaarheid). Kortom, voor het kabinets beleid gericht op een veilige, inclusieve en kansrijke digitale samenleving zijn deze open standaarden een voorwaarde. De open standaarden zijn onderdeel van de Generieke Digitale Infrastructuur, de verzameling van standaarden, afspraken(stelsels) en voorzieningen die door alle publieke dienstverleners wordt gebruikt voor hun digitale dienstverlening aan burgers en ondernemers.

Het Pas toe of leg uit -beleid

Het centrale beleidsinstrument van het open standaardenbeleid is het Pas toe of leg uit-principe. Pas toe houdt in dat overheidsorganisaties bij de aanschaf van ICT relevante open standaarden van de lijst met verplichte standaarden toepassen. Aan de leverancier(s) wordt dan gevraagd om de relevante open standaarden in de ICT-voorziening op te nemen of te leveren. Indien wordt afgezien van het toepassen van een relevante standaard, dan moet de organisatie daarover verantwoording afleggen in het jaarverslag: Leg uit. Forum Standaardisatie toetst open standaarden en adviseert of ze aanbevolen worden aan publieke organisaties of een plek krijgen op de Pas toe of leg uit-lijst. Standaarden met een Pas toe of leg uit-verplichting kunnen verzwaard worden met een streefbeeldafspraak of een wettelijke verplichting. Bij een streefbeeldafspraak kan een volgende aanschaf niet meer afgewacht worden en moet de standaard voor een bepaalde datum toegepast worden. Dus ook op al bestaande ICT-systemen/-diensten. Op dit moment gelden er streef- beeldafspraken voor een aantal open standaarden (IPv6, STARTTLS en DANE, SPF en DMARC, TLS, DNSSEC, SPF, DKIM en DMARC). Voor twee open standaarden geldt inmiddels een wettelijke verplichting (Digitale toegankelijkheid en HTTPS en HSTS).

De verplichting om open standaarden te gebruiken is voor de rijksoverheid (departementen en hun dienstonderdelen) in 2008 vastgelegd in de Instructie Rijksdienst bij aanschaf ICT-diensten of ICT-producten. In 2018 heeft het OverheidsbreedBeleidsoverleg Digitale overheid besloten dat medeoverheden (gemeenten, provincies, waterschappen en gemeenschappelijke regelingen) en uitvoeringsorganisaties bij aanschaf van ICT moeten kiezen voor de relevante open standaarden van de Pas toe of leg uit-lijst.

Afbeelding met tekst: Aantal relevante standaarden per aanbesteding neemt toe. 2013 3.7 en 2022 11,8. 

Wettelijke verplichting

Naast het monitoren van het gebruik van open standaarden, heeft Forum Standaardisatie ook een stimulerende taak ten aanzien van nieuwe standaarden. Zo heeft men in het verleden bewerkstelligd dat er veilige e-mailstandaarden kwamen die inmiddels al enkele jaren verplicht zijn, en meer recent is dat gebeurd rond API’s.

2. Pas toe bij aanbestedingen: langzaam vooruit

In 2023 heeft ICTU voor het dertiende jaar op rij onderzoek gedaan naar de toepassing van open standaarden bij openbare aanbestedingen door overheden, dat wil zeggen: de rijksoverheid, uitvoeringsorganisaties,provincies,gemeenten,waterschappen en gemeenschappelijke regelingen. In dit onderdeel worden de belangrijkste uitkomsten op een rij gezet, in het rapport Vraag naar open standaarden in aanbestedingen wordt in meerdetail ingegaan op de uitkomsten.

In helft van de gevallen wordt om de relevante open standaarden gevraagd

Er zijn dit jaar 69 openbare aanbestedingen uit 2022 onderzocht. Per aanbesteding is vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om is gevraagd (Pas toe). In de 69 aanbestedingen had in totaal om 813 open standaarden gevraagd moeten worden. In de praktijk is er echter 408 keer om een open standaard gevraagd. Dat resulteert in een percentage van 50 procent, dat wil zeggen: in de helft van de gevallen zijn de relevante en verplichte open standaarden daadwer- kelijk uitgevraagd.

Opmerking van de redactie: Omschrijving van infographic. Een afbeelding met de volgende tekst: Goed nieuws: 69 aanbestedingen onderzocht, 813x relevante standaarden, 408 gevraagd = 50% (de helft).

Opmerking van de redactie: Omschrijving van figuur 1. Een grafiek met 2 stijgende lijnen waarin het percentage relevante open standaarden waar om gevraagd werd tussen 2011-2022 wordt afgebeeld.

In Figuur 1 is te zien dat dit percentage enigszins op en neer gaat: in 2021 was het met 53 procent hoger en in 2020 met 48 procent lager dan in 2022. De lange termijn ontwikkeling, zichtbaar als de donker- blauwe stippellijn in Figuur 1, is echter ook duidelijk: er is sprake van een stijgende trend. De grootste vooruitgang is in de jaren 2011 tot en met 2014 geboekt, sindsdien stijgt de lijn nog maar heel lichtjes.

Voorzichtig de goede kant op

Als de trendlijn naar de toekomst wordt doorgetrokken - als we dus in het huidige tempo van de toepassing van open standaarden doorgaan – dan wordt de doelstelling van 100% pas halverwege deze eeuw (2046) gerealiseerd . Zie daarvoor ook figuur 3 in Open standaarden bij aanbestedingen 2023.

Onderscheid tussen goed en minder goed scorende aanbestedingen

De aanbestedingen worden van oudsher onderscheiden in drie categorieën die aangeven hoeveel van de relevante standaarden zijn uitgevraagd. In 2018 is deze indeling verder verfijnd en sinds- dien worden 5 categorieën onderscheiden, te weten: perfect (alle relevante standaarden zijn uitgevraagd), op weg naar perfect (67 – 99 procent van de relevante standaarden uitgevraagd), de middenmoot (34 tot 66 procent), nog een heel eind te gaan (1 tot 33 procent) en geen (geen enkele relevante standaard uitgevraagd). In Figuur 2 wordt deze indeling voor de afgelopen 12 jaar weergegeven.

Opmerking van de redactie: Omschrijving van figuur 2. Een tabel met hierin 3 kleuren die de pas toe bij aanbestedingen van 2011 en 2022 toont

In Figuur 2 is te zien dat in 2022 de middengroep de grootste groep is, bijna de helft van de aanbestedingen behoort tot deze categorie. Circa een kwart behoort tot de groep perfect of op weg naar perfect en nog een kwart tot de categorie slecht of nog een heel eind te gaan. Dit beeld is het resultaat van een ontwikkeling waarbij met name de groep die geen relevante standaarden uitvraagt, enorm is afgenomen en de middengroep in omvang is gestegen.

Goede voorbeelden: organisaties die 100 procent scoorden in 2022

De figuren in de voorgaande alinea’s tonen aan dat er een hoge mate van diversiteit is in de kwaliteit van aanbestedingen met betrekking tot open standaarden. Sommige overheidsorganisaties presteren in dit opzicht ondermaats en andere overheidsorgani- saties presteren juist heel goed. Het enigszins sombere beeld uit het begin van deze paragraaf – slechts de helft van de relevante standaarden werd uitgevraagd en de beleidsdoelen worden pas in 2046 bereikt – wordt hierdoor enigszins genuanceerd. De doelstellingen van het open standaardenbeleid zijn namelijk wel degelijk te realiseren, sterker nog: ze worden op dit moment al door specifieke overheidsorganisaties in praktijk gebracht.

In het onderliggende onderzoek wordt een aantal van deze goede voorbeelden beschreven.

Infograpic: Diversiteit in aanbestedingen. 26 procent scoort perfect of op weg naar perfect, 
26 procent scoort slecht of heeft nog een heel eind te gaan

Organisaties die het ene jaar goed scoren kunnen in latere jaren opeens weer laag scoren. Het lijkt erop dat het goed uitvragen van de relevante standaarden afhangt van het team of de personen die de aanbesteding doen. Een belangrijke vraag voor de toekomst van het open standaardenbeleid is daarom: wat verklaart dat sommige overheidsorganisaties (consistent) goed scoren en welke lessen kunnen daaruit getrokken worden om minder goed scorende organisaties te helpen om zich te verbeteren?

3. Aantal standaarden neemt toe, een snelle blik op individuele standaarden

Er worden steeds meer eisen gesteld aan overheidsorganisaties die ICT-productenen-dienstenaanschaffen.Digitalevoorzieningen spelen een steeds grotere rol in de dienstverlening van de overheid en in de samenleving in het algemeen. ICT-aanbestedingen zijn er daardoor in de loop der jaren niet eenvoudiger op geworden.

Er staan steeds meer open standaarden op de Pas toe of leg uit-lijst en er zijn steeds meer standaarden van toepassing. In de afgelopen jaren zijn vooral de veiligheidsstandaarden in aantal toegenomen. Ten tijde van de eerste Monitor open standaarden stonden er 24 standaarden op de Pas toe of leg uit-lijst, in 2022 waren dat er al 42.

Figuur 3. Aantal relevante standaarden per aanbesteding, 2013-2022 in een staafdiagram weergegeven

In Figuur 3 is te zien hoeveel open standaarden er tussen 2013 en 2022 per aanbesteding van toepassing waren. Er wordt bovendien onderscheid gemaakt tussen het aandeel standaarden dat wel en dat niet gevraagd werd.

Steeds meer verplichte standaarden, van 24 naar 42

Afbeelding: Standaarden veiligheid 50% wel, 50% niet!

Digitoegankelijk minder vaak gevraagd, uitwisseling en veiligheid bij het Rijk blijven achter.

In Vraag naar open standaarden in aanbestedingen (paragraaf 4) wordt voor alle 42 open standaarden inzichtelijk gemaakt hoe vaak ze als relevant werden beoordeeld en hoe vaak ze bij aanbesteding daadwerkelijke werden gevraagd.

De wettelijke verplichting voor Digitale toegankelijkheid is in 2018 ingegaan. In slechts 65 procent van de gevallen waarin hij relevant was, werd deze wettelijk verplichte standaard in 2022 daadwerkelijk gevraagd. En in vergelijking met het voorgaande jaar was er zelfs sprake van een daling van dat percentage.

Toegankelijkheid, gegevenstuitwisseling en veiligheid onvoldoende uitgevraagd

Wat verder opvalt is dat er bij rijksaanbestedingen in vergelijking met die bij medeoverheden, voor een aantal standaarden in de hoek van veiligheid een lager uitvraagpercentage zichtbaar is dan voor medeoverheden. Het gaat om DKIM, DMARC, SPF en STARTTLS & DANE. Datzelfde beeld geldt voor de standaarden die de gegevensuitwisseling betreffen: daar worden door medeoverheden in 63 procent van de gevallen de relevante standaarden gevraagd, bij de rijksoverheid is dat 30 procent.

Opmerking redactie: Afbeelding met 3 blokken. Standaarden digitale toegankelijk wettelijk verplicht!, uitvraag 2022 lager dan 2021, in 1/3 van de gevallen niet uitgevraagd.

4. Leg uit bij aanbestedingen: werkt niet zoals bedoeld

Bij 6 van de 69 aanbestedingen die zijn beoordeeld, is om alle relevante standaarden gevraagd (dat is de eerder genoemde categorie ‘perfect’). Voor de resterende 63 aanbestedingen geldt dat, volgens het Pas toe of leg uit -beleid, de aanbestedende diensten verplicht zijn om in hun jaarverslag verantwoording af te leggen - Leg uit - over het niet toepassen van (alle) relevante standaard(en).

Deze 63 aanbestedingen werden door 49 verschillende overheids- organisaties gedaan, van sommige organisaties werden meerdere aanbestedingen beoordeeld. Hiervan vielen 17 organisaties onder de rijksoverheid - waarvan 8 ministeries - en 32 behoren tot de mede-overheden. Voor al deze overheidsorganisaties is in het jaarverslag over 2022 nagegaan of Leg uit is toegepast.

De conclusie van het onderzoek in de jaarverslagen laat aan duidelijkheid niets te wensen over: van Leg uit zoals dat bedoeld is, was in geen enkel van de 49 jaarverslagen sprake. Zeven van de twaalf depar- tementen hebben een vorm van verantwoording opgenomen in het jaarverslag 2022, maar deze is over het algemeen zeer summier en er worden geen concrete aanbesteding aangehaald. In het jaar- verslag van het ministerie van OCW wordt expliciet aangegeven dat niet is afgeweken van de afspra- ken rond het gebruik van open standaarden zoals is vastgelegd in de Instructie Rijksdienst. Ook bij de ministeries van I&W en J&V is sprake van een beweging de goede kant op. Bij de andere departementen is in het jaarverslag helemaal niets over open standaarden te vinden. In de jaarverslagen van de onderzochte zbo’s en medeoverheden worden open standaarden niet genoemd, laat staan dat er een passage is gevonden die als een Leg-uit kan worden gezien. Kortom: het Leg uit gedeelte van het beleid werkt niet zoals bedoeld.

63 aanbestedingen, 49 jaarverslagen, maar geen Leg uit zoals bedoeld

De correspondentie en gesprekken die in het kader van de Monitor met aanbesteders worden gevoerd en waarover wordt gepubliceerd, dragen in zekere zin bij aan de verantwoording van overheidsorganisaties over de keuze die zij maken ten aanzien van het toepassen of juist niet toepassen van open standaarden.

Uit de volgende paragrafen blijkt dat het open standaardenbeleid, de Pas toe of leg uit-lijst en de instrumenten ter ondersteuning daarvan, niet bij alle aanbesteders bekend zijn. Als met het beleid, de lijst en de instrumenten niet kent, dan kent men de plicht tot verantwoorden natuurlijk ook niet. Dat kan een verklaring zijn voor een deel van het achterwege blijven van uitleg en verantwoording.

Afbeelding met Standaarden gegevensuitwisseling Rijkoverheid maar in 30% uitgevraagd.

5. Standaarden in landelijke voorzieningen: een positief beeld

In de Monitor werd in de afgelopen jaren gerapporteerd over de toepassing van open standaarden bij een aantal landelijke voorzieningen. Met ingang van 2020 onderzoeken we het ene jaar voorzieningen die direct raken aan de communicatie en gegevens uitwisseling met burgers en bedrijven. Dat gaat bijvoorbeeld over DigiD en DigiDMachtigen, MijnOverheid, Berichtenbox bedrijven, Overheid.nl en de websites van RDW en de Kamer van Koophandel.

In het andere jaar worden voorzieningen onderzocht die vooral gericht zijn op de communicatie en gegevensuitwisseling tussen overheden onderling en op de onderliggende infrastructuur. Dat zijn bijvoorbeeld de Beheervoorziening voor het Burgerservicenummer, de Verstrekkingsvoorziening in het kader van Basisregistratie Personen en basisregistraties zoals die van inkomen (BRI), adressen en gebouwen (BAG), ondergrond (BRO) en voertuigen (BRV) en voorzieningen voor het uitwisselen van berichten met de overheid (Digipoort) en met burgers en bedrijven (Diginetwerk).

Landelijke voorzieningen voor burgers en bedrijven: 92% voldoet of voldoet deels

Landelijke voorzieningen overheden en infra: 85% voldoet of voldoet deels.

Voor de Monitor 2023 is besloten om de toepassing van de open standaarden in de landelijke voorzieningen een jaar over te slaan, dit in verband met het behoorlijk positieve en stabiele beeld dat uit de voorgaande Monitors spreekt. Om het geheugen op te frissen grijpen we in Figuur 4 terug op de cijfers uit de meest recente metingen.

Het gaat bij deze meting niet om de vraag of er bij aanbestedingen om de relevante open standaarden is gevraagd, maar of de open standaarden in de landelijke voorziening zijn geïmplementeerd.

Figuur 4 laat zien dat voor beide typen landelijke voorzieningen een ruime meerderheid aan de eisen voldoet, daar deels aan voldoet of concrete plannen heeft om daar aan te voldoen.

Opmerking van de redactie: Figuur 4 diagram te zien met 4 kolommen (de jaren) onderverdeeld in 3 categorien (voldoet, voldoet deels en voldoet niet).

6. THEMA – werken in de cloud: voordelen, risico’s en gevolgen

In de afgelopen twee decennia heeft Software as a Service(SaaS) – ook wel clouddiensten of werken in de cloud genoemd – een enorme vlucht genomen. Deze begrippen staan voor werken en opslaan via internet. Data, bestanden en programma’s staan niet op eigen computers maar elders. Om toegang te krijgen is een internetverbinding nodig. Zowel de computers als de programmatuur zijn veelal eigendom van externe partijen. Bekende voorbeelden van clouddiensten zijn iCloud, OneDrive, Office365, Google Workspace en Dropbox.

Een analyse van de onderzochte aanbestedingen uit 2022, laat zien dat een ruime meerderheid hiervan betrekking had op de inkoop van systemen die op zijn minst een substantiële cloudcomponent hadden. Deze indruk wordt bevestigd door respondenten in de gespreksronde in het najaar van 2023 (zie paragraaf 7). Voor Forum Standaardisatie is de cloud een terugkerend thema. Op basis van de grote toename in het gebruik van cloudoplossingen bij de overheid is Forum Standaardisatie van mening dat het hoog tijd is voor meer aandacht voor open standaarden op dit terrein. Bij het Bureau Forum Standaardisatie is men bezig met een internationale verkenning naar bestaande en nog te ontwikkelen cloudstandaarden.

Cloud: goedkoper, minder onderhoud, meer koppelmogelijkheden en nog meer

Cloud: risico’s omdat data en toegang in handen van derden komt, cloudbeleid van overheidsorganisaties niet altijd duidelijk

De rijksoverheid was van oudsher terughoudend in het gebruik van clouddiensten van externe partijen, er werd vooral gebruik gemaakt van SaaS die draaide op eigen computers of in eigen datacenters. Staatssecretaris Van Huffelen van Koninkrijksrelaties en Digitali- sering heeft in augustus 2022 de mogelijkheden voor organisatiesbinnen de rijksoverheid verruimd om van commerciële clouddienstengebruik te maken. Dit besluit is ingegeven door de overweging dat commerciële clouddiensten zich de afgelopen jaren, mede onder invloed van de coronapandemie, snel hebben ontwikkeld. De kosten zijn relatief laag en risico’s zijn vaak beter te beheersen dan voorheen. Ook bij de Vereniging van Nederlandse Gemeenten is men actief om gemeenten te ondersteunen in de transitie naar de cloud.

In zijn essay wijst Wiersma op de risico’s die daarmee gepaard kunnen gaan.

Ook het gebruik van eigen systemen van identity- en accessmanagement kunnen de risico’s beperken. Op de Pas toe of leg uit-lijst staat een aantal standaarden die daarbij behulpzaam zijn.

Respondenten in de gesprekken met aanbesteders zijn zich in het algemeen bewust van de risico’s waarmee SaaS gepaard gaat en zijn ook actief bezig die risico’s te beperken. Tegelijkertijd wordt geconstateerd dat de helft van de respondenten niet weet of de eigen organisatie een cloudbeleid heeft. Het lijkt erop alsof de keuze bij aanbesteding inmiddels is: de cloud tenzij. Dat wil zeggen: de voordelen van cloudapplicaties zijn zo groot dat die in het algemeen de voorkeur krijgen, tenzij er zwaarwegende redenen zijn om – “cruciale of anderszins gevoelige bedrijfsprocessen” - om ze niet aan de cloud toe te vertrouwen.

Een belangrijke constatering van een aantal respondenten is dat de marktmacht van de partijen die cloudoplossingen aanbieden steeds groter wordt: “We lopen steeds vaker aan tegen ‘harde’ gebruikers-voorwaarden van de leverancier (vooral marktleiders uit de VS) waarbij de boodschap is: take it or leave it.” Men heeft minder te zeggen over de voorwaarden waaronder wordt ingekocht. Dat geldt dan natuurlijk ook over de toepassing van open standaarden.

Individueel staan aanbestedende diensten relatief machteloos tegenover de grote internationaal opererende leveranciers van clouddiensten. Door gezamenlijk op te trekken, als Nederlandse overheid of nog beter in Europees verband, kunnen dit soort grote partijen wel degelijk aangesproken worden op de noodzaak om open standaarden te implementeren. Zo is het ministerie van BZK ( Strategisch Leveranciersmanagement Rijksoverheid) samen met Forum Standaardisatie in gesprek met Microsoft over onvolledige ondersteuning van DANE (beveiligde verbinding tussen mailservers). De leverancier heeft inmiddels toegezegd in juni 2024 de gewenste aanpassingen beschikbaar te maken.

Marktmacht van cloudpartijen steeds groter

7. Gesprekken met aanbesteders

In het kader van de Monitor wordt niet alleen cijfermatig onderzoek gedaan naar de aanbestedingen maar worden ook gesprekken gevoerd met (inkopers van) aanbestedende diensten. Het doel van die gesprekken is om knelpunten en succesfactoren in de adoptie van open standaarden te achterhalen en daarmee de cijfers in de Monitor in te kleuren.

Begin 2023 zijn gesprekken gevoerd met z es aanbestedendediensten. In oktober en november van 2023 zijn opnieuw gesprekken gevoerd met zes (andere) aanbestedende diensten: een ministerie, drie zbo’s, een gemeente en een samenwerkingsverband van gemeenten. Het verslag van deze gesprekken is te vinden in

het rapport Vraagnaaropenstandaardeninaanbestedingen

(bijlage 3).

Aanschaf via brokers

De machtsverhouding tussen (individuele) overheidsorganisaties en leveranciers, die in de vorige paragraaf al aan de orde kwam, was ook in het najaar van 2023 onderwerp van gesprek. Aanbestedende diensten herkennen het beeld dat het niet eenvoudig is om bepaalde zaken bij grote leveranciers af te dwingen. Ze willen voorkomen dat het stellen van te veel eisen leveranciers afschrikt. Tegelijkertijd constateren ze dat er ook niet al te snel moet worden meegegaan in deze redenering van een zogenaamde nichemarkt.

Uit de gesprekken blijkt verder dan nogal wat aanbestedende diensten ervaring hebben met het inschakelen van brokers voor de aanschaf van IT-diensten en producten. Het is een vorm van inkoop die overeenkomsten vertoont met het gebruik van raamovereenkomsten. Men constateert dat het risico bestaat dat de aandacht voor open standaarden in dit geval verslapt. Eigen regie hierop is daarom van belang.

Pleidooi voor beter vindbare en toepassingsgerichte informatie

Uit de gesprekken in zowel het voorjaar als najaar van 2023, blijkt dat men de Pas toe of leg uit-lijst zeker niet altijd paraat heeft tijdens aanbestedingen, niet iedereen is bekend met de open standaarden of weet de bestaande kennis daarover te vinden.

Duidelijker informatie over de relatie tussen het type ICT-systeem en de specifieke daarop van toepassing zijnde open standaarden zou welkom zijn. Slechts twee respondenten (voorjaar 2023) zijn bekend met de Beslisboom Open Standaarden van het Forum voor Standaardisatie, de overige gesprekspartners niet. Dat instrument komt wel tegemoet aan de behoefte om zicht te krijgen op de open standaarden en geholpen te worden bij het bepalen van de relevante open standaarden. Dat geldt zeker ook voor cloudapplicaties, een respondent geeft aan dat een opsomming van waarschijnlijk relevante standaarden voor dit soort systemen zou zeer wenselijk zijn.

Beslisboom en Handreiking beter vindbaar maken

Over het aanbieden van de Beslisboom op TenderNed is men maar matig enthousiast: via TenderNed bereik je alleen de inkoper en niet de andere leden van het team en ook de inkoper komt pas in een vergevorderd stadium van de aanbesteding op TenderNed.

Men pleit voor betere vindbaarheid van toepassingsgerichte informatie. Men constateert dat er sprake is van een te beperkte benadering, de aandacht moet niet gericht worden op één klein item (de open standaarden). De gesprekspartners vinden PIANOo, het expertisecentrum Aanbesteding een belangrijker bron van informatie. Op PIANOo zijn overigens links te vinden, zowel naar de BeslisboomOpen Standaarden als naar de Handreikingopenstandaarden bij aanschaf ICT van het Forum voor Standaardisatie.

Leg uit: werkt niet en gaat niet werken is de verwachting van gesprekspartners

Twee gesprekspartners zijn niet bekend met de Leg uit-verplichting in het open standaardenbeleid. De andere gesprekspartners bevestigen dat deze verplichting niet werkt en verwachten ook niet dat die zal gaan werken. De verplichting voelt als straffen, zegt één respondent, maar men is veel meer op zoek naar hulp. Als voorbeeld van goede hulp wordt naar het thema Maatschappelijk Verantwoord Inkopen op de PIANOo-site verwezen.

Respondenten betrokken bij een aanbesteding die hoog werd gewaardeerd in het onderzoek, verwezen naar de betrokkenheid van goede (externe) deskundige(n) en de ervaring in het team als verklaring voor het succes. In het algemeen geldt dat er bijna altijd sprake is van multidisciplinaire teams. De geconsulteerde inkopers hebben de neiging om hun rol in het proces van de aanbesteding klein te maken, qua inbreng, doorzettingsmacht en verantwoordelijkheid. Het leidend principe bij veel inkopers is het bewaken van de juiste toepassing van de aanbestedingswet. In het algemeen geldt dat het belangrijkste uitgangspunt is dat er een product gerealiseerd moet worden ‘waar je wat mee kunt’.

De check op open standaarden gebeurt zeker maar is wel ondergeschikt.

8. De praktijk bij medeoverheden: worden de standaarden gevraagd en geleverd?

In paragraaf 5 is het tamelijk positieve en stabiele beeld van de toepassing van open standaarden in landelijke voorzieningen beschreven. Dat was aanleiding om dat onderzoek een jaar over te slaan.Dat gaf ruimte aan een ander onderzoek naar de rol van open standaarden in het hele aanbestedingsproces, van aanbesteding en gunning tot implementatie en beheer. Hoe komen de aanbestedende diensten tot de gevraagde open standaarden en krijgen zij ook daadwerkelijk wat ze gevraagd hebben? Het gaat dan om het proces dat volgt op de aanbesteding.

Het door PBLQ uitgevoerde onderzoek Aanbesteding en follow-up bij medeoverheden richt zich op decentrale overheden, omdat deze in de Monitor de afgelopen jaren minder aandacht hebben gekregen. Het betreft een kwalitatief onderzoek: het onderzoeksbureau heeft 15 gesprekken gevoerd over 11 aanbestedingen, zowel met aanbestedende diensten als met leveranciers. Met het veralgemeniseren van de conclusies moeten we daarom voorzichtig zijn. De rijksoverheid en de uitvoerende diensten zijn in dit onderzoek niet bevraagd.

Opmerking van de redactie: Afbeelding met tekst: Inkoop lijkt te professionaliseren.

Aanbestedende diensten en leveranciers onderkennen hetbelangvanopenstandaarden

Alle partijen waar mee gesproken is begrijpen wat de voordelen zijn om met open standaarden te werken; interoperabiliteit en leveranciersonafhankelijkheid worden als belangrijkste argumenten genoemd. De standaarden worden steeds beter in het reguliere aanbestedingsproces geborgd. Er wordt steeds meer gewerkt in vaste projectstructuren en in multidisciplinaire teams waarin expliciet kennis van informatieprocessen en informatiemanagement wordt betrokken, bijvoorbeeld via rollen als de informatieadviseur, architect of security-officer.

Professionalisering aanbesteding

Aanbestedende diensten zijn veelal bekend met bestaande kaders en richtlijnen waarin (open) standaarden zijn opgenomen. De kennis en expertise van rollen als de CIO, CISO en informatiemanagers wordt steeds vaker buiten het formele aanbestedingsproces betrokken, bijvoorbeeld na gunning tijdens de implementatiefase. Ook leveranciers zien het belang van open standaarden, het is voor hen normaal geworden om deze te leveren.

Door de veelheid aan kaders is het lastig bepalen welkestandaardenvantoepassingzijn

Ook al onderschrijft men het belang van open standaarden, dan nog gaat het in de praktijk niet altijd goed. Sommige organisaties doen het beter dan anderen, daarin speelt de volwassenheid en professionaliteit van de organisatie een belangrijke rol. Grote organisaties hebben vaak meer middelen, kennis en expertise om dit goed aan te pakken. Maar de onderzoekers hebben ook uitzonderingen gezien, bijvoorbeeld bij kleine gemeenten die professionele aanbestedingen realiseren door met elkaar samen te werken.

Veel kaders, dat leidt tot verwarring

Er wordt geconstateerd dat er veel verschillende kaders, bronnen en lijstjes van standaarden zijn, zowel sectorspecifiek – onder meer afkomstig van VNG, IPO, UvW - als landelijk, waaronder de Baseline Informatiebeveiliging Overheid, tooling van Centrum Informatiebeveiliging en Privacybescherming, richtlijnen van het Nationaal Cybersecuritycentrum, de Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT) en uiteraard de lijst met open standaarden van Forum Standaardisatie. Uit het onderzoek blijkt dat organisaties worstelen met het bepalen van relevantie uit de grote hoeveelheid aan kaders en informatiebronnen waar standaarden in terugkomen. In 3 van de 10 onderzochte aanbestedingen was (ook) van de Beslisboom gebruik gemaakt om te bepalen welke open standaarden van toepassing waren.

Aandacht verflauwt

In de gesprekken met aanbesteders die in het najaar door ICTU werden gevoerd, werd er bovendien op gewezen dat er bij aanbestedingen met veel kaders rekening moet worden gehouden. Dat betreft niet alleen aan ICT gerelateerde kaders, maar bijvoorbeeld ook richtlijnen over maatschappelijk verantwoord ondernemen en social return on investment.

Naarmate het proces vordert, neemt de aandacht voor open standaarden af

Nadat de aanbestedingsdocumenten openbaar zijn gemaakt, worden aanvullende vragen beantwoord in de nota van inlichtingen en volgen gunning en de implementatiefase. Uit de gesprekken met medeoverheden komt naar voren dat aanbiedingen van leveranciers niet afgewezen worden op basis van de eisen en wensen ten aanzien van standaarden. In de implementatiefase is er betrekkelijk weinig aandacht voor open standaarden. Na gunning wordt het traject vaak overgedragen, aan een projectmanager en/of een contracmanager. Het nagaan of de geëiste open standaarden daadwerkelijk worden geleverd gebeurt zelden. In sommige gevallen komt het ontbreken van gevraagde standaarden wel aan het licht. Na implementatie wordt een pentest uitgevoerd, daaruit kan blijken dat het geleverde niet aan bepaalde veiligheidsstandaarden voldoet. Op eenzelfde manier kan na implementatie blijken dat de koppelstandaarden niet of niet op de juiste manier zijn toegepast omdat er niet met andere systemen gekoppeld kan worden.

Er wordt tijdens de implementatie en bij de inbeheername in het algemeen niet systematisch nagelopen of de gevraagde open stan- daarden daadwerkelijk geleverd zijn. Als verklaring hiervoor wordt aangevoerd dat tijdens de implementatie pragmatische afwegingen worden gemaakt. De focus ligt op het werkend krijgen van het systeem, ook vanuit het perspectief van de (toekomstige) gebruikers, en niet of veel minder op de standaarden.

Organisaties hebben niet altijd tijd en kennis om de levering van standaarden te controleren

Uit de gesprekken met leveranciers, maar ook die met de medeoverheden, kwam naar voren dat de er bij de aanbestedende diensten soms een gebrek aan tijd en kennis is om te controleren of alle open standaarden geleverd zijn en goed functioneren. Leveranciers constateren dat sommige aanbestedende diensten vragen om aan alle kaders te voldoen, zonder bijvoorbeeld nader te specificeren welke open standaarden dan precies van toepassing zijn. Daarmee leggen ze de verantwoordelijkheid bij de leverancier om te bepalen welke standaarden van toepassing zijn.

Beschrijf het doel van standaarden en controleer of ze geleverd zijn

In het eindrapport concludeert PBLQ dat er veel goed gaat in het uitvragen en inbrengen van open standaarden bij aanbestedingen, maar geeft ook suggesties voor verbeteringen. De belangrijkste daarvan is dat het essentieel is om de gevraagde open standaarden te beschrijven in het licht van de doelstellingen die ermee beoogd worden. Als bijvoorbeeld gevraagd wordt om een specifieke koppelstandaard, dan wordt het belang beter begrepen als beschreven wordt dat de applicatie moet communiceren met systemen X, Y en Z. Voorkomen moet worden dat open standaarden tijdens het aanbestedingsproces gezien worden als onderdeel van een bureaucratisch afvinklijstje. Open standaarden zijn immers geen doel op zich, maar een middel om doelen als veiligheid, goede gegevensuitwisseling en leveranciersonafhankelijkheid te realiseren.

PBLQ adviseert overheidsorganisaties om tijdens de implementatiefase explicieter te controleren of de standaarden die zijn uitgevraagd ook daadwerkelijk zijn geleverd. En om ervoor te zorgen dat informatie over de Pas toe of leg uit-lijst opgenomen wordt in kaderdocumenten en handreikingen van koepelorganisaties als de VNG en het IPO. De eigen hulpmiddelen van het Forum voor Standaardisatie, de beslisboom en handreiking, zijn nog onvoldoende bekend bij de doelgroep.

Benoem ook het maatschappelijke doel dat je probeert te bereiken met de standaarden

9. Gegevens over het gebruik van open standaarden

Het Pas toe of leg uit -beleid en de monitoring daarvan is vooral gericht op de aanschaf van ICT, en dus op het toepassen van open standaarden bij toevoegingen aan en bij vernieuwingen van het ICT-systeem. Om een compleet beeld van open standaarden te schetsen is het feitelijk gebruik ook van belang. Helaas is het lang niet altijd even eenvoudig om - voor alle open standaarden- vast te stellen in welke mate die feitelijk gebruikt worden.

De accountmanagers van bureau Forum Standaardisatie hebben dit jaar wederom gegevens opgevraagd bij de verschillende beheerorganisaties. Vervolgens zijn de bevindingen vastgelegd in een kort verslag voor elk van de standaarden. Bundeling hiervan heeft geleid tot de onderliggende onderzoeksnotitie Inventarisatie gebruiks- gegevens 2023.

Veel IV-standaarden zijn ondergebracht bij internet.nl waarbij het gebruik van de standaarden regelmatig wordt gemeten. Zo ook nu weer. Het overall beeld van het gebruik van deze standaarden is dat sprake is van toename van het gebruik.

Uitspraken over de ontwikkeling van het gebruik bij de overige standaarden zijn veelal afkomstig van de beheerorganisaties. De mate van onderbouwing verschilt daarbij, afhankelijk van de beschikbaar- heid van harde gegevens of goede richtinggevende indicatoren. Met die nuancering in het achterhoofd is -het geheel overziend- ook hier per saldo sprake van toename van het gebruik, zij het vaak met de toevoeging dat de toename beperkt is.

10. Reflectie op de monitoring van open standaarden

Al met al kan gesteld worden dat het met de adoptie van standaarden enigszins de goede kant op gaat. De landelijke voorzieningen doen het goed, zo zagen we eerder. Maar er geen reden voor groot optimisme. Het percentage uitgevraagde relevante standaarden (Pas toe) stijgt maar heel licht. Er is geen sprake van een versnelling of doorbraak . Het Leg uit-deel van het beleid werkt niet zoals het bedoeld is. Positief is wel dat we ook zien dat er overheidsorganisaties zijn die in 2022 alle relevante standaarden uitvroegen: het kan dus wel!

Op het niveau van individuele standaarden zien we behoorlijke verschillen, de adoptie van de ene standaard is veel verder gevorderd dan die van andere standaarden, en we zien soms ook verschillen in de adoptie tussen rijksoverheid en medeoverheden. Het kwalitatieve onderzoek naar aanbestedingen en de follow-up daarvan, laat zien dat open standaarden in de aanbestedingen van de onder- zochte instellingen een beperkte rol spelen en dat de aandacht in de fase van implementatie en de in beheername verslapt.

Opmerking van redactie: Afbeelding met tekst, aanbestedingen gaan heel langzaam de goede kant op. Pas in 2046 100%. Met plaatje van een schildpad.

Geen versnelling of doorbraak in zicht

Open standaarden: een voorwaarde voor goede publieke dienstverlening

Langzaam aan de goede kant op: is dat voldoende?

Het oordeel of de geschetste ontwikkeling van de adoptie van open standaarden voldoende is moet door beleidsmakers en politici geveld worden, niet door de onderzoekers. De doelen die men door middel van de adoptie van open standaarden probeert te realiseren zijn echter buitengewoon urgent: veilig internet, toegankelijkheid van overheidsinformatie, kwaliteit van data en goede gegevensuitwisseling tussen overheidsorganisaties onderling én met burgers en ondernemers en het voorkomen van te grote leveranciersafhankelijkheid. Het zijn belangrijk voorwaarden voor een goede publieke dienstverlening. En over die kwaliteit van de publieke dienstverlening is in de afgelopen jaren natuurlijk veel te doen. Die problemen hebben te maken met oude ICT-systemen die vervangen moeten worden (legacy) maar ook in belangrijke mate met de gebrekkige gegevensuitwisseling tussen overheidsorganisaties onderling. Het toepassen van open standaarden -veiligheid, interoperabiliteit en kwaliteit van gegevens – levert een bijdrage aan het verbeteren van de publieke dienstverlening.

Volwassen informatievoorziening en ICT-huishouding bevordert adoptie

Eerder in dit rapport werd – naar aanleiding van de grote verschillen in prestaties van organisaties met betrekking tot het uitvragen van relevante standaarden – de vraag opgeworpen hoe die verschillen te verklaren zijn. Er werd geconstateerd dat de kwaliteit van aanbestedingen afhankelijk lijkt te zijn van individuele personen of van het team dat de betreffende aanbesteding doet. Wordt door betrokkenen het belang van de standaarden onderkend en de uitvraag en follow up daarvan goed ter hand genomen, dan is dat goed voor de adoptie van standaarden. Is men niet bekend met de standaarden of met de hulpmiddelen om ze toe te passen, of ziet men het nut van standaarden niet in, dan bevordert dat de adoptie van standaarden uiteraard niet.

Informatievoorziening op orde, dan gaat de adoptie van open standaarden ook goed

Waar liggen dan de aanknopingspunten om de adoptie echt een stap verder te helpen? In het A dvies knelpunten voor adoptie uit november 2020, constateert het onderzoeksbureau dat er een sterke correlatie lijkt te bestaan “tussen de mate waarop partijen hun informatievoorziening en ICT-huishouding op orde hebben en de mate waarin ze standaarden toepassen.” Overheidsorganisaties die duidelijke rollen hebben (Chief information officer (CIO), Chief Information Security Officer (CISO), architecten) en ondersteunende middelen goed toepassen, scoren hoog op het toepassen van (open) standaarden. De andere kant van de medaille is dat in organisaties waar een duidelijke governance op de informatievoorziening en ICT-huishouding ontbreekt, wordt geworsteld met de adoptie van standaarden. Soms is dat door een gebrek aan kennis, in andere gevallen is dat ingegeven door de angst om leveranciers af te schrikken als er te veel eisen rond standaarden worden gesteld.

Duidelijkheid over rollen en verantwoordelijkheden

Eén van de aanbevelingen uit het Advies Knelpunten voor adoptie luidt dan ook dat, wil men de adoptie van standaarden versterken, het noodzakelijk is dat partijen en mensen weten wie waarvoor verantwoordelijk is. “Dat kan nooit de inkoper of architect zijn, maar moet, afhankelijk van het type standaard hoger in de organisatie belegd worden, bijvoorbeeld bij de CIO voor meer algemene standaarden, de CISO voor informatiebeveiligingsstandaarden of wellicht hoofd communicatie als het gaat om standaarden als digitoegankelijk”. Het is aan de organisatie om ervoor te zorgen dat de adoptie van standaarden structureel belegd wordt en daarmee niet alleen afhankelijk is van individuen of teams die een aanbesteding doen.

Communiceren over instrumenten en inzetten op de achterliggendedoelen

In één van de voorgaande paragrafen is erop aangedrongen om in het opvolgingstraject na de aanbesteding, beter te controleren of de verplichte open standaarden daadwerkelijk geleverd worden.

Daarnaast werd het advies gegeven om het instrumentarium van het Forum, de Beslisboom Open Standaarden en de Handreiking vragenom open standaarden bij aanschaf ICT, beter onder de aandacht van de doelgroep te brengen: direct bij individuele overheids organisaties, maar ook via de sectorale koepels (VNG, IPO, UvW) en platforms zoals PIANOo.

Verbeter de informatiehuishouding in het algemeen

Tegelijkertijd is het belangrijk om verder te kijken dan alleen de open standaarden. Dat betekent dat vooral de achterliggende doelen als uitgangspunten moeten worden genomen, niet de lijst met open standaarden die als het ware afgevinkt moet worden. Maar het is ook belangrijk om de informatievoorziening en ICT-huishouding van overheidsorganisaties in den brede te verbeteren . Door aandacht te besteden aan de governance en duidelijkheid te scheppen over afspraken en rollen en verantwoordelijkheden zowel binnen organisaties als in sectoren en op landelijk niveau. Het beschrijven en verspreiden van goede voorbeelden kan een uitstekend instrument zijn beleidsdoelstellingen te realiseren. Met de handreiking van het Forum en de interviews in het kader van de Monitor Open Standaarden is daarmee een begin gemaakt. Daar kan een vervolg aan worden gegeven door best practices verder uit te werken, inclusief aandacht voor de informatievoorziening en de ICT-huishouding. Inspiratie daarvoor kan ook buiten de overheid gevonden worden, in andere sectoren (de zorg) en in andere landen.

Open standaardenbeleid onvoldoende effect, sprake van teveel vrijblijvendheid

In het licht van de uitkomsten van deze Monitor is het de vraag of met goede voorbeelden volstaan kan worden. In de briefwisseling tussen Arre Zuurmond, de Regeringscommissaris Informatie- huishouding en Larissa Zegveld, de voorzitter van het Forum voor Standaardisatie wordt de vraag gesteld of het open standaarden- beleid voldoende effect heeft. Men is het er vrij snel over eens dat dit niet het geval is, er is sprake van te veel vrijblijvendheid. Er zijn weliswaar afspraken gemaakt over de toepassing van open standaarden, maar blijkbaar is dat niet voldoende om organisaties te bewegen zich daar ook aan te houden. In termen van oplossing wordt er onder meer gesproken over het eerder optreden in het inkoopproces, over het strenger handhaven van afspraken en over meer stuwkracht vanuit bewindspersonen.

Over de Monitor

De uitkomsten in deze Monitor zijn gebaseerd op een representatieve steekproef en op basis daarvan kunnen betrouwbare uitspraken worden gedaan over de toepassing van standaarden in openbare aanbestedingen. De toevoeging dat het daarbij om openbare aanbestedingen gaat is van belang. Een deel van de IT-producten en diensten wordt immers ingekocht via mantels of in handen gegeven van derde partijen (de zogenaamde brokers). Dat betekent dat de aanbestedingsdocumenten niet openbaar zijn en niet meegenomen kunnen worden in het onderzoek.

... monitoring verbreden ...

In het verleden is een poging gedaan om meer zicht te krijgen op aanbestedingen in mantels, maar dat heeft vooralsnog geen bruikbare informatie opgeleverd. Met het oog op toekomstige monitoring loont het de moeite om nogmaals na te denken over manieren om toch meer inzicht te krijgen in de omvang en de aard van de niet openbare aanbestedingen in relatie tot de mate waarin open standaarden daarin voorkomen.

Daarnaast is het wenselijk om breder zicht te krijgen op overheids- organisaties, dat wil zeggen: niet op de enkele vraag of ze de open standaarden toepassen, maar meer in het algemeen of zij hun informatievoorziening en ICT-huishouding op orde hebben. En dat is wat het programma Open op Orde voor ogen heeft, voor de Rijksoverheid.

In de voorstellen van de regeringscommissaris (de concept Algemene Informatiewet) wordt van overheidsorganisaties gevraagd om jaarlijks te rapporteren over de inrichting en instandhouding van de informatiehuishouding, en om zich te verantwoorden over de naleving van verplichtingen ten aanzien van ‘bindende kaders, standaarden en generieke voorzieningen.’ Vooruitlopend op een dergelijke verplichting - waarvan de invoering een tijd op zich zou kunnen laten wachten – zou bekeken moeten worden of op basis van bestaande bronnen, en in samenwerking met anderen, een breder beeld geschetst kan worden.

Aanbiedingsformulier

Overheidsbreed Beleidsoverleg Digitale Overheid

Agendapunt Onderwerp	5d Werkplan Forum Standaardisatie 2024
Datum behandeling	1 februari 2024
Sponsors Betrokken partijen	Overheidsbreed
Contactgegevens	Organisatie : Forum Standaardisatie Contactpersoon : Joram Verspaget en Ludwig Oberendorff Telefoonnummer : Ludwig 06-52311217 E-mailadres : Ludwig.Oberendorff@forumstandaardisatie.nl
Doel van de behandeling	Ter besluitvorming
Eerder behandeld in	Anders: Forum Standaardisatie
Uitkomst behandeling:	Overeenstemming
Discussiepunten Beslispunten	Het OBDO stemt in met het werkplan Forum Standaardisatie 2024.
Financiële consequenties Kosten: Dekking:	Eenmalige kosten : Jaarlijks terugkerende kosten : Ja Nee Gedeeltelijk
Leeswijzer
Toelichting Ruimte voor aanleiding, voorgeschiedenis, samenvatting, relevante context, zoals betrokken (inter)nationale wet- en regelgeving, vervolgproces.	Het Forum Standaardisatie heeft het werkplan voor 2024 op woensdag 13 december jl. vastgesteld, ter accordering door het OBDO. Het werkplan geeft invulling aan de taken van het Forum Standaardisatie, zoals omschreven in het instellingsbesluit Forum Standaardisatie. Het OBDO kan aanwijzingen geven voor agendering en prioriteitstelling voor het Forum (art. 2, lid a Instellingsbesluit Forum Standaardisatie). Dit werkplan ligt dan ook ter goedkeuring aan het OBDO voor.

Werkplan Forum Standaardisatie 2024

Inleiding

Dit werkplan geeft invulling aan de taken van het Forum Standaardisatie, zoals omschreven in het Instellingsbesluit Forum Standaardisatie. Het Forum Standaardisatie adviseert de Staatssecretaris Koninkrijksrelaties en Digitalisering en de Minister van EZK, al dan niet via het OBDO. Het Forum staat voor een eenduidige, centraal herkenbare en voorspelbare overheid. Het adviseert de overheid over interoperabiliteit, open standaarden en veilige, transparante en betrouwbare elektronische uitwisseling en (her)gebruik van gegevens tussen overheidsorganisaties en semipublieke organisaties (onderling), bedrijven en burgers. Het Forum adviseert over en monitort het ‘pas toe of leg uit’-beleid en de door de leden van het OBDO gemaakte aanvullende streefbeeldafspraken voor een open, vrij, betrouwbaar en veilig verbonden overheid.

Ook levert het inbreng bij het aanwijzen van wettelijk verplicht toe te passen open standaarden (AMvB’s op grond van de Wet digitale overheid). Bij de invulling van zijn adviesrol heeft het Forum een aanjagende rol op het gebied van interoperabiliteit en leveranciersonafhankelijkheid, een toetsende rol voor open standaarden (samenstelling en beheer ‘pas toe of leg uit’-lijst en lijst aanbevolen standaarden) en een stimulerende rol bij de adoptie ervan. Daarnaast kan het Forum signaleren wanneer benodigde open standaarden eventueel ontbreken en voorstellen doen voor de selectie of ontwikkeling ervan.

Het Forum Standaardisatie is ingesteld door het Ministerie van BZK in afstemming met het Ministerie van EZK. Het OBDO kan conform instellingsbesluit aanwijzingen geven voor agendering en prioriteitstelling voor het Forum, en stelt het werkplan van het Forum Standaardisatie vast.

De activiteiten van het Forum Standaardisatie zijn waar mogelijk gekoppeld aan de maatschappelijke doelen en de beleidslijnen van het kabinet, zoals onder andere verwoord in de Werkagenda Waardengedreven Digitaliseren, de Kamerbrief over Strategie Digitale Economie, de Nederlandse Cybersecuritystrategie, het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding, de Wet digitale overheid, de Kamerbrief over de agenda ‘Coalities voor de digitale samenleving’ en het programma Werk aan Uitvoering. Bij een nieuw regeerakkoord zal het werkplan daarop worden geactualiseerd. Het Forum zet daarbij in op het duidelijker maken van de maatschappelijke meerwaarde van open standaarden en communicatie op bestuurlijk niveau om de toepassing en implementatie van (de ‘pas toe of leg uit’-)standaarden te verhogen.

Het Forum handelt in lijn met de publieke waarden van de open standaarden op de ‘pas toe of leg uit’-lijst: interoperabiliteit, openheid, veiligheid en privacy, datakwaliteit, duurzaamheid, inclusiviteit, gebruiksvriendelijkheid en toegankelijkheid.

Door zijn open manier van werken en zijn brede samenstelling met leden vanuit wetenschap, bedrijfsleven, decentrale en centrale overheden en beleid en uitvoering, past het Forum bij de werkwijze die het kabinet voorstaat in de Kamerbrief Coalities voor de Digitale Samenleving. Bij de invulling van vrije plaatsen in het Forum wordt nadrukkelijk gekeken naar inbreng waarbij de mens/burger/ondernemer centraal staat.

Indeling

De voorgenomen activiteiten van het Forum Standaardisatie in 2024 zijn verdeeld over de volgende zes doelstellingen. Hierbij wordt in de werkwijze rekening gehouden met de capaciteit- en capaciteitsverdeling bij het bureau en daarmee samenhangend de prioritering door het Forum (zie paragraaf 7) en de verwachte rol van de leden van het Forum Standaardisatie.

Het Forum Standaardisatie…

1. bevordert een goed en veilig verbonden digitale overheid door…
2. adviseert het OBDO over te verplichten en aan te bevelen standaarden door…
3. bevordert en ondersteunt het gebruik van verplichte en aanbevolen standaarden door…
4. draagt bij aan aansluiting van de Nederlandse overheid op Europese en internationale standaardisatie door…
5. sluit aan bij de governance van de MIDO, GDI en NORA door…
6. versterkt de samenwerking met CIO Rijk voor coördinatie en toezicht op naleving van het digitaliseringsbeleid rond interoperabiliteit door…

(Elementen van) actiepunten met een « zijn nieuw toegevoegd ten opzichte van het werkplan Forum Standaardisatie 2023.

Activiteiten

1. Forum Standaardisatie bevordert een goed en veilig verbonden digitale overheid door…

• het samen met stakeholders en het OBDO in kaart brengen van de kansen van semantische standaardisatie en procesharmonisatie ten bate van laagdrempelige en hoogwaardige dienstverlening door de overheid.
  • het initiëren van – en participeren in – de “doing community” semantiek, waarin bestaande initiatieven, kennis en kunde worden «
  • het verder ondersteunen van de “learning community” (leergemeenschap digitale vertalingen), waarin kennis en kunde van semantische methoden en hun toepassing verder wordt ontwikkeld.«
  • het tot stand brengen van een “handreiking semantische standaardisatie” voor bestuurders evenals een handreiking voor beleidsmakers en «
• het initiëren en ondersteunen van praktijkcases met multidisciplinaire, semantische methoden.«
• het aanhaken op overheidsbreed beleid en de daaruit volgende nadere initiatieven, zoals de werkagenda’s van de StasBZK en de MinEZK, waaronder het uitvoeren van de meerjarige actieagenda open standaarden en digitale economie, met Cybersecurity, Digitale soevereiniteit en Data, het actieplan Informatie op Orde, de i-strategie Rijk, inventarisatie register van begrippenlijsten« en andere nieuwe onderwerpen«.
• verkenningen of quick scans uit te voeren naar de kansen van standaardisatie en/of verbinding te leggen met ontwikkelingen rond of binnen Identitymanagement (organisatie nummers)«, (de werkgroep van) het Federatief Datastelsel«, Cloud«, bevorderen van een digitale ruimte op basis van publieke waarden«, Artificial Intelligence (AI) en ecologische duurzame IT (Sustainable Development Goals nr 13)«.
• het bijwerken van de handreiking betrouwbaarheidsniveaus als gevolg van
• het stimuleren van het toepassen van geharmoniseerde gebruikersinteractie (NL Design System) om één herkenbare digitale overheid te bevorderen, mogelijk met aanmelding voor plaatsing op de ‘pas toe of leg uit’-lijst of de lijst aanbevolen standaarden.

2. Forum Standaardisatie adviseert het OBDO over te verplichten en aan te bevelen open standaarden door…

• voorstellen te doen voor het opnemen van nieuwe standaarden op de ‘pas toe of leg uit’-lijst en lijst aanbevolen standaarden. Maximaal zes voor te stellen mutaties in 2024.
• het beheren, doorontwikkelen en publiceren van de
  • minimaal drie evaluaties uit te voeren om de kwaliteit van de ‘pas toe of leg uit’-lijst te bewaken.
  • het implementeren van aanbevelingen van het onderzoek Doorontwikkeling Lijsten.
  • in samenwerking met NORA registraties van de standaarden te beheren en te publiceren (incl. publiceren als linked open data), en dit te borgen.
  • Forum Standaardisatie Kennismodel (FSKM) door te ontwikkelen tot generiek kennismodel standaarden (via gebruikersgroep met

standaardisatieorganisaties) en het bevorderen van het uitwisselen van informatie over standaarden.«

• te borgen dat alle standaarden een groep aanjagers/ eigenaars hebben (regierol) om in de adoptiefase de standaard te beheren, ook ten behoeve van evaluatie en ophalen meetgegevens voor de Monitor Open Standaarden.
• het opzetten van een regulier beheerdersoverleg om kennisuitwisseling en eenduidig standaardisatiebeleid te bevorderen (incl. BOMOS in samenwerking met Logius).«
• het harmoniseren van de term ‘pas toe of leg uit’ samen met aanverwante gremia die voor eigen achterban de term ‘pas toe of leg uit’ gebruiken die semantisch niet (geheel) overeenkomt met het ‘pas toe of leg uit’-beleid van Rijk, OBDO en het Forum Standaardisatie.«

3. Forum Standaardisatie bevordert en ondersteunt het gebruik van verplichte en aanbevolen open standaarden door…

Monitor open standaarden

• het jaarlijks opstellen van de Monitor open standaarden, het presenteren van de Monitor in het OBDO en het Forum Standaardisatie en aan te bieden aan de staatssecretaris BZK ter verzending aan de Tweede Kamer.
  • het aantrekkelijk presenteren van de Monitor-resultaten in bestuurlijke gremia met het oog op bespreking aldaar.
  • twaalf interviews af te nemen naar aanleiding van de resultaten uit de Monitor Open Standaarden om succesfactoren en knelpunten te achterhalen met betrekking tot de adoptie van open standaarden.

Internet- en beveiligingsstandaarden 

Verplichtingen 

Streefbeeldafspraken

• Het ondersteunen van het OBDO om achterblijvende overheden en achterliggende leveranciers aan te sporen tot nakomen van de
• onderzoek te doen naar standaarden voor nieuwe

Wettelijke verplichtingen

• het ondersteunen van BZK met advies (o.a. over communicatie) voor huidige AMvB HTTPS en HSTS aan BZK, en meten van actueel gebruik.
• Het ondersteunen van BZK met onderzoek naar mogelijk nieuwe AMvB’s om te kunnen voorzien in advies hierover.«

‘Pas toe of leg uit’

• Het ondersteunen van het OBDO met advies over (adoptiebevordering van) IV- standaarden waarvoor een ‘pas toe of leg uit’-verplichting geldt.

Meten

• het twee keer uitvoeren van en presenteren in OBDO en Forum Standaardisatie over de Meting Informatieveiligheidstandaarden en BZK te ondersteunen met het sturen van de meting aan de Tweede Kamer.

Samenwerkingsverbanden

• Platform Internetstandaarden / nl
• Deelname in project team en
• Coördinatie nieuwe nl en dashboard releases.
• Mede-organiseren van twee API/dashboard-
• Internationale activiteiten (IGF, GFCE, contact met andere gebruikers nl-broncode).
  • Betrouwbare Overheidsmail (BOM)

het organiseren en voorzitten van BOM-bijeenkomsten voor overheidsorganisaties; het uitwisselen van best practices, bekende problemen en het gezamenlijk optrekken richting leveranciers.

• Veilige Email Coalitie (VEC)

het mede-organiseren van VEC-bijeenkomsten voor mailproviders en leveranciers, gericht op kennisuitwisseling en stimulering, met als doel dat ook e-mailvoorzieningen van het MKB gaan voldoen aan moderne, veilige mailstandaarden.

• MESSEU (genoemd onder punt internationaal 4).«

Implementatieadvies

• het proactief aansporen van overheidsorganisaties en leveranciers met concreet implementatieadvies.
• het fungeren als vraagbaak voor
• het presenteren van adoptiecijfers, nieuwe standaarden en verplichtingen rond IV-standaarden.
• het maken van how-to’s en laagdrempelige

Domeinnamen

• ter ondersteuning van OBDO overheden via voorlichting aan te sporen om regie op internetdomeinen in te richten, zodat zij zelf gaan sturen op het voldoen aan open standaarden voor de domeinen en de achterliggende online
• deelname aan realisering 1-overheids subdomeinnaamextensie
  *.overheid.nl (samenwerking met BZK/DS, CIO-Rijk, AZ/DPC) om de implementatie van de verplichte internetstandaarden op het domein te ondersteunen en te bevorderen.
• deelname in het project Register Internetdomeinnamen Overheid RIO (samenwerking met BZK/DS, AZ/DPC, KOOP) om de implementatie van de verplichte internetstandaarden op de internetdomeinnamen te ondersteunen en te bevorderen.

Toegankelijkheids- en contentstandaarden

• nl, de Pleio community website voor digitaal toegankelijk te publiceren en de beslisboom voor documentformats te onderhouden.
• het actueel houden en delen van in kaart gebrachte 'beste overwegingen' voor publiceren van content.
• met RDDI, ACOI, minBZK, ICTU en DocDirekt om tafel te gaan om af te stemmen over implementatie van beleid voor digitaal toegankelijk «
• in gesprek te gaan met SSC-ICT en Microsoft om het gebruik van open standaarden op DWR te bevorderen.«

API’s

• te participeren aan bijeenkomsten voor het Kennisplatform APIs en deelname in de stuurgroep om het toepassen van de REST API standaarden te

Communicatie

• laagdrempelig communicatiemateriaal en hulpmiddelen te maken voor overheid en bedrijfsleven over de wettelijk verplichte standaarden, de streefbeeldafspraken en de ‘pas toe of leg uit’-standaarden inclusief de cybersecurity standaarden (filmpje, plaatje etc.) in relatie tot use cases.
• door voor alle standaarden op de 'pas toe of leg uit'-lijst een concreet gebruiksvoorbeeld te beschrijven om de maatschappelijke meerwaarde van ‘pas toe of leg uit’-standaarden te verduidelijken (meerjarig actiepunt).

MIDO

• met opdrachtgevers, architecten, CIO-adviseurs…
  • verkennen van mogelijkheden om gebruik open standaarden te vergroten, mede door het verweven ervan in bestaande kaders als BIO-, CIO-toetskaders, inkoopvoorwaarden en bijbehorende PDCA-cycli.
  • bij te dragen aan het beleggen van toezicht op wettelijk verplichte open standaarden (Wdo), waaronder Digitoegankelijk, en ‘pas toe of leg uit’.«
• in samenwerking met CIO Rijk het inzetten op ondersteuning en naleving van het voldoen aan open standaarden als onderdeel van het CIO-oordeel door onder meer 'best practices' te delen die bijvoorbeeld vanuit CIO's geïnitieerd zijn om adoptie te bevorderen en naleving te stimuleren. Bundelen in praktijkverhalen (BZK, AZ/DPC, Nat. Politie, SZW, VWS etc).
• minstens vijf presentaties van de voorzitter in verschillende hoogambtelijke en tactische overheidskoepelgremia waarin bestuurders aangesproken worden op het gebruik van open standaarden (conform OBDO- besluit maart 2021).

Verder

• het in samenwerking met het Kenniscentrum voor beleid en regelgeving leveren van een bijdrage aan de samenhang tussen het Beleidskompas en methoden van multidisciplinair werken, en het stimuleren van inzet van open «
• in samenwerking met BZK in gesprek te gaan met diverse toezichthouders, waaronder ADR«, over naleving, toezicht en handhaving van de afspraken rond de toepassing van open standaarden van de ‘pas toe of leg uit’-lijst en de lijst aanbevolen standaarden en de streefbeeldafspraken. En daarbij mee te nemen de wens om de auditdruk te verkleinen/niet verder te
• Practice what you preach: Als Forum Standaardisatie zelf (blijven) voldoen aan de (relevante) standaarden op lijst open standaarden, lessons learned daaruit gebruiken voor brede adoptie van informatieproducten van het Forum Standaardisatie.
• het inbrengen van perspectief burgers en bedrijven (als maatschappelijke stakeholder) in het Forum (Kafkabrigade, Open State Foundation, PublicSpaces«, Informatieberaad Zorg«, NICTIZ«, bouwstandaarden«, Mens/Eindgebruiker Centraal, Rijksprogramma voor Duurzaam Digitale Informatiehuishouding), als ook van sectorstandaardisatieorganisaties« en beheerders (bijeengebracht) «.
• een manifestatie te organiseren rond het thema open overheid en open technologie in samenwerking met open overheid, open source, open data conform Actieplan open overheid.«
• het adviseren over aankomende verplichte standaarden in Wdo op functioneel toepassingsgebied, duurzaamheid, het beheer en de ondersteuning van de standaard.
• het organiseren van de netwerkbijeenkomst De dag van de Interoperabiliteit (werktitel) om mogelijke oplossingen voor generieke en sectorspecifieke standaardisatievraagstukken toe te lichten.«

4. Forum Standaardisatie draagt bij aan aansluiting van de Nederlandse overheid op Europese en internationale standaardisatie door…

• het uitvoeren van een onderzoek naar de Nederlandse vertegenwoordiging in Europese en internationale standaardisatieactiviteiten, en de manier waarop de overheid deze vertegenwoordiging op strategische standaardisatieonderwerpen kan stimuleren.
• het monitoren van Europese standaardisatieontwikkelingen door deelname aan het Multi Stakeholder Platform on ICT Standardisation.
• het verzamelen en indienen van feedback op het Europese Rolling Plan for ICTStandardisation vanuit de overheid en het verspreiden van het Rolling Plan onder belanghebbenden bij de overheid.
• het organiseren en/of bijdragen aan twee internationale samenwerkingsinitiatieven voor veilig e-mail: MESSEU (alleen overheden) en M3AAWG (publiek-privaat).

Daarnaast wordt de internationale component telkens integraal meegenomen in de activiteiten in de andere genoemde categorieën.

5. Forum Standaardisatie sluit aan bij de governance van de MIDO, GDI en NORA door…

• als lid van de Architectuurraad (voorzitter Forum Standaardisatie) in samenwerking met bureau MIDO de voortgang van de adoptie van open standaarden in de GDI te bewaken en voorstellen te doen voor het aanjagen van de adoptie, ook in relatie tot de NORA en de Architectuur Digitale Overheid. Daarnaast signaleren en adresseren van standaardisatiekansen.
• het met opdrachtgevers, CIO Rijk en OBDO realiseren van betere naleving van de besluitvorming van het OBDO door de leden van het OBDO op het gebied van standaardisatie, mede met licht Plan van Aanpak achterblijvers CIO Rijk en toezicht en handhaving.
• het in afstemming met bureau OBDO voorbereiden en organiseren van de agendapunten, annotatie en stukkenstroom van het Forum Standaardisatie richting SO OBDO en OBDO.
• het volgen van en de voorzitter en/of het Forum Standaardisatie attenderen op relevante ontwikkelingen met betrekking tot de programmeringstafels van de «

6. Forum Standaardisatie versterkt de samenwerking met CIO Rijk voor coördinatie en toezicht op naleving digitaliseringsbeleid rond interoperabiliteit door…

• conform I-strategie Rijk 2021-2025 meer aandacht te vragen voor de feitelijke implementatie van open standaarden in rijksbrede voorzieningen en rijkskaders (bijvoorbeeld door het maken van een vertaalslag van het concreet toepassen van de open standaard in de voorziening).
• ondersteuning te bieden bij het beheren en ontwikkelen van kaders (bijvoorbeeld bij de actualisering van de RijksOverheid Referentie Architectuur (RORA) in samenwerking met ICTU).
• het voldoen aan open standaarden een onderdeel van het CIO-oordeel te laten vormen. De inzet van het Forum Standaardisatie is gericht op ondersteuning en naleving daarvan.
• bij te dragen aan de doorontwikkeling van het CIO-stelsel naar I-stelsel (CTO, CPO, CDO…) met betrekking tot standaardisatie en interoperabiliteit.«

Werkwijze

Behalve de hierboven genoemde actiepunten benoemt dit werkplan enkele onderwerpen die een standaardisatie-effect en een maatschappelijk effect hebben en waarop het (Bureau) Forum Standaardisatie een pioniersfunctie vervult. Deze onderwerpen vallen weliswaar in de marge van de actiepunten uit het werkplan, maar zijn desondanks wel het noemen waard vanwege de voorbeeldfunctie van (Bureau) Forum Standaardisaties voor andere overheden en organisaties.

Het gaat ten eerste om inzet op de informatiehuishouding van het Forum Standaardisatie zelf, met aandacht voor het publiceren van informatie als (linked) open data, actieve openbaarmaking en archivering van vergaderstukken. Hierbij geldt ook het toepassen van digitoegankelijkheid in het publiceren van de lijsten open standaarden kennisproducten van het Forum Standaardisatie en de vergaderstukken. Een tweede aspect is de inzet op communicatie waaronder pionieren in het gebruik van de Forum Standaardisatie-website en nieuwe vormen van sociale media op basis van publieke waarden, zoals mede-initiëren van en deelnemen aan de pilot voor Mastodon Overheid.

7. Capaciteitsverdeling en prioritering

In de verdeling van de capaciteit van Forum en zijn bureau ten aanzien van deze actiepunten wordt rekening gehouden met de volgende beleidsprioriteiten en -ambities:

• Beheren, doorontwikkelen en publiceren van de ‘pas toe of leg uit’-lijst en de lijst aanbevolen standaarden en de adoptie van de standaarden op deze lijsten
• Adviseren rond het halen van de streefbeeldafspraken IV-standaarden (web + e- mail), en de streefbeeldafspraak IPv6.
• Stimuleren dat alle basisregistratie API’s en alle API’s op overheid.nl zijn ontsloten conform de ‘pas toe of leg uit’-standaard (OpenAPI Specification / REST- API Design Rules).
• Stimuleren van uitvraag bij aanbestedingen naar minimaal één relevante
• En stimuleren van het gebruik van relevante standaarden bij GDI-
• Bijdragen aan het BZK DS beleidstraject herkenbare en veilige digitale overheid door onder andere uitvoeren onderzoek domeinnaambeleid en adviseren Register Internetdomeinnamen Overheid (RIO), en verkennen van de kansen van standaardisatie in het beleidsdossier Regie op Gegevens (incl. berichtenverkeer).

8. Rol leden Forum Standaardisatie en wat van hen verwacht

Van de leden van het Forum Standaardisatie worden in ieder geval de volgende activiteiten verwacht:

• het voorbereiden van, bijwonen van en doorgeven aan eigen organisatie en achterban van beslissingen uit de vergaderingen van het Forum Standaardisatie;
• het daarbij betrekken van de eigen organisatie en de achterban;
• het zijn van spreekbuis van het Forum Standaardisatie in eigen achterban;
• het zijn van sponsor van (minstens) één dossier of thema van het Forum Standaardisatie;
• het agenderen van de periodieke informatieveiligheidsmeting en/of monitor open standaarden in een gremium van de eigen achterban.

Het Forum Standaardisatie heeft een status als deskundig gremium op het gebied van interoperabiliteit, standaardisatie en open standaarden en de maatschappelijke meerwaarde ervan. Kenmerkend en uniek voor het Forum Standaardisatie is de deskundigheid, de open en transparante werkwijze en de brede scope door de brede deelname vanuit de publieke sector (rijksoverheid, decentrale overheden, uitvoeringsorganisaties, non-profitorganisaties, zowel vanuit beleid als uitvoering), het bedrijfsleven, de onderzoekswereld en het maatschappelijk veld. Dit maakt het mogelijk om standaardisatie vanuit verschillende invalshoeken aan te jagen, met aandacht voor zowel het beleidsperspectief als de uitvoering als brede toepassing. De leden van het Forum Standaardisatie worden aangesteld op persoonlijke titel vanwege hun deskundigheid, brede blik, breed netwerk en/of affiniteit op het gebied van standaardisatie en procesvernieuwing en/of digitale dienstverlening. Het Forum Standaardisatie kenmerkt zich door een de brede achtergrond van zijn leden. De Staatssecretaris Digitalisering en Koninkrijksrelaties kan in overeenstemming met het Ministerie van Economische Zaken en Klimaat de samenstelling van het Forum Standaardisatie wijzigen.

Aanbiedingsformulier

Overheidsbreed Beleidsoverleg Digitale Overheid

Agendapunt Onderwerp	5e Nieuwe versie basismodel geo-informatie NEN 3610 verplichten aan overheid via plaatsing op de ‘pas toe of leg uit’-lijst (betere gegevensuitwisseling)
Datum behandeling	1 februari 2024
Sponsors Betrokken partijen	Forum Standaardisatie
Contactgegevens	Organisatie : Forum Standaardisatie  Contactpersoon : Hans Laagland  Telefoonnummer : 06-21820789 E-mailadres : hans.laagland@forumstandaardisatie.nl
Doel van de behandeling	Hamerstuk
Eerder behandeld in			Anders: Forum Standaardisatie
Datum behandeling:
Uitkomst behandeling:	Overeenstemming		Geen overeenstemming
Resultaat toets: Gemaakte afspraken:
Discussiepunten Beslispunten	Het OBDO stemt in met: basismodel geo-informatie NEN 3610 (onderdeel van Geo- standaarden) blijven verplichten in de nieuwe versie (2022 nl) aan de overheid (‘pas toe of leg uit’-verplichting) (betere gegevensuitwisseling)
Financiële consequenties Kosten: Dekking:	Eenmalige kosten Jaarlijks terugkerende kosten Ja Nee	: :	nvt nvt Gedeeltelijk
Leeswijzer	In de bijlage vindt u een uitgebreidere toelichting op het proces en onderbouwing van het gevraagde besluit.
Toelichting Ruimte voor aanleiding, voorgeschiedenis, samenvatting, relevante context, zoals betrokken (inter)nationale wet- en regelgeving, vervolgproces.	[bijlagen 5e NEN 3610] Informatie-uitwisseling is essentieel in geval van risico's rondom locatiegebonden activiteiten zoals opslag, het transport en het gebruik van bijvoorbeeld gevaarlijke stoffen. Het basismodel voor geo-informatie NEN 3610 bevordert eenduidige gegevensuitwisseling. De nieuwe versie van NEN 3610 (2022 nl) is beter toegespitst op de huidige eisen binnen het geo-werkveld en vergroot zodoende de uitwisseling en het gebruik van geo-informatie. NEN 3610:2011 op de ‘pas toe of leg uit’-lijst (onderdeel van de Geo-standaarden) is niet de actuele versie. Experts adviseren om NEN 3610 te blijven verplichten in de nieuwe versie (2022 nl) aan de overheid (via ‘pas toe of leg uit’-verplichting). De nieuwe versie is beter toegespitst op de huidige eisen binnen het geo-werkveld en sluit aan bij de huidige (technische) ontwikkelingen en richtlijnen rond informatiemodellering. Er is voldoende draagvlak binnen de Nederlandse overheid en er zijn implementaties van NEN 3610:2022 nl in domeinstandaarden. Experts achten de kosten van implementatie van de nieuwe versie acceptabel. Extra aandacht is nodig voor ondersteuning van de nieuwe versie door softwareleveranciers van domeinspecifieke software. Indiener Geonovum heeft aangegeven dat Geonovum overheidsorganisaties voor langere termijn extra ondersteunt bij het doorvoeren van implementatie van de nieuwe versie van NEN 3610.

5e Betere gegevensuitwisseling geo-informatie: nieuwe versie NEN 3610 verplichten

Vergadering:	Overheidsbreed Beleidsoverleg Digitale Overheid donderdag 1 februari 2024
Documentnummer:	5e2
Aan:	Overheidsbreed Beleidsoverleg Digitale Overheid
Van:	Forum Standaardisatie
Datum:	donderdag 1 februari 2024
Versie:	0.9
Bijlagen:	Forumadvies NEN 3610:2022 nl versiewijziging

Ter besluitvorming

Forumadvies: betere gegevensuitwisseling geo-informatie: nieuwe versie van NEN 3610 verplichten

Advies en samenvatting

Informatie-uitwisseling is essentieel in geval van risico's rondom locatiegebonden activiteiten zoals opslag, het transport en het gebruik van bijvoorbeeld gevaarlijke stoffen. Het basismodel voor geo-informatie NEN 3610 bevordert eenduidige gegevensuitwisseling. De nieuwe versie van NEN 3610 is beter toegespitst op de huidige eisen binnen het geo-werkveld en vergroot zodoende de uitwisseling en het gebruik van geo-informatie.

NEN 3610 (onderdeel van Geo-standaarden) geeft regels voor het eenduidig beschrijven, het uitwisselen en het op het web publiceren van geo-informatie. NEN 3610:2011 op de ‘pas toe of leg uit’-lijst (onderdeel van de Geo-standaarden) is niet de actuele versie. Experts geven aan dat de nieuwe versie (2022 nl) aansluit bij de huidige (technische) ontwikkelingen en

richtlijnen rond informatiemodellering. Er is voldoende draagvlak binnen de Nederlandse overheid voor de nieuwe versie. Er zijn implementaties van het basismodel in domeinstandaarden beschikbaar, o.a. bij Kennisplatform CROW, Kadaster of via Geonovum. Experts achten de kosten van implementatie van de nieuwe versie acceptabel. Extra aandacht is nodig voor ondersteuning van de nieuwe versie door softwareleveranciers van domeinspecifieke software. Indiener Geonovum heeft aangegeven dat Geonovum overheidsorganisaties voor langere termijn extra ondersteunt bij het doorvoeren van implementatie van de nieuwe versie.

Het Forum Standaardisatie adviseert daarom om basismodel geo-informatie NEN 3610 (onderdeel van Geo-standaarden) te blijven verplichten in de nieuwe versie (2022 nl) aan de overheid (‘pas toe of leg uit’-verplichting). Het Forumadvies geeft een nadere onderbouwing.

Belang van de standaard: betere gegevensuitwisseling

NEN 3610 draagt bij aan betere gegevensuitwisseling doordat NEN 3610 ervoor zorgt dat geo-domeinen dezelfde systematiek gebruiken om informatiemodellen met locatiegebonden informatie te beschrijven.

Een eenduidige systematiek binnen het geo-domein bevordert informatievoorziening en - uitwisseling zoals voor voorzieningen voor elektriciteit, telecommunicatie, gas, chemicaliën, drinkwater, afvalwater en warmte. Betere informatie-uitwisseling is essentieel in geval van risico's rondom de opslag, het transport en het gebruik van gevaarlijke stoffen. De activiteiten van opslag, transport en gebruik zijn locatiegebonden en daarom is NEN 3610 voorwaardelijk voor die beschrijving.

Hoe is het proces verlopen?

Geonovum heeft op 30 augustus 2022 NEN 3610:2022 nl aangemeld bij het Bureau Forum Standaardisatie om NEN 3610 in de nieuwe versie (2022 nl) te blijven verplichten aan de overheid via plaatsing op de ‘pas toe of leg uit’-lijst. NEN 3610 is een onderdeel van de Geo- standaarden op de ’pas toe of leg uit’-lijst. Op basis van het intakeadvies heeft het Forum Standaardisatie op 8 februari 2023 besloten de aanmelding in procedure te nemen.

De expertgroep is op 29 juni 2023 bijeengekomen om de standaard te toetsen tegen de criteria en geïdentificeerde aandachtspunten te bespreken. Aan dit expertonderzoek namen vertegenwoordigers deel uit diverse overheden en overheidsdiensten.

Het Bureau Forum Standaardisatie publiceerde het expertadvies ter openbare consultatie op internetconsultatie.nl van 21 september tot en met 22 oktober 2023. In de openbare consultatie zijn geen reacties ontvangen, ondanks dat de openbare consultatie afzonderlijk onder de aandacht is gebracht bij diverse partijen.

Het Forumadvies is opgesteld op basis van het expertadvies en inzichten van de leden van het Forum Standaardisatie.

Het Forum Standaardisatie heeft op 13 december 2023 ingestemd met het Forumadvies.

Over de standaard

NEN 3610:2022 nl is een basismodel voor geo-informatie en geeft regels voor het eenduidig beschrijven, uitwisselen en op het web publiceren van geo-informatie. Het doel van de standaard is het vergroten van de uitwisseling en het gebruik van geo-informatie. NEN 3610:2022 nl biedt een basis voor verdere uitwerking in sectorale modellen.

NEN 3610:2022 nl is de opvolger van NEN 3610:2011/A1:2016. NEN 3610:2022 nl biedt een nieuw semantisch basismodel en is opgesteld conform de richtlijnen van de standaard MIM (Metamodel Informatiemodellering) van de lijst met aanbevolen standaarden van Forum Standaardisatie. De nieuwe versie is afgestemd met de NEN 2660-norm (deel 1 en deel 2).

Daarnaast sluit NEN 3610:2022 nl beter aan op ontwikkelingen van technische uitwisselformaten en op de linked data techniek. NEN 3610:2022 nl is, binnen bepaalde grenzen, backward compatible. Daarnaast zijn andere formaten voor de uitwisseling van geometrie gegevens opgenomen in de nieuwe versie van de standaard, zoals GeoJSON en GeoPackage.

Geonovum bezit het predicaat ‘uitstekend beheer’ voor een groot deel van de afzonderlijke standaarden binnen de registratie Geo-standaarden. Hierdoor is een toetsingsprocedure voor een versiewijziging in beginsel niet nodig is. Het predicaat 'uitstekend beheer' is echter niet van toepassing op NEN 3610 omdat Geonovum de standaard NEN 3610 niet beheert.

NEN (Stichting Koninklijk Nederlands Normalisatie Instituut) beheert de standaard onder de noemer NEN 3610:2022 nl.