Forumadvies verwijderen standaarden

Vergadering: Forum Standaardisatie 28 februari 2024

Agendapunt: 3a

Documentnummer: FS-20240228.3A

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

1. Advies

Het Forum Standaardisatie adviseert om de volgende standaarden niet meer aan te bevelen aan de overheid en deze te verwijderen van de lijst aanbevolen standaarden:

1. betere gegevensuitwisseling
   • declaratieverkeer zorgverzekeraars en zorgverleners EI-Standaarden
   • printen via een netwerk IPP
   • verzenden van data naar en van webservices MTOM
2. veiliger internet
   • toewijzing netwerkadressen DHCP
   • netwerkcommunicatie DNS
   • webcommunicatie HTTP
3. meer toegang en openbaarheid
   • register voor webservices UDDI

Het Forum Standaardisatie adviseert daarnaast om de onderstaande standaarden te blijven aanbevelen aan de overheid en deze niet te verwijderen van de lijst aanbevolen standaarden:

1. Betere gegevensuitwisseling
   • delen en bewerken van kalendergegevens CalDAV
   • communicatie via IP SIP
   • delen en bewerken van documenten WebDav
2. Veiliger internet
   • e-mail synchronisatie IMAP

Deze zeven standaarden voldoen niet meer aan een of meer van de basiscriteria en/ of inhoudelijke criteria voor de lijst open standaarden (zoals EI-standaarden, IPP). Een aantal standaarden wordt weinig meer gebruikt (zoals UDDI), er is in de praktijk geen alternatief voor deze standaard (DHCP) of de standaard behoeft geen extra ondersteuning meer (MTOM). Voor DNS en HTTP geldt dat de beveiligde versie ervan op de ‘pas toe of leg uit’-lijst staat. Voor deze groep geldt dat het blijven aanbevelen van deze standaarden het ‘pas toe of leg uit’-beleid kan ondermijnen omdat gebruikers kunnen denken (of als excuus kunnen aanvoeren) dat niet-secure versies van deze standaarden ook nog gebruikt mogen worden.

Het Forum Standaardisatie voert onderhoud uit op de lijst aanbevolen standaarden. Het gaat om standaarden die op de lijst geen toegevoegde waarde meer hebben. Standaarden kunnen met de tijd minder relevant, overbodig, of juist heel gangbaar worden. Forum Standaardisatie hoeft deze standaarden niet meer aan te bevelen om het gebruik te bevorderen. Deze standaarden kunnen natuurlijk wel gebruikt blijven.

Het Forum heeft daarom elf standaarden getoetst om deze niet meer aan te bevelen aan de overheid en te verwijderen van de lijst aanbevolen standaarden. Iedere standaard afzonderlijk is op hoofdlijnen beoordeeld tegen de criteria voor opname op de lijst. De toetsing vond plaats via één gecombineerde toetsingsprocedure. Van deze elf getoetste standaarden is het advies om zeven standaarden niet meer aan te bevelen aan de overheid.

In de rest van dit document worden bovenstaande adviezen per standaard nader onderbouwd. Hoofdstuk 2 beschrijft het proces waarmee dit advies tot stand kwam. Hoofdstuk 3 geeft een korte uitleg van het nut en de werking van de standaarden en documenteert de toetsing van de standaarden tegen de criteria voor opname op de lijst.

Tenslotte geeft hoofdstuk 4 een aantal aanvullende adviezen aan het Forum Standaardisatie en het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO).

2. Betrokkenen en proces

2.1. Gevolgde procedure

In de vergadering van het Forum Standaardisatie van 20 april 2022 presenteerde Paul Dam van Lex Digitalis de conclusies van zijn onderzoek naar de doorontwikkelingen van de ‘pas toe of leg uit’-lijst en de lijst aanbevolen open standaarden. Hieruit kwam een aantal adviezen voort dat het Forum Standaardisatie in de vergadering van 20 april 2022 onderschreef. Een van de adviezen was om een actiever onderhoud te plegen op de lijst aanbevolen standaarden en standaarden te verwijderen die op de lijst geen toegevoegde waarde meer hebben.

Bureau Forum Standaardisatie identificeerde daarop de standaarden die in aanmerking komen ter verwijdering. Hiervoor hanteerde het Bureau dezelfde criteria die in de intakes (basiscriteria) en toetsingsprocedures (inhoudelijke hoofdcriteria) gebruikt worden. Als een standaard op de lijst niet (meer) aan één of meer van deze criteria lijkt te voldoen, komt deze in aanmerking voor een verwijderingsprocedure.

De Stuurgroep Open Standaarden besprak de conceptlijst verwijderbare standaarden op 17 november 2022 en daarna volgde een schriftelijke commentaarronde onder de leden van het Forum Standaardisatie die tot 17 januari 2023 duurde.

In de vergadering van het Forum Standaardisatie van 8 februari 2023 is de leden van het Forum Standaardisatie gevraagd om de lijst standaarden ter verwijdering te bespreken en vast te stellen.

Hierop volgend heeft de procedurebegeleider in overleg met de indiener en Bureau Forum Standaardisatie een expertgroep samengesteld. De leden van de expertgroep hebben een voorbereidingsdossier gekregen dat is samengesteld met informatie uit het voorbereidend onderzoek van het Bureau Forum Standaardisatie en procedurebegeleider Lost Lemon. Voorafgaand aan de expertbijeenkomst heeft de expertgroep dit voorbereidingsdossier doorgenomen en aandachtspunten geïdentificeerd.

De expertgroep is op 31 augustus 2023 bijeengekomen om de bevindingen in het algemeen en de geïdentificeerde aandachtspunten in het bijzonder te bespreken. De resultaten van de expertconsultatie zijn vastgelegd in het expertadvies versie 1.0. Op 22 december 2023 is een omissie in het expertadvies hersteld; het betrof het ontbreken van een aanvullend advies over ruimer interpreteren van basiscriterium (opgenomen als advies drie in H.4 Aanvullende adviezen van dit Forumadvies). Deze nieuwe versie van het expertadvies is gepubliceerd als expertadvies versie 1.1.

Het Bureau Forum Standaardisatie heeft het expertadvies (versie 1.0 en vanaf 22 december 2023 versie 1.1) ter openbare consultatie gepubliceerd op internetconsultatie.nl van 30 november 2023 tot 15 januari 2024.

Dit Forumadvies is opgesteld op basis van het expertadvies, reacties uit de openbare consultatie en inzichten van de leden van het Forum Standaardisatie zelf. Indien het Forum Standaardisatie instemt met dit advies, wordt het aan het OBDO ter besluitvorming voorgelegd.

2.2. Samenstelling van de expertgroep

Forum Standaardisatie streeft naar een representatieve expertgroep met een evenwichtige publiek-private vertegenwoordiging van (toekomstige) gebruikers, leveranciers, wetenschappers en andere belanghebbenden.

Aan de expertbijeenkomst hebben deelgenomen:

• Maarten Aertsen, NLnet Labs
• Paul Dekkers, SURF
• Arnoud Quanjer, VNG
• Hans Sinnige, RINIS

Een schriftelijke bijdrage is geleverd door:

• Evert Dekkers, Ketenbureau i-Sociaal Domein
• Dirk Linden, Kennisnet
• Martin van der Plas, Logius
• Remo van Rest, ZIN

Arjen Brienen en Marieke Doorenbosch, beide adviseur bij Lost Lemon, hebben de procedure in opdracht van het Bureau Forum Standaardisatie begeleid.

Hans Laagland en Han Zuidweg van het Bureau Forum Standaardisatie waren als toehoorder bij de expertbijeenkomst aanwezig.

2.3. Resultaat van het expertonderzoek

De geconsulteerde experts hebben geadviseerd om de volgende standaarden niet meer aan te bevelen aan de overheid en deze te verwijderen van de lijst aanbevolen standaarden:

• toewijzing netwerkadressen DHCP
• netwerkcommunicatie DNS
• declaratieverkeer zorgverzekeraars en zorgverleners EI-Standaarden
• webcommunicatie HTTP
• printen via een netwerk IPP
• verzenden van binaire data naar en van webservices MTOM
• register voor webservices UDDI

De geconsulteerde experts hebben daarnaast geadviseerd om deze onderstaande standaarden te blijven aanbevelen aan de overheid en deze niet te verwijderen van de lijst aanbevolen standaarden:

• delen en bewerken van documenten WebDav
• delen en bewerken van kalendergegevens CalDAV
• e-mail synchronisatie IMAP
• communicatie via IP SIP

Het expertonderzoek heeft daarnaast in de beoordeling van de elf standaarden aanleiding gezien voor een herziening van of ruimere interpretatie van het basiscriterium "de standaard moet toepasbaar zijn op elektronische gegevensuitwisseling tussen en met (semi-)overheidsorganisaties". De experts hebben verschillende adviezen gegeven (zie hoofdstuk ‘4 Adviezen bij opname van de standaard’).

2.4. Resultaat van de openbare consultatie

In de openbare consultatie werden dertien reacties ontvangen (waarvan tien reacties zijn gepubliceerd). Twee personen en organisaties hebben aangegeven dat hun persoonsgegevens openbaar zijn. De overige personen die hebben gereageerd, hebben kenbaar gemaakt te willen reageren zonder publicatie van persoonsgegevens. Een aantal suggesties uit de reacties is verwerkt in de adviezen in hoofdstuk 4 ‘Aanvullende adviezen’.

Van de dertien ontvangen reacties zijn zeven positieve ondersteuningen, vijf met opmerkingen zonder blokkerende bezwaren (geen tegenstanders) en één reactie met opmerkingen die zodanig waren geformuleerd dat zij niet relevant waren voor deze consultatie. Vanwege het aantal reacties zijn deze gegroepeerd op de inhoudelijke onderdelen.

Een aantal respondenten spreekt zich uit tegen het niet meer aanbevelen van HTTP, DNS en IMAP, omdat deze standaarden nog steeds veel worden gebruikt en in een aantal gevallen noodzakelijk zijn. Bij niet meer aanbevelen van HTTP en DNS moeten HTTPS en DNSSEC op de ‘pas toe of leg uit’-lijst gehandhaafd blijven. Een aantal respondenten geeft aan dat het wenselijk is een versleutelde variant van IMAP te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) via de lijst open standaarden.

Een aantal respondenten spreekt zich uit tegen het verwijderen van DHCP omdat deze nog cruciaal is voor IP-verkeer. Een respondent spreekt zich uit tegen de verwijdering van IPP omdat het nog steeds een cruciale standaard is.

Een van de respondenten geeft aan dat er teveel naar de individuele standaarden wordt gekeken. De respondent vindt dat een groep standaarden, zoals standaarden voor het domein beveiliging, in zijn geheel geëvalueerd zou moeten worden. 

Alhoewel geen onderdeel van het onderzoek beveelt een aantal respondenten aan ook FTP niet meer aan te bevelen aan de overheid, en deze te vervangen voor SFTP.

Een aantal respondenten maakt zich zorgen over het niet meer aanbevelen van de standaarden uit deze verwijderingsprocedure in relatie tot groeiende machtspositie van grote tech bedrijven (zogenoemde big tech bedrijven) en het feit dat deze bedrijven lang niet altijd open standaarden goed en volledig ondersteunen. Deze respondenten vragen aandacht om vendor lock-in te voorkomen en willen daarom standaarden blijven aanbevelen aan de overheid.

3. Toetsing op basis- en inhoudelijke criteria

Een standaard moet aan een aantal basiscriteria en inhoudelijke criteria voldoen om op de lijst open standaarden te staan. Voor het verwijderen van standaarden van de lijst open standaarden is gekeken naar de basiscriteria en de inhoudelijke criteria. De basiscriteria zijn criteria waaraan een standaard moet voldoen om te bepalen of de standaard in aanmerking komt voor plaatsing op de lijst open standaarden. De vier inhoudelijke hoofdcriteria toetsen of een standaard geschikt is om te verplichten of aan te bevelen aan de overheid. Deze criteria zijn gebruikt om te bepalen of een standaard in aanmerking komt voor verwijdering van de lijst aanbevolen standaarden. Weging van de volgende criteria leidt tot het advies:

Basiscriteria:

1. Is de standaard toepasbaar voor elektronische gegevensuitwisseling tussen en met (semi-)overheidsorganisaties?
2. Is het beoogde werkingsgebied van de standaard substantieel breed om bij te dragen aan de interoperabiliteit van de (semi-)overheid?
3. Lost de standaard een bestaand interoperabiliteitsprobleem op en voorkomt de standaard leveranciersafhankelijkheid?
4. Is de standaard niet reeds wettelijk verplicht?

Inhoudelijke criteria:

1. Toegevoegde waarde: wegen de interoperabiliteitswinst en andere voordelen van adoptie van de standaard overheidsbreed en maatschappelijk op tegen de risico’s en nadelen?
2. Draagvlak: hebben aanbieders en gebruikers voldoende positieve ervaring met de standaard?
3. Open Standaardisatieproces: Hebben aanbieders en gebruikers voldoende positieve ervaring met de standaard?
4. Opname op de lijst bevordert adoptie: Is opname op de lijsteengeschikt middel om de adoptie van de standaard te bevorderen?

Ieder van deze hoofdcriteria heeft deelcriteria die beschreven staan in de Handleiding toetsingsprocedure en criteria. Dit hoofdstuk beschrijft per standaard per criterium het resultaat van de toetsing op basis van de uitkomsten van het expertonderzoek en de reacties uit de openbare consultatie.

3.1. WebDAV

3.1.1. Over de standaard

Web Distributed Authoring and Versioning (WebDAV) wordt toegepast voor het delen en bewerken van documenten en mappen over HTTPS. WebDAV maakt het mogelijk op afstand (over HTTPS) de eigenschappen van een document, de locatie van een document op een server, en de inhoud van een document te bewerken en documenten aan te maken en te verwijderen, zoals bijvoorbeeld in een web-based documentmanagementsysteem. Ook maakt WebDAV het mogelijk mappen en bestanden met elkaar te delen. WebDAV is een uitbreiding op het Hypertext Transfer Protocol (HTTPS).

3.1.2. Toetsing standaard

Het advies is WebDAV niet te verwijderen van de lijst aanbevolen standaarden, en daarbij het functioneel toepassingsgebied van WebDAV aan te passen zodat er geen overlap meer is met de standaard FTP, die ook op de lijst aanbevolen standaarden staat.

Uit het onderzoek blijkt dat de standaard niet is ingehaald door een open alternatief. Het onderzoek bestrijdt het argument dat de standaard inmiddels is ingehaald door modernere technologie (inhoudelijk criterium: toegevoegde waarde). WebDAV wordt nog steeds breed wordt gebruikt en heeft voldoende draagvlak (inhoudelijk criterium: draagvlak).

WebDAV is weliswaar lastig te implementeren, maar er is geen open alternatief voor WebDAV. WebDAV is met name nuttig als open standaard in geval een organisatie voor een exit kiest bij een proprietary cloudprovider. In geval van een exit van een overheidsorganisatie bij een proprietary leverancier is het nuttig om een open standaard als alternatief beschikbaar te hebben (exit-protocol). Door een open alternatief aan te bevelen kunnen overheden proberen druk te leggen op leveranciers om hun leveranciersdiensten meer open te maken of te laten werken met open standaarden.

Uit het onderzoek komt het aanvullende advies aan Forum Standaardisatie om het functioneel toepassingsgebied van WebDAV aan te passen, zodat er geen overlap meer is met de standaard FTP, die ook op de lijst aanbevolen standaarden staat.

3.2. CalDAV

3.2.1. Over de standaard

Calendar extensions to WebDAV (CalDAV) wordt toegepast voor het delen en bewerken van kalendergegevens (in iCalendar-formaat), indien direct over HTTPS gewerkt wordt. CalDAV specificeert een manier voor toegang, bewerken en het delen van agenda-informatie en het plannen in agenda’s, voortbouwend op het iCalendar-format. CalDAV is een uitbreiding van WebDAV (zie paragraaf 3.1). Aangezien het een profiel is op WebDav staan ze gezamenlijk op de lijst aanbevolen standaarden.

3.2.2. Toetsing standaard

Het advies is CalDAV niet te verwijderen van de lijst aanbevolen standaarden, en daarbij om CalDAV te verplichten aan overheden (‘pas toe of leg uit’-verplichting) en in procedure te nemen voor op 'pas toe of leg uit'-status..

Uit het onderzoek blijkt dat CalDAV niet alleen voornamelijk binnen organisaties wordt gebruikt (basiscriterium). Het is belangrijk om tussen cloudproviders mail- en kalenderdata te kunnen migreren/ uitwisselen en CalDAV is een open standaard waarmee dat kan. Het komt bijvoorbeeld voor dat een overheidsorganisatie met een rol als ICT-dienstverlener op basis van deze standaard diensten levert aan een andere overheidsorganisatie, waarbij de uitwisseling van agendagegevens noodzakelijk is.

Tevens moeten overheden een fall back scenario hebben om agendagegevens te kunnen delen met burgers, in geval van een exit bij een proprietary cloudprovider. In geval van een exit van een overheidsorganisatie bij een proprietary leverancier is het nuttig om een open standaard als alternatief beschikbaar te hebben (exit-protocol). Door een open alternatief aan te bevelen (of te verplichten) kunnen overheden proberen druk te leggen op leveranciers om hun leveranciersdiensten meer open te maken of te laten werken met open standaarden.

Uit het onderzoek komt het aanvullende advies aan Forum Standaardisatie om CalDAV te verplichten aan overheden (‘pas toe of leg uit’-verplichting) en in procedure te nemen voor op 'pas toe of leg uit'-status.

3.3. DHCP

3.3.1. Over de standaard

Dynamic Host Configuration Protocol (DHCP) maakt het mogelijk om automatisch netwerkadressen toe te wijzen aan hosts en maakt het bijvoorbeeld ook mogelijk om de netwerkadressen van DNS server mee te sturen. Het DHCP-protocol specificeert een framework dat het mogelijk maakt om configuratie-informatie door te sturen naar hosts op een TCP/IP netwerk.

3.3.2. Toetsing standaard

Het advies is DHCP wel te verwijderen van de lijst aanbevolen standaarden.

Uit het onderzoek is niet naar voren gekomen dat DHCP wordt gebruikt over de grenzen van organisaties heen (basiscriterium). Het onderzoek bevestigt dat DHCP heel gangbaar is: er is in de praktijk geen alternatief voor deze standaard. Forum Standaardisatie hoeft de standaard daarom niet meer aan te bevelen om het gebruik te bevorderen. Ook als Forum Standaardisatie DHCP niet meer aanbeveelt, kan de standaard natuurlijk wel gebruikt blijven. Voor het blijven aanbevelen van DHCP aan de overheid is het raadzaam om DHCP voor IPv6 aan te bevelen.

3.4. DNS

3.4.1. Over de standaard

Domain Name System (DNS) maakt het mogelijk dat URL's op de achtergrond vertaald worden naar ip-adressen zodat hosts op het netwerk elkaar kunnen vinden, zonder dat de gebruiker ziet welk ip-adres er gekoppeld is aan een URL.

3.4.2. Toetsing standaard

Het advies is DNS wel te verwijderen van de lijst aanbevolen standaarden.

Het onderzoek wijst op het belang van DNS. Het Forum Standaardisatie verplicht DNSSEC (‘pas toe of leg uit’-verplichting) vanaf 2012, waarin normatief relevante specificaties van DNS zijn opgenomen. Deze verplichting is sinds 2017 verzwaard met een streefbeeldafspraak (bestuurlijke afspraak om open standaarden te implementeren). Dit borgt het gebruik van DNS voldoende en maakt het afzonderlijk aanbevelen van DNS niet meer nodig.

Daarnaast geeft handhaven van DNS op de lijst aanbevolen standaarden een verwarrend signaal. DNSSEC is een uitbreiding van DNS en staat op de ‘pas toe of leg uit’-lijst als verplichte standaard. Gebruikers zouden kunnen denken dat DNSSEC weliswaar verplicht is, maar dat DNS ook nog aanbevolen wordt en dus ook nog gebruikt mag worden. De specificaties van DNSSEC verwijzen bovendien al normatief naar de relevante specificaties van DNS, waardoor handhaving van DNS op de lijst onnodig is. Ook als Forum Standaardisatie DNS niet meer aanbeveelt, kan de standaard wel gebruikt blijven.

3.5. EI-Standaarden

3.5.1. Over de standaarden

Externe Integratiestandaarden (EI) is een set declaratieberichten en bijbehorende retourberichten ten behoeve van het declaratieverkeer tussen zorgverzekeraars en zorgverleners in het kader van de zorgverzekeringswet. Het gaat om semantische standaarden. Een EI-standaard bestaat uit een standaardbeschrijving en berichtspecificaties. Voorbeelden van EI-berichten zijn: indicatiebesluitbericht, zorgtoewijzingbericht, melding aanvangzorgbericht en mutatie-/eindezorgbericht.

3.5.2. Toetsing standaard

Het advies is de EI-standaarden wel te verwijderen van de lijst aanbevolen standaarden.

Uit het onderzoek blijkt dat de EI-standaarden niet sector-overschrijdend worden gebruikt (basiscriterium). De EI-standaarden zijn nog steeds actueel. Ook worden de verschillende berichten breder gebruikt dan alleen de Wet langdurige zorg (Wlz). Desalniettemin zijn de standaarden voor zeer specifiek toepassingsgebied en wordt het gebruik ervan al via andere wegen afgedwongen. Ook is het bevorderen van adoptie van EI-standaarden via plaatsing op de lijst aanbevolen standaarden niet meer nodig, omdat het gebruik van deze standaard wordt afgedwongen via andere wegen in de Zorgsector (inhoudelijk criterium). De beheerorganisatie van EI-standaarden geeft aan dat de lijst aanbevolen standaarden niet meer nodig is als adoptie-instrument voor EI-standaarden.

3.6. HTTP

3.6.1. Over de standaard

Hypertext Transfer Protocol (HTTP) is de standaard die communicatie tussen een webcliënt (zoals een browser) en een webserver (een website) mogelijk maakt. De standaard beschrijft welke verzoeken de cliënt aan de server kan sturen, en welke antwoorden de server kan teruggeven.

Inmiddels wordt HTTP ook voor veel andere doeleinden gebruikt dan alleen voor de communicatie van een browser met een website. Zo wordt HTTP gebruikt bij de implementatie van Web Services en REST APIs, en ook als basis voor applicatiestandaarden zoals WebDAV (zie paragraaf 3.1).

3.6.2. Toetsing standaard

Het advies is HTTP wel te verwijderen van de lijst aanbevolen standaarden.

Het onderzoek wijst weliswaar op het belang van HTTP. Het blijven verplichten van HTTPS via de wettelijke verplichting (Wet digitale overheid) en via streefbeeldafspraak van Forum Standaardisatie (bestuurlijke afspraak om open standaarden te implementeren) borgt het gebruik van HTTP voldoende en maakt het afzonderlijk aanbevelen van HTTP niet meer nodig.

Het onderzoek ging in op het argument om HTTP van de lijst aanbevolen standaard te verwijderen, nl. dat de veilige variant HTTPS op de ‘pas toe of leg uit’-lijst staat en per 1 juli 2023 wettelijk verplicht is door de Wet digitale overheid voor beveiligen van publiek toegankelijke websites en webapplicaties. Handhaven van HTTP op de lijst aanbevolen standaarden geeft een verwarrend signaal. Gebruikers zouden kunnen denken dat het Forum Standaardisatie HTTP blijft aanbevelen ondanks de wettelijke verplichting voor HTTPS. De specificatie van HTTPS verwijst al normatief naar HTTP, waardoor handhaving van HTTP op de lijst onnodig is (basiscriterium). Ook als Forum Standaardisatie HTTP niet meer aanbeveelt, kan de standaard wel gebruikt blijven.

3.7. IMAP

3.7.1. Over de standaard

De Internet Message Access Protocol (IMAP) standaard beschrijft een protocol voor het synchroniseren van e-mail tussen een e-mailserver en eindgebruikers e-mailapplicatie. E-mail wordt daarbij niet van de server geladen naar de eindgebruikersapplicatie (zoals bij het protocol POP3) maar blijft op de server aanwezig. Hierdoor is het mogelijk om berichten te verwijderen, bekijken en organiseren vanaf iedere locatie. IMAP wordt vaak in zakelijke omgevingen gebruikt in combinatie met het protocol SMTP, dat zorgt voor de verzending en ontvangen van e-mail over het internet.

3.7.2. Toetsing standaard

Het advies is IMAP niet te verwijderen van de lijst aanbevolen standaarden en de huidige registratie van IMAP bij te werken naar nieuwe specificatiedocument dat verwijst naar versleutelde versie. Daarnaast is het advies om IMAP aan te melden voor een procedure om IMAP te verplichten aan de overheid via plaatsing op de 'pas toe of leg uit'-lijst.

Het onderzoek toont aan dat IMAP de enige open standaard is om e-mails te verplaatsen van één e-mail provider naar een ander, bij overstappen naar een andere provider. Behoud van IMAP op de lijst aanbevolen standaarden helpt om leveranciers te stimuleren deze standaard te blijven ondersteunen. IMAP wordt nu nog ondersteund door vrijwel alle grote e-mailproviders. Door IMAP van de lijst te verwijderen, zou Forum Standaardisatie een signaal kunnen geven dat IMAP geen meerwaarde heeft om leveranciersonafhankelijkheid te ondersteunen. De experts vinden dat Forum Standaardisatie moet vermijden een dergelijk signaal te geven.

Uit het onderzoek kwam ook het advies om IMAP aan te melden voor een procedure om IMAP te verplichten aan de overheid via plaatsing op de 'pas toe of leg uit'-lijst, omdat IMAP de enige open standaard is voor synchronisatie van e-mail. Zeker nu grote marktpartijen steeds meer e-mailverkeer afhandelen met proprietary standaarden wijst het onderzoek op het belang van het verplichten van een open standaard voor synchronisatie van e-mail.

Het onderzoek ging in op het argument om IMAP van de lijst aanbevolen standaard te verwijderen, namelijk dat IMAP voornamelijk binnen organisaties gebruikt wordt. De standaard valt daarom strikt genomen buiten de scope van de lijst open standaarden (basiscriterium).

3.8. IPP

3.8.1. Over de standaard

Het Internet Printing Protocol (IPP) zorgt ervoor dat een printserver kan communiceren met verschillende cliënten (meestal desktop en laptopcomputers) waardoor printen via een netwerk mogelijk wordt. Printopdrachten worden naar een server gestuurd en het protocol maakt het mogelijk om verschillende administratieve taken uit te voeren zoals wachttijd van de printopdracht of het annuleren van een printopdracht. De standaard is IP-gebaseerd en kan via een lokaalnetwerk of via het internet worden uitgevoerd. IPP ondersteunt tevens toegangsbeheer, verificatie en codering waardoor het mogelijk is om veilig te printen.

3.8.2. Toetsing standaard

Het advies is IPP wel te verwijderen van de lijst aanbevolen standaarden.

Het onderzoek laat zien dat het niet gebruiken van IPP in de eigen organisatie, geen gevolgen heeft voor andere organisaties. IPP wordt alleen binnen organisaties gebruikt en valt daardoor buiten de scope van de lijst aanbevolen standaarden (basiscriterium).

3.9. MTOM

3.9.1. Over de standaard

Message Transmission Optimization Mechanism (MTOM) is een methode om op efficiënte wijze binaire data naar en van webservices te versturen. MTOM wordt gebruikt voor het efficiënt verzenden van grote hoeveelheden data (bijvoorbeeld attachments) in SOAP-berichten. MTOM wordt bijvoorbeeld gebruikt in Digikoppeling in combinatie met WUS, in de online registratie bij KvK, en het Aktenverkeer met Notarissen. WUS is een acroniem voor WSDL, UDDI en SOAP; daarmee wordt een familie van internationale standaarden van OASIS en W3C bedoeld. Hiernaast wordt verwacht dat het uitwisselen van gegevens met overheidsorganisaties nog meer relevant wordt wanneer brondocumenten worden uitgewisseld tussen basisregistraties.

3.9.2. Toetsing standaard

Het advies is MTOM wel te verwijderen van de lijst aanbevolen standaarden.

Het onderzoek laat zien dat het gebruik van MTOM via DigiKoppeling al verplicht is voor toepassingen waar deze standaard relevant is. Het onderzoek gaat daarin mee met het argument dat MTOM geen extra ondersteuning meer nodig heeft om het gebruik ervan te stimuleren door MTOM afzonderlijk aan te bevelen via de lijst aanbevolen standaarden. Als beheerder van Digikoppeling ziet Logius geen bezwaar om MTOM niet meer aan te bevelen.

3.10. SIP

3.10.1. Over de standaard

Het Session Initiation Protocol (SIP) wordt gebruikt voor telefoongesprekken over het internet, multimedia distributie en multimedia uitzendingen. In de praktijk wordt deze standaard veel gebruikt voor VOIP (Voice over IP) applicaties, oftewel bellen over het internet. SIP wordt gebruikt voor het opzetten, aanpassen en afsluiten van mediasessies met één of meerdere deelnemers. SIP gebruikt net als HTTP tekstboodschappen tussen cliënten en servers, en de structuur van deze boodschappen lijkt ook op die van HTTP. De standaard is qua toepassingen vergelijkbaar met H.323 (standaard voor multimedia-communicatie).

3.10.2. Toetsing standaard

Het advies is SIP niet te verwijderen van de lijst aanbevolen standaarden, en daarbij het functioneel toepassingsgebied van SIP aan te scherpen zodat er geen overlap meer is met de standaard WebRTC, die ook op de lijst aanbevolen standaarden staat.

Argument om SIP van de lijst aanbevolen standaarden te verwijderen is dat het functioneel toepassingsgebied van SIP overlapt met dat van WebRTC (Web Real-Time Communication) (lijst aanbevolen standaarden) dat van deze twee de modernere standaard is.

Het onderzoek laat zien dat SIP en WebRTC verschillende functionaliteiten en niet hetzelfde toepassingsgebied hebben. SIP moet vooral uitgevraagd worden bij aanschaf van een internet-telefoniesysteem dat gekoppeld moet worden aan telefoondiensten van andere organisaties en hun leveranciers, en aan het openbare telefoonnet. WebRTC wordt het meest gebruikt voor audiogesprekken die vanuit de browser en direct tussen eindgebruikers opgezet worden. SIP is daarbij een essentiële bouwsteen bij de invulling van de wettelijke interoperabiliteit voor telecom-netwerkaanbieders. SIP garandeert dat klanten van verschillende netwerkaanbieders elkaar kunnen bellen. Door het functioneel toepassingsgebied aan te scherpen vervalt de overlap met WebRTC.

Daarnaast geeft het onderzoek aan dat SIP deels verdrongen is door proprietary systemen voor telefoneren en videobellen over het internet. In geval van een exit van een overheidsorganisatie bij een proprietary leverancier is het nuttig om een open standaard als alternatief beschikbaar te hebben (exit-protocol). Door een open alternatief aan te bevelen kunnen overheden proberen druk te leggen op leveranciers om hun leveranciersdiensten meer open te maken of te laten werken met open standaarden.

3.11. UDDI

3.11.1. Over de standaard

Universal Description, Discovery, and Integration (UDDI) is een open standaard voor een register van webservices. UDDI maakt het mogelijk maakt voor organisaties om webservices (applicaties die via het web toegankelijk zijn) te publiceren en te zoeken. UDDI beschrijft webservices in een op XML gebaseerd, machine leesbaar formaat. Daardoor kan een client applicatie inzien hoe de webservice moet worden aangeroepen, en wat de structuur is van de data die terug wordt geleverd. UDDI ondersteunt alleen de publicatie- en zoekfunctie, niet de protocollen voor het gebruik van de webservices zelf.

3.11.2. Toetsing standaard

Het advies is UDDI wel te verwijderen van de lijst aanbevolen standaarden.

Uit het onderzoek komt naar voren dat UDDI in de praktijk niet wordt gebruikt. Het onderzoek richtte zich bij het verwijderen van UDDI van de lijst aanbevolen standaarden op het gegeven dat het idee was dat er een wereldwijd netwerk zou ontstaan van Web Services, een soort World Wide Web maar dan voor applicaties, maar dit nooit werkelijkheid is geworden. Hoewel UDDI nog door OASIS wordt beheerd, wordt de standaard weinig gebruikt. Voor REST APIs van de overheid bestaat inmiddels het register developer.overheid.nl. Daarnaast schrijft DigiKoppeling voor hoe de overheid Web Services moet gebruiken. Geen van beiden maakt gebruik van UDDI. Als beheerder van Digikoppeling ziet Logius geen bezwaar om UDDI niet meer aan te bevelen. Vanuit Logius Standaarden is vooral vraag naar API’s en ebMS3. Beide hebben andere standaarden en methoden voor discovery van services en API’s.

4. Aanvullende adviezen

Naar aanleiding van de gevoerde discussies met betrekking tot bovengenoemde standaarden, zijn een aantal andere standaarden en/of onderwerpen ter sprake gekomen. Hierover geeft het Forum Standaardisatie de volgende adviezen:

1. aan belanghebbende partijen (waaronder partijen die bij de procedure waren betrokken) om binnen een jaar CalDAV aan te melden bij het Forum Standaardisatie voor het starten van een procedure om CalDAV te verplichten aan de overheid ('pas toe of leg uit'-verplichting). Dit, omdat CalDAV de enige open standaard is waarmee kalenderinformatie gedeeld kan worden en grote aanbieders op dit vlak steeds meer macht krijgen met eigen proprietary standaarden;
2. aan belanghebbende partijen om binnen een jaar IMAP (waaronder partijen die bij de procedure waren betrokken) aan te melden bij het Forum Standaardisatie voor het starten van een procedure om IMAP te verplichten aan de overheid ('pas toe of leg uit'-verplichting), omdat IMAP de enige open standaard is voor synchronisatie van e-mail. Zeker nu grote marktpartijen steeds meer mailverkeer afhandelen is het van belang dat een open standaard verplicht wordt;
3. aan het Forum Standaardisatie om binnen een jaar te onderzoeken of het basiscriterium "de standaard moet toepasbaar zijn op elektronische gegevensuitwisseling tussen en met (semi-)overheidsorganisaties" ruimer moet worden geïnterpreteerd of moet worden herzien voor gegevensuitwisseling met leveranciers, zodat de aanbeveling of verplichting van standaarden ook geldt voor gegevensuitwisseling binnen organisaties waar de leveranciersonafhankelijkheid en/ of digitale soevereiniteit cruciaal zijn. Het betreft het basiscriterium: “2.1 Is de standaard toepasbaar voor elektronische gegevensuitwisseling tussen (semi-)overheidsorganisaties en bedrijven, tussen (semi-)overheidsorganisaties en burgers of tussen (semi-)overheidsorganisaties onderling?” uit de Handleiding: toetsingsprocedure en criteria.

Nadere toelichting: software-as-a-service-dienstverlening zorgt steeds vaker dat gegevensuitwisseling tussen organisaties via een (cloud van een) leverancier loopt. Juist in de context van toenemende marktconcentratie en leveranciersafhankelijkheid, ingebakken in de architectuur van diensten, zijn open standaarden belangrijk. Aanleiding voor dit advies (van een expert) is de constatering van een expert dat de nauwe interpretatie van het basiscriterium herhaaldelijk als argument werd gebruikt voor het niet meer aanbevelen van de besproken standaarden;

4. aan het Bureau van het Forum Standaardisatie om binnen twee jaar het functioneel toepassingsgebied van WebDAV en FTP te onderzoeken op mogelijk overlap en indien nodig de functioneel toepassingsgebieden te herformuleren (via een procedure indien de aard van de herformulering daarom vraagt);
5. aan het Bureau van het Forum Standaardisatie om binnen twee jaar het functioneel toepassingsgebied van SIP en WebRTC te onderzoeken op mogelijk overlap en indien nodig de functioneel toepassingsgebieden te herformuleren (via een procedure indien de aard van de herformulering daarom vraagt);
6. aan het Bureau van het Forum Standaardisatie om binnen twee jaar de registratie IMAP op lijst aanbevolen bij te werken naar het specificatiedocument RFC 9051 dat verwijst naar versleutelde versie van IMAP (via een procedure indien de aard van de (versie)wijziging daarom vraagt), met de toevoeging in de registratie van IMAP dat men bij gebruik van IMAP volgens specificatiedocument RFC 9051 moet voldoen aan ICT-beveiligingsrichtlijnen voor TLS van NCSC.