Duiding en Maatregelen Monitor Open Standaarden 2026

Inleiding van de duiding 

De jaarlijkse onderzoek agenda “Monitor Open Standaarden” heeft onder meer tot doel om de Tweede Kamer doorlopend te kunnen informeren over de uitvoering van het open standaarden beleid. Omdat het OBDO als taak opgedragen heeft gekregen om het gebruik van de ‘Pas toe of leg uit’ standaarden overheidsbreed te stimuleren en te volgen, ontvangt het OBDO naast de onderzoeksresultaten diverse voorstellen van het Forum over (mede) door hen te initiëren dan wel te onderschrijven maatregelen. 

De onderzoeksagenda bevat dit jaar de volgende vier onderdelen:

1.      Aanbestedingenonderzoek: Een jaarlijks onderzoek naar de uitvraag van relevante standaarden in aanbestedingen, en de verantwoording in jaarverslagen;

2.      Voorzieningenonderzoek: Een tweejaarlijks onderzoek van landelijke (GDI) voorzieningen naar het gebruik van relevante standaarden;

3.      OBDO quickscan: Een eenmalige quickscan uitgevoerd op verzoek van het OBDO naar de uitvraag van overige ICT kaders in aanbestedingen;

4.      Gebruiksgegevensrapportage: Een onderzoek onder de beheerders van standaarden en leveranciers naar het feitelijk gebruik en actuele ontwikkelingen van de verplichte standaarden.

In deze duiding bespreekt het Forum de resultaten van de eerste twee onderzoeken. De resultaten van onderzoeken 3 en 4 komen respectievelijk in september en in december 2026 langs in het Forum.

Aanbestedingen

Begin 2026 is voor het vijftiende jaar op rij onderzoek gedaan naar de uitvraag van open standaarden in openbare aanbestedingen gepubliceerd in 2025. Daarbij gaat het om een steekproef bestaande uit 70 ICT gerelateerde aanbestedingen. Per aanbesteding is vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om is gevraagd ('pas toe'). In de onderzochte aanbestedingen had in totaal 1080 keer om een specifieke open standaard gevraagd moeten worden. Uit de aanbestedingsdocumenten en de eventuele correspondentie met aanbestedende diensten daarover, blijkt dat er 534 keer daadwerkelijk om de betreffende relevante standaard is gevraagd, ofwel: in 49 procent van de gevallen. Dit percentage wijst wederom op een gebrek aan structurele vooruitgang in de correcte toepassing van het open standaardenbeleid binnen overheidsaanbestedingen.

Gelukkig waren er ook dit jaar weer een aantal organisaties die alle voor hen relevante standaarden daadwerkelijk uitvroegen en daarmee laten zien dat het wel degelijk mogelijk is om een perfecte 100% score te halen: Ministerie van Defensie, Ministerie van LVVN, Gemeente Tilburg, Gemeente Emmen.

Ook dit jaar kunnen we inzoomen op die standaarden die in de afgelopen vijf jaar het vaakst als relevant worden beschouwd, en kunnen we dat af zetten tegen het aantal keer dat zo’n standaard gedurende die periode ook daadwerkelijk is uitgevraagd. Evenals vorig jaar valt dan op dat er drie groepen zijn te onderscheiden:

1. Standaarden die vaak relevant zijn en ook veel (ruimschoots boven de 80%) worden uitgevraagd: ISO 27001 en 27002;
2. Standaarden die vaak relevant zijn en gemiddeld (tussen 50% en 80%)  uitgevraagd worden: PDF, Digitoegankelijk, TLS, HTTPS en HSTS, en de Authenticatie standaarden (OpenID.NLGov als opvolger van SAML);
3. Standaarden die vaak relevant zijn maar toch relatief weinig worden uitgevraagd: DNSSEC , SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane.

De standaarden in de eerste groep staan al vele jaren op de ‘Pas toe of leg uit’ (PTOLU) lijst en hebben inmiddels een gangbaar karakter gekregen.  Bovendien wordt toepassing hiervan binnenkort ook vanuit de Cyberbeveiligingsregeling verplicht voor ministeries, inclusief hun diensten en agentschappen, provincies, gemeenten, en voor waterschappen (via het ministerie van IenW).

Ook de standaarden in de tweede groep zijn inmiddels goed bekend. 

Een opvallend verschil tussen de tweede en de derde groep is dat de meeste standaarden in de tweede groep een (afgeleide) wettelijke verplichting hebben op grond van de Wet Digitale Overheid. De standaarden in de derde groep hebben enkel de status van streefbeeldafspraak met een inmiddels verlopen implementatietermijn.  Daarmee is er evenals vorig jaar plausibiliteitsondersteuning voor het uitgangspunt dat een wettelijke verplichting op grond van de Wet Digitale Overheid bij kan dragen aan een hogere uitvraag van de relevante standaarden. Een hogere uitvraag heeft op termijn een hoger gebruik tot gevolg. 

Evenals eerdere jaren zijn de uitkomsten van de beoordeelde aanbestedingen ter review voorgelegd aan alle beoordeelde organisaties. Uit de gesprekken met beoordeelde organisaties kwamen voor het tweede opvolgende jaar de volgende vier aandachtspunten naar voren:

1. Er is onduidelijkheid over het meest optimale moment waarop de verplichte standaarden moeten worden uitgevraagd. Daarbij speelt indirect ook de vraag of men dit na gunning nog op kan nemen in de uiteindelijke overeenkomst.  Bij het onderzoek hanteren de onderzoekers het uitgangspunt dat indien de gewenste functionaliteit kenbaar is gemaakt in het Programma van Eisen, de gewenste standaarden daar ook al moeten worden genoemd, en uiterlijk in de Nota van Inlichtingen.          
2. Bij sommige raamovereenkomsten kunnen de relevante standaarden pas later bij een minicompetitie of een nadere overeenkomst geëist worden. Uit het oogpunt van goed opdrachtgeverschap is het echter wel belangrijk om al bij de eerste publicatie op Tenderned bekend te maken aan leveranciers dat de later uit te vragen producten of diensten gebruik dienen te maken van de PTOLU standaarden en wettelijk verplichte standaarden. 
3. Met enige regelmaat komt het voor dat een website of portal een ondergeschikte rol heeft omdat de aanbesteding zich primair richt op andere werken, producten of diensten. Men ziet daarbij de voor de website of portal relevante standaarden over het hoofd, mogelijk omdat het is niet altijd duidelijk is wie binnen de organisatie het beleid rond toe te passen standaarden bepaalt en toeziet op de naleving daarvan. 
4. Het Forum zou volgens een beoordeelde uitvoeringsorganisatie niet enkel achteraf, maar ook tijdens een lopende aanbesteding al hulp moeten bieden, bijvoorbeeld door controle van de aanbestedingsdocumenten. 

Tot slot nog een laatste duiding over de kwaliteit van de aanbestedingen. Dit jaar werd er in 31 van de 70 beoordeelde aanbestedingen verwezen naar het open standaardenbeleid of de ‘Pas toe of leg uit’-lijst. Dit staat gelijk aan 44 procent van het totaal. Dat is een kleine daling ten opzichte van 2024, toen nog 53 procent van de aanbestedingen een dergelijke verwijzing bevatte. Een dergelijke algemene verwijzing dient echter als vangnet voor het geval men vergeten heeft om een of meerdere relevante specifieke standaarden uit te vragen. Hieruit moeten we ook concluderen dat in meer dan de helft van de onderzochte aanbestedingen zelfs dit eenvoudige vangnet nog niet aanwezig is.

Jaarverslagen

Vervolgens is nagegaan in hoeverre de departementen in hun jaarverslag verantwoording hebben afgelegd over de naleving van het beleid ('leg uit'). 

De Instructie rijksdienst bij aanschaf ICT-diensten of ICT producten geeft aan hoe bij de aanschaf en bij de eigen ontwikkeling van ICT diensten of producten te werk moet worden gegaan. De instructie moet in acht worden genomen door alle departementen en alle daaronder ressorterende dienstonderdelen. In 2022 herbevestigde het OBDO de bestuurlijke afspraak zoals eerder gemaakt in diverse bestuursakkoorden dat de instructie ook blijvend geldt voor gemeenten, provincies, waterschappen en uitvoeringsorganisaties.  Daarbij verplicht artikel 4 om in de bedrijfsvoering paragraaf van het jaarverslag een verantwoording op te nemen over de toepassing van het beleid in de eigen organisatie, en om in het geval van afwijkingen een uitleg over die afwijking te geven. Het hanteren van deze paragraaf is bovendien als verplichting opgenomen in de Rijksbegrotingsvoorschriften. 

Uit het onderzoek blijkt dit jaar dat 9 departementen in hun jaarverslag over 2025 een verantwoording geven over de naleving van het open standaarden beleid. Van deze 9 is de meest uitgebreide verantwoording te vinden bij de ministeries van BZK, OCW, Financiën, IenW, VWS, JenV en VRO. Daarbij wordt in sommige gevallen ook specifiek ingegaan op de resultaten uit de Monitor Open Standaarden. Dat is inhoudelijk een aanzienlijke verbetering ten opzichte van eerdere jaren. Van de volgende 5 departementen is dit jaar echter in het geheel geen verantwoording meer aangetroffen: AZ, EZ, LVVN, SZW, KGG. Dat is een opvallende verslechtering ten opzichte van vorig jaar toen nog alle departementen een verantwoording in het jaarverslag hadden opgenomen. 

Voorzieningen

Het beeld van de implementatie van verplichte open standaarden in de 32 onderzochte nationale voorzieningen is overwegend positief. 

Ten opzichte van het onderzoek uit 2024 zijn er bij 17 voorzieningen verbeteringen geconstateerd tegenover 6 voorzieningen waar de toepassing van bepaalde standaarden juist verslechterd is. Die verslechteringen doen zich vooral voor bij de toepassing van Digitoegankelijkheid (namelijk indien de toegankelijkheidsstatus van een voorziening is teruggelopen), IPv6, STARTTLS en DANE. In veel gevallen heeft men er wel een uitleg voor gegeven, maar juist bij deze standaarden die wettelijk verplicht zijn of waar het OBDO een streefbeeldafspraak op van toepassing heeft verklaard, is afwijken van de standaard niet meer wenselijk.  

In algemene zin valt verder op dat vooral standaarden in het kader van documentformaten vaak niet meer van toepassing zijn, zoals ODF en PDF (NEN-ISO). Bij meerdere voorzieningen is aangegeven dat zij hebben besloten om bij de voorziening geen PDF’s meer te publiceren of te hanteren, omdat dit in het toegankelijkheidsregister een negatieve invloed op de status van de voorziening had. Daarmee lijkt het streven naar het beschikbaar komen van meer digitoegankelijke documenten juist te zorgen voor een sterk verminderde beschikbaarheid van alle documenten. Nader onderzoek zou hier meer duidelijkheid over kunnen geven.

Dit jaar waren er vier voorzieningen die volledig voldoen aan alle voor hen relevante verplichte standaarden: Digilevering, Stelselcatalogus, Diginetwerk, DigiPoort.

Aan de andere kant is er ook aanleiding tot zorg. Van alle onderzochte voorzieningen heeft de Basisregistratie Ondergrond (BRO) als enige onvolledige informatie aangeleverd, waardoor de onderzoekers geen actueel beeld hebben kunnen krijgen. Daarbij heeft de opdrachtgever van deze voorziening, het voormalige Ministerie van Volkshuisvesting en Ruimtelijke Ordening, aangegeven dat ze voor een dergelijke inventarisatie afhankelijk zijn van kwartaalplanningen en sprints. Er lijkt dus geen actueel overzicht aanwezig te zijn en bijgehouden te worden van de door deze voorziening verplicht te hanteren standaarden. Verder zijn het beheer en onderhoud van bepaalde onderdelen van deze voorziening, zoals bronhouderportaal-bro.nl, in 2025 overgedragen aan TNO Geologische Dienst, inclusief de overdracht van de domeinnaam. Volgens het Register Internetdomeinen Overheid is het Ministerie van BZK echter nog steeds de registratiehouder. Het portaal voert bovendien het rijkslint, maar is desondanks niet opgenomen in het toegankelijkheidsregister. Daardoor voldoet het portaal niet aan de Digitoegankelijk standaard. Naar aanleiding van de constatering door de onderzoekers dat ook een security.txt bestand ontbreekt, is door TNO aangegeven dat het inregelen van de daarvoor benodigde processen bij hen geen hoge prioriteit heeft. De uitkomsten van het onderzoek naar deze voorziening onderstrepen de noodzaak om op korte termijn tot aantoonbare verbetering te komen.

De overige 27 voorzieningen moeten ook nog een of meerdere standaarden implementeren, of hebben voor de afwijking een al dan niet gemotiveerde uitleg gegeven. De bevindingen bieden voor de medewerkers van het Bureau Forum Standaardisatie aanknopingspunten om met de betrokken beheerorganisaties in overleg te treden over passende verbetermaatregelen.

FDS standaarden

Dit jaar is op verzoek van het Ministerie van BZK in zowel het aanbestedingenonderzoek alsook in het voorzieningenonderzoek gekeken naar de standaarden die van belang zijn voor het Federatief Datastelsel. Daarbij ging het om SKOS, REST-API Design Rules, NL GOV profile for CloudEvents, NL-SBB, Digikoppeling (FSC), en de drie aanbevolen standaarden MIM, DCAT en SHACL. In de 70 onderzochte aanbestedingen had in totaal 51 keer om een specifieke FDS standaard gevraagd kunnen worden. Uit de aanbestedingsdocumenten blijkt dat er 11 keer daadwerkelijk om een relevante standaard is gevraagd, ofwel: slechts in 22 procent van de gevallen. Drie standaarden die bijdragen aan data inzicht (MIM, SKOS) en aan data delen (CloudEvents) zijn daarbij nog geen enkele keer uitgevraagd. Alleen voor Digikoppeling (FSC) en REST-API Design Rules is een uitvraagpercentage van 33 respectievelijk 23 procent aangetroffen.

In het voorzieningen onderzoek is te zien dat van de verplichte standaarden vooral CloudEvents, NL-SBB, en Digikoppeling (FSC) niet alleen weinig worden toegepast maar ook nog vaak onbekend bij de beheerder van de voorziening zijn. Dit valt mogelijk te verklaren uit het feit dat ze pas per 1 januari 2026 een Pas Toe of Leg uit status hebben verkregen. De REST-API Design Rules en SKOS hebben die status al veel langer, en zij worden ook vrijwel altijd in de relevante gevallen toegepast. De drie standaarden met een aanbevolen status ( DCAT, MIM en SHACL) zijn bij grofweg de helft van de voorzieningen relevant. In ongeveer de helft daarvan worden zij ook daadwerkelijk toegepast. 

Maatregelen 

Het OBDO heeft onder meer als taak om de adoptie van de ‘pas toe of leg uit’ standaarden te bevorderen. Mede naar aanleiding van de monitorresultaten uit eerdere jaren, en de daarover in het verleden aan het OBDO gegeven en overgenomen adviezen, worden er in het kader van de NDS al diverse adoptie bevorderende activiteiten uitgewerkt door de betrokken partijen. Naast het organiseren van implementatieondersteuning, kan ook gedacht worden aan het door het Forum geven van zwaarwegend advies voorafgaand aan aanbestedingen en projecten. Zoals echter ook uit eerder (wetenschappelijk) onderzoek al is gebleken, blijft adoptie mede achter indien een wettelijke grondslag voor het gebruik van een standaard ontbreekt. Daardoor krijgt het uitvragen dan wel gebruiken van een standaard binnen individuele organisaties namelijk onvoldoende (bestuurlijke) prioriteit. Het is dan te vrijblijvend. Op basis van de huidige onderzoeksresultaten, die opnieuw onvoldoende groei laten zien, adviseert het Forum Standaardisatie daarom de volgende (mede) door de leden van het OBDO te initiëren dan wel te onderschrijven maatregelen:

1. Spreek bestuurlijke steun uit voor het uitwerken van een oplossingsrichting waarbij de Wet Digitale Overheid uitgebreid gaat worden met een bepaling waarin staat dat bij of krachtens algemene maatregel van bestuur specifieke standaarden kunnen worden aangewezen waarvoor een inspanningsverplichting tot toepassing van een aangewezen standaard geldt. Van deze aangewezen normen kan in een dergelijk geval uitsluitend gemotiveerd door een verantwoordelijk orgaan worden afgeweken. Door een dergelijke bepaling kan niet alleen de ‘Pas toe of leg uit’ status van een wettelijke grondslag worden voorzien, maar ontstaat ook de mogelijkheid om in de toekomst heel gericht extra prioriteit te kunnen geven aan de standaarden die noodzakelijk zijn voor een versnelde realisatie van het Federatief Data Stelsel.  
2. Naast het voorstel voor bovengenoemde inspanningsverplichting is het onder het huidige artikel 3 van de Wet Digitale Overheid al mogelijk om standaarden aan te wijzen waarvoor een resultaatsverplichting geldt. Op dit moment zijn nog slechts drie standaarden aangewezen (digitoegankelijk, https en hsts). Het aanbestedingenonderzoek laat voor het tweede jaar op rij zien dat de uitvraag van deze drie standaarden aanzienlijk hoger ligt dan voor de andere relevante standaarden waar enkel nog een inmiddels verlopen streefbeeldafspraak op van toepassing is: DNSSEC, SPF, DKIM, IPv6, DMARC, STARTTLS en Dane. Onderschrijf daarom de aanbeveling om deze zeven standaarden verplicht te gaan stellen onder artikel 3 van de Wet Digitale Overheid. 
3. Breng (bestuurders van) de onderzochte GDI voorzieningen op de hoogte van de resultaten van de voorzieningenrapportage en dring er voor zover de voorziening (nog) niet voldoet aan de verplichte standaarden, op aan dat deze worden opgenomen in de release planningen van die voorzieningen en in de “definition of done” bij organisaties met een Agile werkwijze.