REST-API Design RulesVerzameling regels voor het structureren en documenteren van REST API’s.Verplicht (pas toe leg uit)InformatiebeveiligingLogiusNog niet getoetst1.0UitwisselingsfundamentNeeDe standaard REST-API Design Rules moet worden toegepast bij het aanbieden van REST API’s ten behoeve van het ontsluiten van overheidsinformatie en/of functionaliteit.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.De overheid ontsluit gegevens en applicaties steeds vaker met REST-API's. Voorbeelden hiervan zijn te zien op de website developer.overheid.nl, in Common Ground, Haal Centraal en het Digitaal Stelsel Omgevingswet.
Representational state transfer (REST) is een ontwerpprincipe dat wereldwijd veel gebruikt wordt voor het bouwen van programmeerinterfaces over het web (API's). REST is geen standaard maar een ontwerpprincipe, en laat nog veel vrijheid in het structureren van API's.
De standaard REST-API Design Rules geeft een verzameling basisregels voor structuur en naamgeving waarmee de overheid op een uniforme en eenduidige manier REST-API's aanbiedt. Dit maakt het voor ontwikkelaars gemakkelijker om betrouwbare applicaties met te ontwikkelen met API's van de overheid.
Een application programming interface (API) is een gestructureerd en gedocumenteerd koppelvlak voor communicatie tussen applicaties. Zo lang er computers zijn, bestaan er API's en worden er verschillende API technologieën gebruikt. In de laatste 10 jaar heeft Representational state transfer (REST) zich ontwikkeld tot een bepalend principe voor het realiseren van API's. Zogenaamde ‘REST-API's’ doen voor applicaties wat websites voor mensen doen. Websites presenteren informatie aan mensen, REST-API's maken applicaties en gegevens over het Internet beschikbaar voor andere applicaties. De technologie achter websites en REST-API's heeft daarom veel gemeen.
De overheid gebruikt REST-API's voor koppelingen met andere overheden, bedrijven en indirect ook met burgers, bijvoorbeeld via mobiele apps en webapps die aangeboden worden door bedrijven of overheden zelf. Ontwikkelaars kunnen deze REST-API's bevragen vanuit de gangbare programmeertalen en frameworks zoals Python, Java, Microsoft C#, PHP.
De standaard REST-API Design Rules heeft tot doel om meer uniformiteit te brengen in de manier waarop de overheid REST-API's aanbiedt. Hiervoor beschrijft de standaard een aantal basisregels voor het structureren en documenteren van REST-API's.
De REST-API Design Rules moeten toegepast worden daar waar de overheid REST-API's inzet, maar verplicht niet het gebruik van REST-API's bij het ontsluiten van gegevens of functionaliteit.REST API Design RulesREST API Design Rules15-10-201909-07-2020Kadaster: Kadaster Dataplatform, het platform met betrouwbare geodataDe standaard verplicht niet het gebruik van REST-API's
Als een overheidsorganisatie investeert in de bouw van REST-API's, dan moeten deze worden aangeboden worden volgens de REST-API design rules. De standaard zelf verplicht echter niet het gebruik van REST-API's om gegevens of functionaliteit te ontsluiten. Hiervoor kunnen als vanouds ook Webservices (SOAP-API's), (linked) open data of andere koppelvlakken gebruikt worden.
Beheer onder Logius
De standaard REST-API Design Rules is ontwikkeld in het Kennisplatform API's door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij Logius. Het Kennisplatform API's blijft wel input leveren voor de doorontwikkeling van de standaard.
Veranderend gegevenslandschap
De groeiende inzet van REST-API's bij de overheid raakt bestaande standaarden zoals Digikoppeling en StUF. Logius, VNG, Forum Standaardisatie en het Kennisplatform API's werken samen aan een visie over de transitie naar een nieuw gegevenslandschap en hoe REST-API's, Digikoppeling en StUF daarin samenhangen. Hierover volgt nog een publicatie.Aan Forum Standaardisatie om duidelijkheid te geven over de samenhang tussen verschillende standaarden –met name de samenhang tussen StUF en standaarden gerelateerd aan API’s– eventueel door het publiceren van een beslisboom.
Aan Logius (beheerder Digikoppeling) om expliciet aandacht te geven aan de samenhang en transitie van Digikoppeling en REST API Design Rules.
Aan Logius als beheerorganisatie om te waken voor een evenredige vertegenwoordiging van verschillende disciplines (zoals ontwikkelaars, ontwerpers, architecten en beleidsmakers) in de werkgroep bij het ontwikkel- en beheerproces van de standaard.
Aan de Werkgroep API Design Rules van het Kennisplatform API's om te werken aan verdere inhoudelijke ontwikkeling van de standaard om deze volwassener te maken en openstaande technische ‘issues’ weg te werken. Het Kennisplatform API's heeft toegezegd hier zo snel mogelijk mee aan de slag te gaan.DigikoppelingVeilige gegevensuitwisselingVerplicht (pas toe leg uit)Netwerk, Zaakgegevens, Basisregistraties, InformatiebeveiligingLogiusJa voor deze standaardUitwisselingsfundamentNeeDigikoppeling moet worden toegepast bij digitale gegevensuitwisseling die plaatsvindt met voorzieningen die onderdeel zijn van de GDI, waaronder de basisregistraties, of die sectoroverstijgend is. De verplichting geldt voor gegevensuitwisseling tussen systemen waarbij er noodzaak is voor tweezijdige authenticatie.
Geautomatiseerde gegevensuitwisseling tussen informatiesystemen op basis van NEN3610 is uitgesloten van het functioneel toepassingsgebied.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Digikoppeling maakt veilige gegevensuitwisseling tussen overheden mogelijk. De standaard beschrijft afspraken om gegevens juist te adresseren, leesbaar en uitwisselbaar te maken en veilig en betrouwbaar te verzenden. Digikoppeling wordt onder andere gebruikt om op een veilige manier aan te sluiten op basisregistraties.De standaard bestaat uit een viertal koppelvlakspecificaties voor gestructureerd gegevensuitwisseling met en tussen overheidsorganisaties:De WUS standaarden voor bevragingen, waarbij direct een antwoord verwacht wordt op een vraag. Dit heet ook wel 'synchrone' gegevensuitwisseling. Snelheid van afleveren is hierbij belangrijk, en als een service niet beschikbaar is, hoeft de vraag niet opnieuw worden aangeboden.De ebMS standaard voor meldingen, waarbij het antwoord op een vraag later kan terugkomen. Snelheid van afleveren is in dit geval minder belangrijk. Gegevens worden herhaaldelijk verstuurd tot de ontvanger beschikbaar is. Dit staat ook bekend als 'asynchrone gegevensuitwisseling'.Grote berichten om zeer grote bestanden als bijlagen toe te voegen en om beveiliging op berichtniveau toe te passen.REST API, om gegevens veilig uit te wisselen volgens het REST principe en volgens de eisen van de verplichte REST API Design Rules op de 'pas toe of leg uit' lijst. Dit koppelvlak wordt vaak gebruikt voor toepassingen waar WUS en ebMS te zware middelen zijn.Daarnaast heeft Digikoppeling normatieve specificaties van de architectuur en de manier waarop de beveiliging van de gegevensuitwisseling moet worden ingericht. De Digikoppeling standaard beschrijft ook hoe de standaard zelf beheerd wordt. ebMS (ebXML Messaging Service), WUS (WSDL, UDDI & SOAP), GB (Grote Berichten) en REST API zoals nader gespecificeerd binnen Digikoppeling.Specificatiedocument DigikoppelingDigikoppeling staat sinds 20 mei 2009 op de pas-toe-of-leg-uit lijst. In juni 2013 werd de versie van Digikoppeling gewijzigd naar 2.0.Op 25 mei 2018 stemde het OBDO in met het weglaten van het versienummer van Digikoppeling, waarna het versiebeheer op niveau van de deelspecificaties wordt gevoerd. Voor gebruikers is dit duidelijker dan het gelaagde versiebeheer.Op 7 april 2022 stemde het OBDO in met de uitbreiding van Digikoppeling met een REST API koppelvlak als aanvulling op de bestaande koppelvlakken volgens SOAP (Simple Object Access Protocol) principes. De afgelopen tien jaar worden REST APIs wereldwijd veel gebruikt als gangbaar en efficiënt alternatief voor SOAP.Reacties uit openbare consultatie20-05-2009Digikoppeling is van toepassing bij de aanschaf of ontwikkeling van systemen voor veilige gegevensuitwisseling met voorzieningen die onderdeel zijn van de GDI (zoals de basisregistraties). Digikoppeling is ook van toepassing op de veilige gegevensuitwisseling tussen overheidsorganisaties die sector-overstijgend is.Uitgezonderd zijn: de uitwisseling van Geo-informatie (daarvoor bestaat NEN3610) en de gevallen waarin de aanbieder van gegevens vaststelt dat geen noodzaak bestaat om de afnemer van de gegevens te authenticeren.In 2018 gaf het Forum Standaardisatie het volgende advies:Monitor actief de behoefte ten opzichte van standaarden ebMS 3.0/AS4 om (de ontwikkeling van) Digikoppeling aan te laten sluiten op recente technologische ontwikkelingen.Stimuleer intra-sectoraal gebruik van Digikoppeling om de adoptie van Digikoppeling te bevorderen.IPv6 en IPv4Adressering van ICT-systemen binnen een netwerkVerplicht (pas toe leg uit)InternetIETFNee4 en 6Veilig internetJaIPv6 en IPv4 moeten in combinatie (‘dual stack’) worden toegepast op communicatie tussen toepassingen in (een) netwerk(en).Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Voor IPv6 en IPv4 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Het Nationaal Beraad heeft overheidsbeleid vastgesteld om gebruik te maken van overheidseigen IPv6-adressen. De uitwerking van dit beleid is beschreven in het Overheidsbreed IPv6-nummerplankaderInternet Protocol (IP) maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals internet, mogelijk. IPv6 heeft een veel grotere hoeveelheid beschikbare IP-adressen ten opzichte van de voorganger IPv4. Dit maakt verdere groei en innovatie van het internet mogelijk.
IPv6 is niet backwards compatible. Dit wil zeggen dat een IPv4-systeem niet een IPv6-systeem kan bereiken, of andersom. Om die reden moet een organisatie bij de aanschaf van een ICT-product/-dienst beide versies uitvragen. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IP-adres) heeft. Hierdoor kunnen ICT-systemen elkaar herkennen en onderling data uitwisselen.Internet Protocol versie 4 en Internet Protocol versie 6Internet Protocol (externe link)
Internet Protocol, Version 6 (IPv6) SpecificationInternet.nl/IPv6 Task Force
IPv6 Team Overheid NLOverheidsorganisaties kunnen IPv6-adressen aanvragen bij Logius dat het IPv6-nummerblok van de overheid beheert.
IPv6 Info Centre van RIPE
Internet Society, Deploy 360
Besluiten van de Europese Commissie (3 april 2014)Internet.nl
IP6.nl
IPv6 testGemeente Tilburg: Webtoepassingen beheren: zo doen ze dat bij de gemeente Tilburg
SSC-ICT: Hoe ze IPv6 implementeerden bij SSC-ICTHet Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
Op dit moment is het restant aan IPv4-adressen zeer beperkt. Daardoor kan de interoperabiliteit tussen systemen op relatief korte termijn niet meer gegarandeerd worden. Delen van het internet (in zowel binnen- als buitenland) zullen door het tekort namelijk "IPv6-only" worden. De desbetreffende systemen zijn alleen bereikbaar via IPv6 en kunnen niet communiceren met systemen die alleen IPv4 gebruiken. Dit zal ook de (semi-)publieke sector raken. Het is daarom cruciaal dat de (semi-) publieke sector tijdig investeert in IPv6.
Toevoeging van IPv6 in combinatie met IPv4 aan de lijst met open standaarden voor 'Pas toe of leg uit' betekent dat nieuw aan te schaffen informatiesystemen met beide versies overweg moet kunnen. IPv4 is op dit moment alom gebruikt. IPv6 is niet backwards compatible met IPv4. De komende periode zullen IPv4 en IPv6 gelijktijdig gebruikt worden. Om interoperabiliteit met zowel de nieuwe IPv6-praktijk als de bestaande IPv4-praktijk te borgen, zijn beide versies van de standaard opgenomen.
De kern van de IPv6 standaard is gespecificeerd in RFC 2460. Daarnaast betreft de opname een aantal specificaties die een noodzakelijke voorwaarde zijn om IPv6 in de praktijk succesvol te kunnen inzetten en gebruiken, namelijk: RFC 1981, RFC 4443, RFC 4861, RFC 4862, RFC 4291, RFC 4294 en RFC 4213. RFC 4213 is een specificatie voor transitie en co-existentie (o.a. “dual stack”). In deze specificatie wordt ook verwezen naar de relevante specificaties voor IPv4.25-11-201009-05-2010Aquo-standaardWatermanagement informatieVerplicht (pas toe leg uit)Ruimtelijke ordening, Waterbeheer, MilieuInformatiehuis WaterJa voor deze standaardAquo 2022-06Schoon water en beschermde bodemNeeDe Aquo-standaard moet worden toegepast op de uitwisseling van gegevens over het beheer van oppervlakte- en grondwater en de zuivering van afvalwater.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.De Aquo-standaard maakt het mogelijk om op een uniforme manier gegevens van een object met een ruimtelijk kenmerk uit te wisselen tussen partijen die betrokken zijn bij het waterbeheer. Het vormt hiermee de digitale schakel tussen de waterbeheerders Rijkswaterstaat, provincies en waterschappen, maar ook tussen waterbeheerders en derden zoals bedrijven en onderzoeksinstellingen. Door de uniforme manier van uitwisselen zijn landelijke rapportages te maken ten behoeve van de waterkwaliteit.
De Aquo-standaard draagt zodoende bij aan een kwaliteitsverbetering van het waterbeheer. Het eenvoudig en eenduidig delen van informatie levert tijd- en geldwinst op.De standaard is bedoeld voor iedereen die te maken heeft met het vastleggen en gebruiken van gegevens in de watersector. Zowel op zee als binnendijks, in beekdalen en polders, bij afvalwater en grondwater, voor ecologie en waterkwantiteit.Aquo-standaardSpecificatie documenten AquoDe Aquo-standaard bevat veel informatie waar u als gebruiker mee aan de slag kan. Alle informatie is ontsloten via www.aquo.nl. Hier vindt u naast informatie over de Aquo-standaard ook alle:
Begrippen
Domeintabellen
Informatiemodellen
Het Waterschapshuis: ‘Woorden doen ertoe, óók in het riool’.
Informatiehuis Water: Linked Aquo, de standaard voor waterbeheerdersDe Aquo-standaard is een set van verschillende deelstandaarden. Ten opzichte van de eerdere versie van de standaard, versie 2008, is Aquo-objecten een nieuwe toevoeging. De andere twee toepassingen zijn vervangen met een nieuwste versie.
Zie de tabel hieronder voor de exacte vervangingen:
Versie 2008
Versie 2015
IMWA 2008
IMWA 2015-2
IMWA Metingen
IMWA Waterveiligheid
UM Aquo 2009
UM Aquo KRW, Normen en Waterwet
Aquo domeintabellen
Aquo domeintabellen
Aquo Lex v7
Aquo Lex
Aquo-objecten20-10-201517-05-2016Geo-standaarden: De uitwisselmodellen van de Aquo-standaard (IMWA en UM Aquo) zijn gebaseerd op NEN 3610 die is opgenomen op de 'Pas toe of leg uit'-lijst als onderdeel van de Geo-standaarden.
SIKB0101: Metingen worden soms uitgevoerd voor verschillende sectoren/domeinen. Denk bijvoorbeeld aan baggerslib op de waterbodem. Dit is relevant voor zowel het waterbeheer (domein van Aquo) als milieuhygiëne (domein SIKB0101). Het (nu voormalige) College Standaardisatie heeft de beide beheerorganisaties daarom opgeroepen tot harmonisatie van beide standaarden. Het Informatiemodel Metingen kan hierbij een belangrijke rol spelen. Beide beheerorganisaties hebben dit reeds opgepakt en uitgevoerd.De verplichting geldt bij een investering in een systeem of dienst dat dient voor de gegevensverzameling, -vastlegging en -uitwisseling voor het beheer van waterkeringen, oppervlaktewater en afvalwaterzuivering.Voor de volgende inkoopnummers en beschrijvingen is de standaard mogelijk relevant:
Basisregistraties / overheidsgegevens
48000000-8 Software en informatiesystemen
38221000-0 Geografische informatiesystemen (GIS of dergelijke)
Bij de opname van de Aquo-standaard heeft het Forum Standaardisatie de beheerder opgeroepen de volgende aanvullende acties ter verdere bevordering van de adoptie van de standaard uit te voeren:
Ondersteun bij het verkleinen van het gat tussen de inhoudelijke kennis van gegevensbeheerders en de technische aspecten van de standaard. Bij gegevensbeheer is niet altijd de kennis aanwezig om de technische aspecten van de standaard te kunnen doorgronden. Een uitleg van de tooling zou hierbij helpen of bijvoorbeeld een leergang via IHW om de kennis te verhogen. Daarnaast is het van belang dat ook door leveranciers een meer eenduidige implementatie ontstaat van de standaard en dat er niet aparte profielen ontstaan.
Realiseer een betere uitleg en uitbreiding van de tooling om te kunnen toetsen op conformiteit. Hierbij gaat het om de uitwisselformaten XML en CSV en het kunnen toetsen in de operationele omgeving in de vorm van een leesbare tabel.
Bespreek hoe softwareleveranciers meer gestimuleerd kunnen worden om te participeren bij de ontwikkeling, adoptie en gebruik van de standaard.
Geef de decodeercode vrij van en naar de database van XML/CSV, zodat organisaties dit kunnen gebruiken om databases/softwarepakketten beter aan te laten sluiten op de Aquo-standaard.
Aan het Ministerie van Infrastructuur en Milieu (programmabureau BRO), TNO (Dino Loket) en Informatiehuis Water (Aquo Standaard): treed in overleg en gebruik de Aquo-standaard binnen de Basisregistratie Ondergrond (BRO) voor het domein grondwater voor die gegevenselementen die de standaard afdekt.
Aan de provincies en Rijkswaterstaat: licht binnen de Regieraad Interconnectiviteit de rol van Aquo binnen de Omgevingswet toe.
Aan TNO en IHW: kijk gezamenlijk naar wat de mogelijkheden zijn om Aquo via het DINO Loket te ondersteunen.Deze zijn als volgt (bron: Forumadvies Aquo 2015 dd 20 april 2016):
De oproep aan IHW om te ondersteunen bij het verkleinen van het gat tussen de inhoudelijke kennis van gegevensbeheerders en de technische aspecten van de standaard. Bij gegevensbeheer is niet altijd de kennis aanwezig om de technische aspecten van de standaard te kunnen doorgronden. Een uitleg van de tooling zou hierbij helpen of bijvoorbeeld een leergang via IHW om de kennis te verhogen. Daarnaast is het van belang dat ook door leveranciers een meer eenduidige implementatie ontstaat van de standaard en dat er niet aparte profielen ontstaan.
De oproep aan IHW om een betere uitleg en uitbreiding van de tooling te realiseren om te kunnen toetsen op conformiteit. Hierbij gaat het om de uitwisselformaten XML en CSV en het kunnen toetsen in de operationele omgeving in de vorm van een leesbare tabel.
De oproep aan IHW, Het Waterschapshuis en het Forum Standaardisatie om te bespreken hoe softwareleveranciers meer gestimuleerd kunnen worden om te participeren bij de ontwikkeling, adoptie en gebruik van de standaard.
De oproep aan IHW om de decodeercode van en naar de database van XML/CSV vrij te geven, zodat organisaties dit kunnen gebruiken om databases/softwarepakketten beter aan te laten sluiten op de Aquo-standaard.
De oproep aan het Ministerie van Infrastructuur en Milieu (programmabureau BRO), TNO (Dino Loket) en Informatiehuis Water (Aquo Standaard) om in overleg te gaan en het gebruik van Aquo binnen de Basisregistratie Ondergrond (BRO) voor het domein grondwater te gebruiken voor die gegevenselementen die de standaard afdekt.
De oproep aan Provincies en Rijkswaterstaat om binnen de Regieraad Interconnectiviteit de rol van Aquo binnen de Omgevingswet toe te lichten.
De oproep aan TNO en IHW om gezamenlijk te kijken wat de mogelijkheden zijn om Aquo via het DINO Loket te ondersteunen.
PDF (NEN-ISO)Formaat documentpublicatieVerplicht (pas toe leg uit)DocumentformaatISONeeOpenbaar en toegankelijkJaPDF (NEN-ISO) moet worden toegepast op de uitwisseling en publicatie van niet- of beperkt reviseerbare documenten.Nederlandse overheden (Rijk, provincies, gemeenten en Waterschappen) en instellingen uit de (semi-) publieke sector.PDF is een format voor de uitwisseling van documenten waarvan de pagina opmaak vastligt, die bedoeld zijn om op te slaan en af te drukken. Een PDF document ziet er op alle apparaten en in alle omgevingen hetzelfde uit.
PDF is minder geschikt voor het publiceren van online informatie die veel op mobiele apparaten wordt bekeken.PDF is een documentformat dat in eerste plaats bedoeld is om af te drukken. Een PDF bestand legt exact de opmaak vast van de pagina's waaruit een document bestaat.
Daarnaast kan een PDF document interne code ('tags' in het Engels) bevatten die informatie geeft over de inhoud en de structuur van het document. Die code zie je niet, maar helpt PDF readers om door het document te navigeren en helpt schermlezers om het document voor te lezen.
We hebben het vaak over PDF alsof het één bestandsformaat is, maar PDF kent vele versies. ISO beheert de algemene versies PDF 1.7 en 2.0. Daarnaast heeft ISO voor specifieke toepassingen aanvullende eisen vastgelegd, zoals PDF/A-1 en PDF/A-2 voor duurzame toegankelijkheid (archivering) en PDF/UA voor digitale toegankelijkheid.
De ISO versies PDF 1.7, PDF/A-1 en PDF/A-2 staan op de 'pas toe of leg uit' lijst van het Forum Standaardisatie. PDF/A-1 of PDF/A-2 moet worden toegepast voor duurzaam toegankelijke documenten. PDF 1.7 moet worden toegepast als duurzame toegankelijkheid niet vereist is, en PDF/A-1 en PDF/A-2 onvoldoende functionaliteit bieden. Daarnaast staat de ISO standaard PDF/UA op de lijst aanbevolen standaarden voor PDF bestanden die digitaal toegankelijk moeten zijn.
Vaak worden nog oudere versies van PDF gebruikt die niet door ISO worden ondersteund, bijvoorbeeld PDF 1.4, 1.5 en 1.6. Deze versies worden door een leverancier onderhouden en kwalificeren niet als open standaard.
Omdat PDF 1.x versies achterwaarts compatibel zijn, vormt het gebruik van oudere PDF versies in de praktijk geen probleem voor de uitwisselbaarheid. Maar PDF/A-1, PDF/A-2 en PDF/UA stellen bijzondere eisen aan het PDF bestand, dus hiervoor kan je nooit zonder meer een oudere PDF versie gebruiken.
Documentbeheer - Draagbaar documentformaatSpecificatiedocument NEN-ISO 32000-1 (PDF 1.7)
Specificatiedocument NEN-ISO 19005-1 (PDF/A-1)
Specificatiedocument NEN-ISO 19005-2 (PDF/A-2)
Voor Rijksambtenaren zijn deze specificaties kosteloos beschikbaar op Lees-RijkDe PDF Association brengt gebruikers en leveranciers van PDF samen.
De Open Preservation Foundation is een kenniscentrum voor duurzaam toegankelijke PDF.
De Pleio community Digitaal Toegankelijk heeft een speciaal forum over PDF en digitale toegankelijkheidForum Standaardisatie publiceerde samen met NOiV de Handreiking Open Documentformaten. Dit is een oudere publicatie uit 2011, maar bevat nog altijd veel nuttige informatie.
De OpenState Foundation biedt een beslistool aan die je helpt het juiste documentformat te kiezen, afhankelijk van het doel en de toepassing van de informatie die je wilt publiceren.
Op de Pleio website Digitaal Toegankelijk staat een handleiding voor het produceren van duurzaam toegankelijke PDF.VeraPDF is een Europese open source validator voor PDF/A. VeraPDF kan worden gedownload op GitHub.
Daarnaast is er online een aantal PDF validators beschikbaar:
PDF Validator Online Tool
PDF/A validation tools
Sinds 2021 bestaat er een Nederlandse digitale toegankelijkheidschecker voor PDF bestanden.
Dit zijn geen formele of normatieve conformiteitstesten.De ISO standaarden PDF/A-1, PDF/A-2 en PDF 1.7 zijn op verschillende momenten aangemeld en op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie geplaatst. Daarnaast staan er nog andere documentstandaarden op de lijst van het Forum Standaardisatie, waaronder PDF/UA (aanbevolen), ODF (verplicht) en EPUB (aanbevolen).
Welke documentstandaard moet worden toegepast hangt af van de situatie. De Open State Foundation biedt de beslistool openpubliceren.nl aan die je helpt het beste documentformat te kiezen, afhankelijk van het doel van de informatie die je wilt publiceren.
Bedenk dat het ook mogelijk is om informatie in meer dan één format aan te bieden, bijvoorbeeld in HTML voor het lezen op mobiele afdrukken en in PDF voor afdrukken.
Het Nationaal Archief heeft een eigen handleiding voorkeursformaten. Deze richt zich specifiek op duurzame toegankelijkheid maar komt in grote lijnen overeen met de overwegingen hierboven. Ook het Nationaal Archief adviseert om voor documenten zoveel mogelijk open standaarden te gebruiken zoals PDF/A en ODF.18-11-2009Bij investering in systemen en software waarbij niet-reviseerbare of beperkt-reviseerbare documenten worden gemaakt, bewerkt, gepubliceerd of gearchiveerd. Bijvoorbeeld kantoorsoftware, multifunctionele printerscanners of documentgeneratiesystemen.
Voor duurzaam toegankelijke documenten moet PDF/A-1 of PDF/A-2 worden uitgevraagd. Als duurzame toegankelijkheid niet vereist is en PDF/A-1 en PDF/A-2 onvoldoende functionaliteit bieden, moet PDF 1.7 worden uitgevraagd.Digitoegankelijk (EN 301 549 met WCAG 2.1)Toegankelijkheid websites, webapplicaties en documentenVerplicht (pas toe leg uit)Website, DocumentformaatETSINee3.2.1Openbaar en toegankelijkJaDigitoegankelijk (EN 301 549 met WCAG 2.1) moet worden toegepast op het aanbieden van webgebaseerde informatie-, interactie-, transactie- en participatiediensten.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Digitoegankelijk (EN 301 549 en WCAG 2.1) is per 1 juli 2018 wettelijk verplicht volgens het besluit toegankelijkheid digitale overheid.Door toepassing van Digitoegankelijk worden websites, webapplicaties en documenten toegankelijk voor iedereen, ook voor ouderen en mensen met een permanente (bijvoorbeeld dyslexie, kleurenblind, slechthorend, slechtziend, motorisch beperkt), tijdelijke (bijvoorbeeld een gebroken pols) of situationele (bijvoorbeeld in de zon, in de trein of met een baby op de arm) functiebeperking. Zo krijgt iedereen altijd dezelfde toegang tot overheidsinformatie.Digitoegankelijk is de Nederlandse naam voor de Europese norm 301 549 die voorziet in toegankelijkheidsrichtlijnen voor overheidswebsites en de documenten die daarop gepubliceerd zijn. EN 301 549 verwijst naar de technische standaard WCAG 2.1 van W3C die specificeert hoe content op websites, in webapplicaties en in documenten toegankelijk kunnen worden gemaakt. Daarnaast beschrijft EN 301 549 instructies voor het inkopen van toegankelijke producten en diensten.Accessibility requirements suitable for public procurement of ICT products and services in EuropeEN 301 549
WCAG 2.1Digitoegankelijk van Logius is het expertisecentrum voor digitale toegankelijkheid voor de overheid. Hier vindt u informatie over de wettelijke verplichting van digitale toegankelijkheid en hoe u websites en documenten digitaal toegankelijk kan maken.
De Pleio website voor digitaal toegankelijk publiceren biedt een community voor overheden die elkaar willen helpen door vragen, ervaring en kennis uit te wisselen over het publiceren van toegankelijke informatie.In het magazine 'Digitale Toegankelijkheid, hoe pak je dat aan in de praktijk?' leest u praktijkvoorbeelden die laten zien hoe een aantal overheidsorganisaties digitale toegankelijkheid aanpakt.
De themapagina 'Informatie open en toegankelijk' geeft een aantal bronnen waar u informatie kan vinden over het toegankelijk maken van PDF bestanden.
De website Open Publiceren van de Open State Foundation biedt een online hulpmiddel dat afhankelijk van de informatie die je wil publiceren, helpt het beste open format te kiezen. Dit beslistool houdt ook rekening met digitale toegankelijkheid.De volgende hulpmiddelen testen een website of document op een aantal aspecten van WCAG 2.1 (de richtlijnen voor digitale toegankelijkheid die besloten liggen in EN 301 549):
Online digitale toegankelijkheidscheck voor web pagina's
Online digitale toegankelijkheidscheck voor PDF bestanden
Installeerbare digitale toegankelijkheidscheck voor PDF bestanden
Dit zijn noch formele, noch volledige conformiteitstests. Een aantal criteria van WCAG 2.1 vereist handmatige controle en kan niet automatisch getest worden.
Er zijn in Nederland verschillende organisaties die u kunnen helpen met het testen en certificeren van de toegankelijkheid van uw website of webapplicatie.Gemeente Tilburg: Webtoepassingen beheren: zo doen ze dat bij de gemeente TilburgDigitoegankelijk (EN 301 549 met WCAG 2.1) vervangt sinds oktober 2016 de standaard Webrichtlijnen 2.0 op de 'Pas toe of leg uit'-lijst. Zowel Digitoegankelijk als Webrichtlijnen 2.0 baseren zich op de technische toegankelijkheidsstandaard WCAG 2.1 van W3C, maar Digitoegankelijk gaat uit van de wettelijk verplichte Europese Norm 301 549 die de technische toegankelijkheidseisen ook instructies voor inkoop beschrijft. Er verandert dus niets aan de WCAG 2.1 eisen voor digitale toegankelijkheid waaraan overheidswebsites en webapplicaties moeten voldoen.
Voorheen maakte de specificatie Principe Universeel deel uit van Webrichtlijnen 2.0. Principe Universeel beschreef bovenop WCAG 2.1 extra ontwerpprincipes om websites gebruiksvriendelijker te maken. Met Digitoegankelijk is Principe Universeel komen te vervallen omdat Europa niet toelaat dat lidstaten extra eisen aan EN 301 549 en WCAG 2.1 toevoegen (zogenaamde 'gold plating' van een verplichte Europese standaard is niet toegestaan). Inmiddels onderhoudt Logius de specificatie van Principe Universeel niet meer, en is deze niet meer online beschikbaar.
Op 1 juli 2018 trad het tijdelijk besluit toegankelijkheid digitale overheid in werking waarmee EN 301 549 en WCAG 2.1 wettelijk verplicht werd. Hiermee is de verplichting van Digitoegankelijk dus opgeschaald van 'pas toe of leg uit' naar 'wettelijk verplicht'.19-10-201626-04-2016Op 1 juli 2018 trad het tijdelijk besluit toegankelijkheid digitale overheid in werking waarmee Digitoegankelijk wettelijk verplicht werd. Per 1 juli 2023 is het Tijdelijk Besluit Digitale Toegankelijkheid Overheid omgezet naar de Wet digitale overheid (Wdo). Daardoor is de Wdo de wettelijke grondslag voor het Besluit geworden en is het woord ‘Tijdelijk’ bij het Besluit geschrapt. Met de Wdo verandert er niets aan de wettelijke verplichting en blijft het Besluit Digitale Toegankelijkheid Overheid van kracht.
Digitoegankelijk is van toepassing op alle web-gebaseerde informatie-, interactie-, transactie- en participatiediensten van alle overheden. Dus niet alleen alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. Voor meer informatie zie https://www.digitoegankelijk.nl.Voor Inkoop zal Digitoegankelijk (EN 301 549 met daarin opgenomen WCAG 2.1) voornamelijk voorkomen onder de volgende categoriën en CPV codes:
48224000-4 Software voor webpage-editen
72000000-5 IT-diensten: adviezen, softwareontwikkeling, internet en ondersteuning
72330000-2 Diensten voor inhouds- of datastandaardisatie en –classificatie
72413000-8 Diensten voor het ontwerpen van websites
48300000-1 Software voor het maken van documenten, tekeningen, afbeeldingen, dienstregelingen en productiviteit
72212300-2 Diensten voor ontwikkeling van software voor het maken van documenten, tekeningen, afbeeldingen, dienstregelingen en productiviteit
72512000-7 Documentbeheerdiensten
72330000-2 Diensten voor inhouds- of datastandaardisatie en –classificatie
Voor meer informatie lees ook de Handreiking "Vragen om Open Standaarden bij Inkoop".
TLSBeveiligde internetverbindingVerplicht (pas toe leg uit)InternetIETFNee1.3 en 1.2Veilig internetJaTLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Voor TLS heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.TLS zorgt voor beveiligde internetverbindingen, met als doel de veilige uitwisseling van gegevens tussen een internetsystemen (zoals websites of mailservers). Dit maakt het voor cybercriminelen moeilijker om internetverkeer te onderscheppen of te manipuleren.TLS zorgt door middel van de uitwisseling van certificaten voor de versleuteling van gegevens tijdens het transport tussen internetsystemen. De certificaten bieden ook zekerheid over de identiteit van beide communicerende partijen. TLS kan bovenop bestaande internetstandaarden, zoals voor webverkeer en e-mailverkeer, worden gebruikt.Transport Layer SecurityThe Transport Layer Security (TLS) Protocol Version 1.3Factsheet Informatie Veiligheid Dienstverlening TLS
Whitepaper NCSC 'ICT-beveiligingsrichtlijnen voor TLS'Internet.nlTLS 1.3 en TLS 1.2 worden door experts beschouwd als de meest veilige versies. Deze versies zijn daarom de norm en staan op de 'Pas toe of leg uit'-lijst. TLS-versies zijn echter niet 'backwards compatible’. Ten behoeve van de interoperabiliteit kan het nodig zijn om ook de versies 1.1 en 1.0 toe te passen, vooral als wederpartijen (nog) niet klaar zijn voor versie 1.2 en/of 1.3. Toepassing van versie 3 en ouder van SSL (‘TLS-voorloper’) wordt sterk afgeraden vanwege bekende ernstige kwetsbaarheden. Voor configuratieadvies, zie de ICT-beveiligingsrichtlijnen voor TLS van NCSC.
Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. Aan Forum Standaardisatie:
Behoud de oudere versie TLS 1.2 eveneens op de lijst onder de voorwaarde dat deze door het NCSC niet als onveilig worden aangemerkt.
Aan overheidsorganisaties:
Controleer regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.
Aan NCSC:
Actualiseer de richtlijnen voor veilige TLS-configuratie en neem daar ook TLS 1.3 in op.
Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep kan de vraagbaakfunctie worden vormgegeven via de schakelorganisaties van NCSC (zoals VNG/IBD).
Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus TLS wijzigt.
Aan Logius/PKIoverheid:
Breng de geactualiseerde NCSC-richtlijn actief onder de aandacht bij de uitgifte van certificaten aan de gebruikers van PKIoverheid.
Aan Platform Internetstandaarden:
Ondersteun ook TLS 1.3 in de testen van Internet.nl.16-09-2014SPFBescherming tegen e-mailphishingVerplicht (pas toe leg uit)Website, Informatiebeveiliging, E-mailIETFNee1Veilig internetJaSPF moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Voor SPF heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.Het gebruik van SPF verkleint de kans op misbruik van e-mailadressen doordat ontvangers betrouwbaar echte e-mails van phishingmails of spam kunnen onderscheiden.SPF is een techniek waarmee een domeinhouder de IP-adressen van verzendende mailservers kan publiceren in de DNS. Een ontvangende mailserver kan deze IP-adressen gebruiken om te controleren of een e-mail daadwerkelijk afkomstig is van een verzendende mailserver van de betreffende domeinhouder.Sender Policy FrameworkSender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1Veilige E-mail Coalitie
Berichtgeving Veilige E-mail Coalitie
Platform Internetstandaarden. Het doel van het platform is het gebruik van moderne internetstandaarden, waaronder SPF, te stimuleren.Openspf
Toolbox (SPF)Internet.nl
SPF Record Testing ToolsGezien de samenhang is naar aanleiding van de expertbijeenkomst DMARC ook SPF in behandeling genomen voor opname op de lijst. De standaard is dus niet los aangemeld. SPF is tegelijkertijd met DMARC in openbare consultatie gegaan en er is een aanvullende controle geweest of de standaard voldoet aan de toetsingcriteria van het Forum Standaardisatie.
Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. Zie hiervoor de adoptieadviezen bij DMARC.18-05-2015STARTTLS en DANEBeveiligde verbinding tussen mailserversVerplicht (pas toe leg uit)Informatiebeveiliging, E-mail, InternetIETFNeeRFC 3207 en RFC 7672Veilig internetJaSTARTTLS en DANE moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Voor STARTTLS en DANE heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.Mailverkeer tussen mailservers verloopt via SMTP. STARTTLS in combinatie met DANE gaan, in aanvulling op SMTP, afluisteren of manipuleren van dit mailverkeer door internetcriminelen tegen. STARTTLS maakt het mogelijk om SMTP-verkeer tussen mailservers over een met TLS versleutelde verbinding te laten lopen.
DANE, dat voortbouwt op DNSSEC, geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van TLS af. Dit voorkomt dat een aanvaller de opzet van STARTTLS kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen.SMTP Service Extension for Secure SMTP over Transport Layer Security (STARTTLS) en SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE)SMTP Service Extension for Secure SMTP over Transport Layer Security (externe link)
SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS)
Factsheet beveilig verbindingen van mailserversDANE users mailinglistFactsheet NCSC 'Beveilig verbindingen van mailservers'
DANE for SMTP wiki
Toolbox (STARTLLS en DANE)Internet.nl
Does your mail server check DANE when sending email?Tijdens de procedure was er een nieuwe concept-standaard (SMTP MTA Strict Transport Security (MTA-STS)) gepubliceerd waarbij de grotere mail platformen betrokken zijn o.a. Gmail en Yahoo!). Deze standaard kan gezien worden als potentiële concurrent van DANE, maar is nog dermate prematuur dat het geen reden was om STARTTLS en DANE op de lijst op te nemen. Zie voor meer informatie het Aanvullend onderzoek SMTP STS.
STARTTLS en DANE werden in 2016 op de 'Pas toe of leg uit'-lijst geplaatst met verplichting voor ontvangende e-mail servers. Verplichting voor verzendende e-mail servers werd in 2016 prematuur geacht vanwege de nog weinig ontwikkelde marktondersteuning. In 2018 heeft het Forum Standaardisatie de marktondersteuning voor STARTTLS en DANE voor verzendende e-mail servers nogmaals getoetst. Op advies van het Forum Standaardisatie heeft het OBDO het functioneel toepassingsgebied van STARTTLS en DANE op 29 november 2018 uitgebreid naar ontvangende en verzendende e-mail servers.
In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Deze baselines verplichten zodoende afgedwongen versleuteling van verbindingen zoals STARTTLS die in combinatie met DANE ondersteunt.
Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.Het Forum en Nationaal Beraad gaf in 2016 ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:
Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
VNG wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard MTA-STS in de gaten te houden en wanneer MTA-STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.
Bij de uitbreiding van het functioneel toepassingsgebied in 2018 werden de volgende aanvullende adviezen gedaan:
Het OBDO wordt opgeroepen de ondersteuning van STARTTLS in combinatie met DANE door leveranciers nader te laten onderzoeken en als vertegenwoordiger van de Nederlandse overheid de leveranciers om betere ondersteuning te vragen.
Het Forum Standaardisatie wordt opgeroepen om over een jaar de stand van zaken rond de alternatieve technologie MTA-STS te evalueren.
Het Forum Standaardisatie wordt opgeroepen om de infographic over e-mailbeveiligingsstandaarden uit te breiden om zodoende de relatie van STARTTLS en DANE met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven.
Organisaties die STARTTLS en DANE toepassen worden opgeroepen de standaarden te implementeren volgens de adviezen van het NCSC.
SIDN wordt opgeroepen om DANE voor mail onderdeel te maken van de incentiveregeling op basis van de Registrar Scorecard.
VNG-Realisatie wordt opgeroepen om de GEMMA Softwarecatalogus aan te passen als het OBDO instemt met uitbreiding van het functioneel uitbreidingsgebied van STARTLS en DANE met uitgaande e-mail-servers. Daarmee krijgen gemeenten beter inzicht in de toepassing van deze standaarden.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.16-12-201519-09-2016DMARCBescherming tegen e-mailphishingVerplicht (pas toe leg uit)Website, Informatiebeveiliging, E-mailIETFNeeRFC 7489Veilig internetJaDMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.Domain-based Message Authentication, Reporting, and ConformanceDomain-based Message Authentication, Reporting, and Conformance (DMARC)Veilige E-mail Coalitie
DMARC.org
IETF
Platform InternetstandaardenNCSC factsheet ‘Bescherm domeinnamen tegen phishing’
Toolbox (DMARC)
Forum Standaardisatie adviseert overheden vanwege privacy zeer voorzichtig te zijn met DMARC Failure Reports (waarvoor de RUF-tag wordt gebruikt). De reden hiervoor is dat deze Failure Reports niet alleen valse maar ook legitieme mails kunnen bevatten die onbedoeld in een mailbox van een derde-partij terecht kunnen komen. Dat betekent dat we overheden afraden om Failure Reports te versturen. Het ontvangen van Failure Reports zou alleen (tijdelijk) gebruikt moeten worden als er geen andere mogelijkheid is om een spoofing-actie tegen te gaan. Daarbij is het belangrijk om Failure Reports te ontvangen in een mailbox waarvoor alleen noodzakelijke autorisaties worden verleend.
Voor achtergrondinformatie zie:
https://tools.ietf.org/html/rfc7489#section-9.1
https://certified-senders.org/wp-content/uploads/2018/08/Report_DMARC_and_GDPR.pdfInternet.nl
Handreiking implementatie strikte DMARC policy Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. En op 24 mei 2018 op advies van Forum Standaardisatie heeft zij besloten om DMARC op te nemen op de 'pas toe leg uit'-lijst.Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:
Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.30-10-201418-05-2015DKIMBescherming tegen e-mailphishingVerplicht (pas toe leg uit)Informatiebeveiliging, E-mail, InternetIETFNeeRFC 6376Veilig internetJaDKIM moet worden toegepast op alle overheidsdomeinnamen waarvandaan wordt gemaild én op alle mailservers waarmee de overheid e-mail verstuurt en ontvangt.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Voor DKIM heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.Het gebruik van DKIM verkleint de kans op misbruik van e-mailadressen doordat ontvangers betrouwbaar echte e-mails van phishingmails of spam kunnen onderscheiden. Ook kunnen ontvangers controleren of de inhoud van de e-mail door derden is gemanipuleerd. DKIM is een techniek waarmee e-mailberichten kunnen worden gewaarmerkt. Een domeinnaamhouder kan in het DNS-record van de domeinnaam aan geven met welke sleutel e-mail namens de betreffende domeinnaam ondertekend moet worden. Een ontvangende mailserver kan de publieke sleutel in het DKIM-record van de domeinnaamhouder gebruiken om te controleren of de gebruiker van het betreffende domein, die een e-mail verstuurt, als afzender te controleren. Hierdoor kan de authenticiteit van de e-mail worden bepaald.DomainKeys Identified Mail SignaturesDomainKeys Identified Mail (DKIM) SignaturesVeilige E-mail Coalitie
Berichtgeving Veilige E-mail Coalitie
DKIM.org
IETFNCSC factsheet ‘Bescherm domeinnamen tegen phishing’
Factsheet Informatiebeveiligingsdienst ‘E-mailauthenticatie: voorkom dat anderen e-mailberichten versturen namens uw gemeentelijke e-maildomein in diverse versies.
DKIM Core Keycheck
Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie het document ‘Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM)’
DomainKeys Identified Mail (DKIM) and Mailing Lists
Toolbox (DKIM) Internet.nl
DKIM Core KeycheckHet Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
Digivaardig & Digiveilig om burgers te informeren over het veilig gebruik van e-mail die afkomstig is van overheden (bijv. m.b.t. het uitvragen van DigiD-gegevens). Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis (hyperlink document).
Het Nationaal Cyber Security Centrum (NCSC) om via Waarschuwingsdienst.nl melding te doen van relevante spam- en phishingactiviteiten die in naam van overheidsorganisaties worden uitgevoerd.
Het NCSC om een richtlijn (analoog aan en in aanvulling op de “ICT-Beveiligingsrichtlijnen voor webapplicaties”) over veilig en betrouwbaar e-mailverkeer op te stellen voor overheidsorganisaties. Laat daarin ook de aanbeveling opnemen om, naast DKIM, additioneel SPF voor e-mailverzending in te zetten en beschouw de samenhang met andere standaarden. Laat hierin ook wijzen op het nut van DKIM verificatie door de overheid zelf, om phishing en spoofing gericht tegen overheidspartijen en ambtenaren zichtbaar te maken.
Beheerders (o.a. ICTU, Logius) van domeinen met een hoog risico op phishing/spam activiteiten (bijv. DigiD, Overheid.nl, MijnOverheid.nl, etc.) om DKIM te gebruiken bij het uitsturen van e-mails.
Het College Standaardisatie beveelt aan om, naast DKIM, additioneel Sender Policy Framework (SPF) voor e-mailverzending in te zetten. SPF is vastgelegd in RFC 4408 van IETF.15-06-201202-11-2010NLCIUSElectronische factureren Verplicht (pas toe leg uit)E-facturering, Financiële administratieSTPEJa voor deze standaard1.03Economie en werkNeeNLCIUS moet worden toegepast op de verzending van elektronische facturen door organisaties die deelnemen aan het economisch verkeer in Nederland (waaronder overheden) welke zijn bestemd voor Nederlandse overheden en instellingen uit de (semi-)publieke sector en de ontvangst hiervan door deze overheden en instellingen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.NLCIUS is een aanvullende specificatie op de verplichte Europese Norm (EN)16931 voor toepassing in Nederland. De Europese Norm (EN16931) beschrijft de wijze van e-factureren naar overheden en is ook bruikbaar voor bedrijven onderling. EN16931 en NLCIUS geven duidelijkheid aan overheden en bedrijven over de elementen en gegevens die op facturen naar overheidsorganisaties gebruikt dienen te worden in Nederland.In combinatie met de Europese Norm (EN)16931 beschrijft NLCIUS welke gegevenselementen er in een elektronische factuur opgenomen dienen en kunnen worden, wat de samenhang is tussen deze elementen en wat de betekenis is van deze elementen. EN 16931 biedt ruimte om aanvullende eisen te stellen door zowel (groepen van) ontvangers als verzenders. Bijvoorbeeld om land-specifieke wetgeving te implementeren. Om te voorkomen dat ontvangers aan overheidszijde hierin afwijkende keuzes maken is, hebben TNO en NEN samen met belanghebbenden een 'core invoice usage specification' (CIUS) ontwikkelt voor verplichte toepassing in Nederland. Uitgangspunt is dat deze Nederlandse CIUS (NLCIUS) zal zo min mogelijk afwijkt van de Europese norm.Semantisch Model e-FactuurNLCIUS specificatie
Standaardisatieplatform e-factureren
Gebruikersinstructie NLCIUS
Semantisch model e-factureren
Hoe kan ik e-factureren?
Accesspoint op Peppol
Nederlandse Peppolautoriteit (NPa)De beheerder Standaardisatieplatform e-factureren biedt meer Informatie over NLCIUS. Technische vragen kunt u direct stellen via support@stpe.nl.
Daarnaast is er het onafhankelijk publiek-privaat overlegplatform Nationaal Multi-belanghebbenden Forum e-Procurement (NMBF) die faciliteert de beleidsmatige discussie over e-factureren en e-procurement in Nederland.Uitvoeringsorganisatie Bedrijfsvoering Rijk: ‘Onze applicatie voor e-facturatie maakt ondernemers weer gelukkig’
Ministerie OCW: 'Dankzij NLCIUS kunnen we écht efficiënter werken'25-05-201824-04-2017NLCIUS is een nieuwe versie van SMeF en is een aanvullende specificatie op de Europese Norm EN16931 voor toepassing in Nederland. NLCIUS heeft net als SMeF2.0 tot doel om op semantisch niveau te komen tot één model voor elektronische facturen. Hierdoor wordt het eenvoudiger om meerdere standaarden te ondersteunen omdat een dergelijk model overheid en bedrijfsleven duidelijkheid biedt over welke elementen er op een elektronische factuur opgenomen dienen te worden ongeacht de onderliggende techniek van uitwisseling. De onderliggende techniek is gespecificeerd in bijvoorbeeld de SETU en UBL standaard. Dit zijn twee veelgebruikte standaarden voor elektronisch factureren. Dankzij mappings kunnen gebruikers van deze standaarden op een eenvoudige uniforme wijze elektronisch naar de overheid factureren. Mappings naar andere standaarden zijn bovendien ook mogelijk. UBL wordt nu getoetst voor opname op de aanbevolen lijst met standaarden van Forum Standaardisatie.Voor de volgende inkoopnummers en beschrijvingen is de standaard relevant:
Financieel /administratieve systemen
48400000-2 Software voor zakelijke transacties en persoonlijke zaken
48440000-4 Software voor financiële analyse en boekhouding
48444100-3 Factureringssysteem
79999200-5 FactureringsdienstenGeo-StandaardenGeografische informatieVerplicht (pas toe leg uit)Metadata, Milieu, Geo-informatieGeonovumJa voor deze standaardZie 'Toelichting bij Opname'UitwisselingsfundamentNeeGeo-standaarden moeten worden toegepast op de uitwisseling van geografische informatie tussen organisaties, waarbij de ruimtelijke dimensie van significant belang is.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.In Nederland zijn organisaties in verschillende domeinen betrokken bij het registreren en uitwisselen van informatie met een geografische component. Dat wil zeggen: informatie over objecten die gerelateerd zijn aan een locatie op het aardoppervlak. Voorbeelden hiervan zijn kadastrale informatie en informatie over waterhuishouding. Om ervoor te zorgen dat de geo-informatiehuishouding van deze domeinen op elkaar aansluit zodat informatie tussen domeinen uitgewisseld kan worden, zijn afspraken nodig over de te gebruiken standaarden. De Geo-standaarden maken het mogelijk om op een eenduidige manier gegevens met een geografische component uit te wisselen.
Bekijk de video van Geonovum voor meer informatie over het nut van GeoPackage. Dit is één van de standaarden uit de Geo-Standaarden.
De Geo-standaarden kunnen worden onderverdeeld in twee groepen. De eerste groep bevat standaarden voor het beschrijven van geo-informatie, waaronder informatiemodellen en standaarden voor metadata, uitwisseling en coördinaatreferentiesystemen. Met deze standaarden wordt de geo-informatie (data) zelf beschreven. De tweede groep bevat standaarden voor services, waaronder die voor het serveren van vector-, raster- en sensordata. Met deze standaarden wordt beschreven hoe de data geserveerd wordt.
Geo-standaardenNederlands Metadataprofiel op ISO 19115 voor Geografie, versie 2.1.0 (externe link)
Nederlands Metadataprofiel op ISO 19119 voor Services, versie 2.1.0 (externe link)
Nederlands WFS Profiel 1.1 op ISO 19142 voor Web Feature Services 2.0 (externe link)
Nederlands Profiel Web Map Service op ISO 19128, versie 1.1 (externe link)
NEN3610:2011 Basismodel Geoinformatie (externe link)
ISO 19136:2007 Geographic information - Geography Markup Language (GML) (externe link)
GeoPackage 1.2U vindt meer informatie over het beheer van de Geo-standaarden op de website van Geonovum, de beheerorganisatie van de standaarden:
https://www.geonovum.nl/geo-standaardenValidatie en conformiteitstoets worden gedaan door Geonovum.Kadaster Dataplatform, het platform met betrouwbare geodataDe Geo-standaarden op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie bestaan uit:Nederlands metadataprofiel op ISO 19115 voor geografie, versie 2.1.0Nederlands metadata profiel op ISO 19119 voor services, versie 2.1.0Nederlands WFS profiel 1.1 op ISO 19142 voor Web Feature Services 2.0, versie 1.1Nederlands profiel Web Map Service op ISO 19128, versie 1.1ISO 19136:2007 Geographic information - Geography Markup Language (GML), versie 2007NEN 3610:2022 (nl) Basismodel Geo-informatie - Termen, definities, relaties en algemene regels voor de uitwisseling van informatie over aan de aarde gerelateerde ruimtelijke objecten, versie 2022GeoPackage 1.2NB. Het predicaat 'uitstekend beheer' is niet van toepassing op GeoPackage, ISO 19136:2007 en NEN 3610:2011 omdat deze standaarden niet beheerd worden door Geonovum.Op 1 februari 2024 stemde het OBDO in met het blijven verplichten van NEN 3610 aan de overheid in versie 2022 nl.28-04-201409-12-2014De verplichting geldt bij de investering in een systeem voor de uitwisseling van geografische informatie.Lees meer over standaarden op de website van Geonovum.E-Portfolio NLOnderwijs en OntwikkelingVerplicht (pas toe leg uit)Loopbaan, CompetentiesNENNeeNEN 2035:2014 nlOnderwijs en cultuurNeeE-Portfolio NL moet worden toegepast op de uitwisseling van informatie over de ontwikkelingsvoortgang van een individu tussen organisaties in de leerketen waar het individu leert en werkt met het doel om levenslang leren en duurzame inzetbaarheid van arbeid te stimuleren.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Door de invoering van competentiegericht leren en toenemende interesse in het gebruik van e-portfolio's is het van belang een afspraak te hebben voor het uitwisselen van e-portfoliogegevens. Met E-portfolio NL kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties. NEN 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Een elektronisch portfolio (e-portfolio) maakt het voor een persoon mogelijk om competenties en de voortgang van de eigen ontwikkeling aan te tonen en bij te houden met behulp van ICT-middelen. E-portfolio NL NEN 2035Specificatiedocument E-portfolioDe Stichting ePortfolio Support (StePS) beoogt coördinatie en versnelling aan te brengen bij de invoering van een elektronisch portfolio voor eenieder die deelneemt aan het onderwijs en de arbeidsmarkt.
De Linkedin Groep voor E-portfolio
Ook is er meer informatie te vinden op de E-portfolio Wiki van Kennisnet
Februari 2015 heeft het Forum besloten om op de lijst de versie NTA:2035-2009 te wijzigen naar de NEN:2035-2014 versie. Dit vanwege de 'backwards compatibility' en de beperkte wijzigingen.18-05-200818-05-2010De verplichting geldt bij een investering in een systeem of dienst dat wordt gebruik om de loopbaanontwikkeling en competenties van bijvoorbeeld personeel bij te houden en te beheren.NL LOMVindbaarheid van leermaterialenVerplicht (pas toe leg uit)Metadata, LeermateriaalEduStandaardNee1.0Onderwijs en cultuurNeeNL LOM moet worden toegepast bij de metadatering van content die ontsloten wordt ten behoeve van educatieve doeleinden.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Door het metadateren van onderwijsmateriaal is zowel het eigen materiaal als het materiaal van anderen (beter) terug te vinden en op verschillende plekken beschikbaar. Dit bevordert de herbruikbaarheid van onderwijsmateriaal.In NL LOM staat beschreven welke metadata toegekend moeten worden aan educatieve content om de vindbaarheid en vergelijkbaarheid van leermateriaal te vergroten. Metadata beschrijven in dit geval de kenmerken van leerobjecten. Te denken valt aan auteursgegevens, titel, uitgever, taal, en dergelijke. Deze afspraak is gemaakt voor de sectoren primair onderwijs, voortgezet onderwijs, middelbaar beroepsonderwijs en hoger onderwijs. NL LOM is een Nederlands toepassingsprofiel van de internationale standaard IEEE-LOM. Het is voornamelijk een semantische standaard, al zijn er ook technische kenmerken.Nederland - Learning Object MetadataSpecificatiedocument NL LOMMeer informatie is te vinden op de NL LOM wiki van Surfnet
Bij beheerorganisatie Edustandaard is ook meer informatie te vinden over NL LOMIn eerste instantie is door een expertgroep gekeken naar de standaard ‘Content Zoekprofiel’. Een standaard van Stichting Kennisnet voor het primair en voortgezet onderwijs. Het bleek dat er ook de standaard ‘LoreLOM’ van Surf Foundation bestaat voor het hoger onderwijs. Door de sector is vervolgens aangegeven dat één standaard is voor educatief materiaal wenselijk is. Op aandringen van het Forum zijn beide standaarden samengevoegd tot één nieuwe standaard: NL-LOM.29-05-2011NL LOM en OAI-PMH werken nauw met elkaar samen bij het ontsluiten en metadateren van onderwijsmateriaal. OAI-PMH is een standaard voor het verzamelen van metadata uit repositories (een bibliotheek met documenten of objecten) en in NL LOM staat beschreven welke metadata toegekend moeten worden aan educatieve content.Bij de aanschaf of bouw van ICT systemen voor het publiceren en vindbaar maken van onderwijsmateriaal.EML_NLVerkiezingsgegevensVerplicht (pas toe leg uit)KiesraadNee1.0Bestuur en rechtNeeEML_NL moet worden toegepast op de definitie en uitwisseling van kandidaatgegevens en uitslaggegevens bij verkiezingen die onder de Nederlandse Kieswet vallen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.De EML_NL standaard zorgt voor de uitwisseling van gegevens bij verkiezingen, zoals kandidaatgegevens en uitslaggegevens. Deze gegevens worden uitgewisseld om de verkiezingsuitslag vast te kunnen stellen. Voor een goed verloop van verkiezingen is het van belang dat dit proces transparant, controleerbaar, vlot en foutloos gebeurt.De EML_NL standaard versie 1.0 definieert de gegevens en de uitwisseling van gegevens bij verkiezingen die vallen onder de Nederlandse Kieswet. Het gaat daarbij om de uitwisseling van kandidaatgegevens en uitslaggegevens tussen politieke partijen, gemeentelijke stembureaus, het hoofdstembureau en het centraal stembureau uitgewisseld om een totaaltelling van de stemmen te kunnen maken en om de verkiezingsuitslag vast te kunnen stellen. Nederlands toepassingsprofiel op de Election Markup LanguageSpecificatiedocument EML_NLMeer informatie over de EML_NL standaard is te vinden bij de Kiesraad. Ga hiervoor naar: https://www.kiesraad.nl/verkiezingen/inhoud/osv-en-eml/eml-standaard29-04-2013Er zijn geen reacties binnengekomen tijdens de openbare consultatie.28-11-2013Bij de aanschaf of bouw van software dat gebruikt wordt voor het verwerken van verkiezingsgegevens (kandidaat en uitslaggegevens)Er is een oproep gedaan naar de Kiesraad om in de documentatie van de standaard het voorbehoud naar gebruikers op te nemen, dat de standaard niet geschikt is om het huidige papieren proces voor het wettelijk vaststellen van de verkiezingsuitslag, te vervangen. Daarnaast is de oproep gedaan aan de Kiesraad om, na behandeling van het wetvoorstel voor een raadgevend referendum, te inventariseren of de EML_NL standaard ook ingezet kan worden bij een raadgevend referendum.JCDRIdentificatie van en verwijzingen naar decentrale regelgevingVerplicht (pas toe leg uit)WebsiteKOOPNee1.0Bestuur en rechtNeeJCDR moet worden toegepast op elektronische verwijzingen naar decentrale regelgeving.
Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Op grond van de Wet elektronische bekendmaking (WEB) zijn decentrale overheden vanaf 1 januari 2011 verplicht om hun algemeen verbindende voorschriften in geconsolideerde vorm op het internet aan te bieden. Dat houdt in dat elke overheid een collectie aanlegt met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt. Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). Door toepassing van de standaard JCDR is decentrale wet- en regelgeving goed identificeerbaar en vindbaar.De standaard JCDR beschrijft hoe dient te worden verwezen naar documenten die in de Centrale Voorziening Decentrale Regelgeving zijn opgeslagen.Juriconnect Decentrale RegelgevingJuriconnectJuriconnect, platform voor informatieuitwisseling en -standaardisatie in het juridisch domein.
In het platform zijn de volgende partijen vertegenwoordigd:
◾Belastingdienst (Centrum voor Kennis en Communicatie);
◾Raad voor de rechtspraak;
◾KOOP (namens Ministerie van Binnenlandse Zaken);
◾Reed Business Information;
◾Sdu Uitgeverij;
◾Wolters Kluwer B.V.;
◾Stipp;
◾Universiteit van Amsterdam;
◾PAUC (Platform Advocaten Uitgevers Contacten).
Dit zijn partijen die als bron, leverancier, respectievelijk gebruiker van juridische informatie een substantiële rol spelen. Het secretariaat van het overlegplatform en de daaraan gerelateerde facilitaire werkzaamheden is door de Stuurgroep uitbesteed aan Stipp.
Doelstelling van het Platform is om met de betrokken partijen in de informatieketen van juridische informatie gezamenlijk te komen tot eenduidigheid in informatie-uitwisseling, structurering en metadatering. Het oogmerk hierbij is om de informatie zowel bij de bron, de leverancier als bij de afnemer efficiënt en doeltreffend te kunnen beheren en in de werkprocessen toe te kunnen passen. Daarbij wordt een efficiënte inrichting van de informatieketen nagestreefd, waarbij informatie- en waardetoevoeging zo dicht mogelijk bij de bron plaatsvindt en redundantie wordt tegengegaan.
Gestreefd wordt met name naar gebruik van, resp. standaardisatie in:
◾ Standaard-ID’s en verwijzingen naar wet- en regelgeving en jurisprudentie;
◾ Standaard-ID’s en verwijzingen naar andere informatiesoorten in het
juridisch informatiedomein; met name: Internationale verdragen, Officiële Publicaties, commentaren, tijdschriftartikelen en boeken;
◾ Standaard ID’s en verwijzingen voor EU-jurisprudentie en –regelgeving;
◾ Uitwerking van gezamenlijke metadata op hoofdniveaus.De expertgroep stelde ten tijde van de toetsing als voorwaarde dat Juriconnect het draft beheerplan voor de standaarden BWB, JCDR en ECLI formaliseerde en publiekelijk beschikbaar maakte. Aan deze voorwaarde is voldaan: op de website van Juriconnect is het beheerplan te vinden van deze standaarden.08-05-201328-11-2013Alle drie de standaarden zijn gericht op standaardisatie van (elektronische) identificatie en/of verwijzing naar respectievelijk wet- en regelgeving en rechterlijke uitspraken, met het doel om de geïdentificeerde inhoud te delen.
De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving".
De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in de CVDR zijn opgeslagen.
De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.Ten aanzien van de toegankelijkheid, beveelt de expertgroep Juriconnect aan, om met name decentrale overheden te betrekken in de besluitvorming van het Juriconnect platform en hierover in overleg te gaan met b.v. VNG en provincies.ECLIVerwijzing naar rechterlijke uitsprakenVerplicht (pas toe leg uit)WebsiteJuriconnectNee1.0Bestuur en rechtNeeECLI moet worden toegepast op elektronische verwijzingen naar rechterlijke uitspraken.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Toepassing maakt citeren, vinden en verbinden van jurisprudentie in Europa snel, eenvoudig en de kans op fouten wordt kleiner.Met de ECLI-standaard kunnen alle rechterlijke uitspraken, uitgesproken in lidstaten van de Europese Unie of door Europese gerechten, van een unieke, betekenisvolle identificatiecode worden voorzien. In Nederland wordt een ECLI in ieder geval toegekend aan alle uitspraken die worden gepubliceerd, op de website van Rechtspraak.nl en/ of door commerciële uitgevers. Daarnaast worden ook steeds meer niet-gepubliceerde uitspraken van een ECLI voorzien. Alle in Nederland uitgegeven ECLI's worden, op z'n minst tezamen met enkele metadata, opgenomen in het ECLI-register, dat is geïntegreerd in de uitsprakendatabank van Rechtspraak.nl.
In de door de Europese Commissie onderhouden ECLI-zoekmachine zijn zoveel mogelijk van een ECLI voorziene uitspraken op Europees niveau toegankelijk gemaakt. Daartoe wordt gebruik gemaakt van een in de standaard gedefinieerde set metadata, gebaseerd op de Dublin-Core- standaard.
De ECLI kan worden gebruikt om uitspraken te citeren in geschreven teksten, maar ook om er persistente deeplinks mee te produceren, zowel naar het Nederlandse ECLI-register als naar de ECLI-zoekmachine.European Case Law IdentifierHet Nederlandse toepassingsprofiel van de ECLI-standaard (externe link)
De Europese ECLI-standaard (externe link)
Implementatie JuriconnectOp Europees niveau is de ECLI-standaard vastgesteld door de Raad van de Europese Unie. Het Nederlandse toepassingsprofiel wordt beheerd door Juriconnect. De Raad voor de Rechtspraak is de nationale ECLI-coördinator, verantwoordelijk voor het uitgeven/ registreren van ECLI's in Nederland.ECLI heeft de LJN-standaard vervangen, welke in 2011 in procedure is geweest. ECLI is backwards compatible met de LJN-standaard.
Een punt van aandacht is het bevorderen van het gebruik van de ECLI_NL standaard in het rechtsprekende domein, waaronder Rechtbanken en de Hoven alsmede de Raad van State. De expertgroep adviseert adoptie te stimuleren bij deze partijen. De Raad voor de Rechtspraak kan als nationale ECLI coördinator door het Forum worden gevraagd om adoptie in het juridisch domein (verder) te stimuleren.28-11-201308-05-2013De drie Juriconnect standaarden BWB, ECLI en JCDR zijn gericht op standaardisatie van identificatie met het doel om de geïdentificeerde inhoud te delen.
De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving".
De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in CVDR zijn opgeslagen.
De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.Wanneer digitaal naar rechterlijke uitspraken wordt verwezen, moet dit gebeuren volgens de ECLI standaard. Om te beginnen bij de eerstvolgende aanschaf van ICT waarbij het verwijzen naar rechterlijke uitspraken relevant is.Bent u betrokken bij het aanschaffen van een ICT-product of -dienst die in relatie staat tot het verwijzen naar rechterlijke uitspraken, decentrale regelgeving of wet- en regelgeving, denk er dan aan dat de open standaarden BWB, JCDR en ECLI toegepast moeten worden. De verplichting om de standaard toe te passen geldt bij aanschaf voor ICT-producten of diensten vanaf € 50.000. In de praktijk zal dit veelal betekenen dat gedacht moet worden aan webredactie bij de (ver)bouw van een nieuwe website vanaf dit bedrag.
De adviezen die de expertgroep ten aanzien van de standaard ECLI_NL doet aan de organisatie Juriconnect zijn:
- De dringende aanbeveling om de Europese Commissie te verzoeken de URN namespace die in ECLI wordt gebruikt, bij IANA vast te laten leggen om die officieel geldig te maken.
- De aanbeveling om in de ECLI_NL standaard een verwijzing op te nemen naar de vindplaats van de ECLI standaard zelf.
BWBIdentificatie van en verwijzing naar wet- en regelgevingVerplicht (pas toe leg uit)WebsiteKOOPJa voor deze standaard1.3.1Bestuur en rechtNeeBWB moet worden toegepast op elektronische verwijzingen naar geconsolideerde wetten en regelingen of delen daarvan.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Citeren, vinden en verbinden van wet- en regelgeving gaat door toepassing van de BWB standaard sneller, eenvoudiger en geeft minder kans op fouten. Gebruik van de standaard biedt daardoor verbetering van interoperabiliteit.De open standaard BWB biedt een eenduidige manier van verwijzen naar (onderdelen van) wet- en regelgeving.
De laatste versie (veris 1.3.1) maakt het mogelijk om in wet- en regelgeving te kunnen verwijzen naar:
- taalversies en onderdelen van internationale verdragen,
- wet- en regelgeving waarvan de indeling niet voldoet aan de gebruikelijke nummering van hoofdstukken en paragrafen, en
- ruime begrippen zoals “enig artikel”.Juriconnect standaard BWB "logische links naar wetgeving"Juriconnect, platform voor informatieuitwisseling en -standaardisatie in het juridisch domein.
In het platform zijn de volgende partijen vertegenwoordigd:
◾Belastingdienst (Centrum voor Kennis en Communicatie);
◾Raad voor de rechtspraak;
◾KOOP (namens Ministerie van Binnenlandse Zaken);
◾Reed Business Information;
◾Sdu Uitgeverij;
◾Wolters Kluwer B.V.;
◾Stipp;
◾Universiteit van Amsterdam;
◾PAUC (Platform Advocaten Uitgevers Contacten).
Dit zijn partijen die als bron, leverancier, respectievelijk gebruiker van juridische informatie een substantiële rol spelen. Het secretariaat van het overlegplatform en de daaraan gerelateerde facilitaire werkzaamheden is door de Stuurgroep uitbesteed aan Stipp.
Doelstelling van het Platform is om met de betrokken partijen in de informatieketen van juridische informatie gezamenlijk te komen tot eenduidigheid in informatie-uitwisseling, structurering en metadatering. Het oogmerk hierbij is om de informatie zowel bij de bron, de leverancier als bij de afnemer efficiënt en doeltreffend te kunnen beheren en in de werkprocessen toe te kunnen passen. Daarbij wordt een efficiënte inrichting van de informatieketen nagestreefd, waarbij informatie- en waardetoevoeging zo dicht mogelijk bij de bron plaatsvindt en redundantie wordt tegengegaan.
Gestreefd wordt met name naar gebruik van, resp. standaardisatie in:
◾ Standaard-ID’s en verwijzingen naar wet- en regelgeving en jurisprudentie;
◾ Standaard-ID’s en verwijzingen naar andere informatiesoorten in het
juridisch informatiedomein; met name: Internationale verdragen, Officiële Publicaties, commentaren, tijdschriftartikelen en boeken;
◾ Standaard ID’s en verwijzingen voor EU-jurisprudentie en –regelgeving;
◾ Uitwerking van gezamenlijke metadata op hoofdniveaus.Partijen die nu de Juriconnect-standaard BWB gebruiken worden opgeroepen om de standaard verder te implementeren en voorbeelden te publiceren hoe de standaard kan worden gebruikt.
Juriconnect en KOOP worden opgeroepen om de link-maker1 van KOOP zichtbaarder te maken op de websites van Juriconnect en KOOP.
Juriconnect wordt opgeroepen om in begrijpelijke taal uit te leggen voor wie de standaard bedoeld is, hoe de standaard werkt, en hoe je deze kan toepassen.
Juriconnect wordt opgeroepen om te communiceren over de standaard met partijen die deze zouden kunnen gebruiken.07-05-201502-02-2016De drie Juriconnect standaarden BWB, ECLI en JCDR zijn gericht op standaardisatie van identificatie met het doel om de geïdentificeerde inhoud te delen.
De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving".
De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in CVDR zijn opgeslagen.
De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.
De verplichting geldt voor internet- en webservices met juridische documenten en systemen die (veel) verwijzingen kennen naar wet- en regelgeving.Bent u betrokken bij het aanschaffen van een ICT-product of -dienst die in relatie staat tot het verwijzen naar rechterlijke uitspraken, decentrale regelgeving of wet- en regelgeving, denk er dan aan dat de open standaarden BWB, JCDR en ECLI toegepast moeten worden. Concreet zal dit vaak aandacht voor inkoop van webredactie betekenen bij de (ver)bouw van een nieuwe website.
De beheerder, het Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP) heeft de status uitstekend beheer toegekend gekregen ten aanzien van deze standaard. Voor overige adviezen aan de beheerder zie: adoptieadviezen.SIKB0102Archeologische informatieVerplicht (pas toe leg uit)BodemSIKBJa voor deze standaard4.3.0 Schoon water en beschermde bodemNeeSIKB0102 moet worden toegepast op de digitale uitwisseling van archeologische gegevens tussen opgravende instanties, vondstendepots en/of archeologische registers.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Met SIKB0102 kunnen overheden en bedrijven gestandaardiseerde archeologische informatie uitwisselen. Dankzij het gebruik van de SIKB0102-uitwisselingsstandaard zijn archeologische onderzoeksgegevens voor iedereen online beschikbaar. Deze gegevens zijn transparant opgezet en beschreven, wat ten goede komt aan het vertrouwen in de kwaliteit van de beschikbare digitale documentaties. Het koppelen van verschillende datasets - bijvoorbeeld in het kader van een synthetiserend onderzoek - wordt vereenvoudigd. Hierdoor kan er met minder inspanning meer kenniswinst worden geboekt. Bedrijfsprocessen lopen efficiënter in een digitaal traject dan in een analoog traject.
Een opgravende instantie, overheidsorganisatie of een bedrijf dat archeologisch onderzoek en/of vondsten doet heeft een wettelijke plicht om binnen twee jaar na afronding van de opgraving de verzamelde informatie beschikbaar te stellen aan een aantal depots (landelijk, provinciaal en/of gemeentelijk). De structuur, het formaat en de waarden voor de digitale uitwisseling van deze informatie wordt beschreven in de SIKB0102-standaard.SIKB0102Protocol 0102 ArcheologieEr staan verschillende hulpmiddelen en documentatie bij de beheerorganisatie SIKB op www.sikb.nl/datastandaarden/richtlijnen/sikb0102.Opname van SIKB0102 op de lijst met open standaarden als ‘Pas toe of leg uit’ standaard geeft een impuls aan de adoptie van deze standaard. De implementatie van de standaard zal vorm krijgen in de plannen, aanbestedingen en uitvoering van betrokken partijen. Verder maakt het toekennen van het predicaat 'uitstekend beheerproces' het makkelijker om toekomstige versie van SIKB0102 op de lijst op te nemen.
De standaard is per 26 november 2021 gewijzigd naar versie 4.3.0.
Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
Aan de SIKB om – nog meer dan nu - zorg te dragen dat met name kleine partijen ondersteuning krijgen.
Aan de SIKB om de betrokkenheid van de archeologische sector te verbeteren door een steviger vertegenwoordiging van systeemleveranciers/ontwikkelaars in het CCvD datastandaarden te realiseren.
Aan VNG om SIKB0102 compliant software op te nemen in de gemeentelijke software catalogus.
Aan de organisatoren van de Reuvensdagen (De Stichting Reuvens, de Programmacommissie en het organiserend team), de RCE, DANS en de SIKB om de komende jaren tijdens de Reuvensdagen aandacht te besteden aan ontwikkelingen en implementaties van SIKB0102. Dit kan bijvoorbeeld met gerichte call for papers of call for sessions aan de belanghebbenden op dit onderwerp.
Aan de RCE om het Archeologisch Basis Register (ABR) samen met het archeologisch werkveld door te ontwikkelen met gebruikmaking van een goed, participatief model.
Aan de SIKB / het CCvD datastandaarden om de monitoring van de adoptie op te pakken met een nulmeting in 2015 en daarna iedere 2 jaar een voortgangsmeting. De meting moet niet alleen aandacht besteden aan de partijen die wel gebruik maken van de standaard maar ook de partijen die dat niet doen.
Aan de SIKB om voor de langere termijn de wijze van financiering van SIKB0102 duurzaam in richten.05-05-201502-02-2016SIKB0101 is een naastliggende standaard met een ander werkingsgebied namelijk milieutechnische bodeminformatie. Er is geen inhoudelijk verband met SIKB0102. Alleen de beheerorganisatie is dezelfde.De verplichting geldt bij een investering in een systeem of dienst dat wordt gebruikt voor de uitwisseling van archeologische informatie, verzameld tijdens het uitvoeren van archeologisch onderzoek en/of bij een archeologische vondst.Voor de volgende inkoopnummers en beschrijvingen is de standaard mogelijk relevant:
Basisregistraties / overheidsgegevens
48000000-8 Software en informatiesystemen38221000-0 Geografische informatiesystemen (GIS of dergelijke)
SIKB0101BodeminformatieVerplicht (pas toe leg uit)Milieu, BodemSIKBJa voor deze standaard14.8Schoon water en beschermde bodemNeeSIKB0101 moet worden toegepast op de uitwisseling van onderzoeksgegevens over de milieuhygiënische kwaliteit van de bodem (grond en grondwater) en de specifieke gegevens die direct voortkomen uit (of vooruitlopen op) de besluiten die het bevoegd gezag naar aanleiding daarvan heeft genomen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector kunnen met SIKB0101 bodemkwaliteitsgegevens, inclusief geografische en administratieve gegevens, uitwisselen. De meerwaarde van SIKB0101 is dat het ertoe bijdraagt dat partijen in het bodembeheer snel en foutloos gegevens kunnen uitwisselen. Dit biedt voordelen voor de bescherming van het milieu en de volksgezondheid.SIKB0101 is een standaard voor de uitwisseling van gegevens voor de milieuhygiënische data binnen het bodembeheer. Het gaat daarbij om het vaststellen of voorkomen van schadelijke gevolgen voor de volksgezondheid en het milieu ten gevolge van bodemvervuiling. Een onderdeel van het gebruik is het aanleveren van bodemkwaliteitgegevens aan landelijke registratiesystemen voor bodemkwaliteit (Bodemloket), aan lokale systemen (bodem informatiesystemen provincies, omgevingsdiensten en gemeenten) en aan BoToVa, het landelijke systeem voor de toetsing van bodem en waterbodems (o.a. vervuilde grond, grondwater, bouwstoffen en bagger). Daarvoor is SIKB0101 de de facto standaard.SIKB0101Specificatiedocument SIKB0101Er staan verschillende hulpmiddelen en documentatie bij de beheerorganisatie SIKB op www.sikb.nl/datastandaarden/richtlijnen/sikb0101.
Informatie over conformiteitstoetsing is te vinden op www.sikb.nl/datastandaarden/datasets-bodem/validatie?term=controletool&p=1.
De SIKB0101-standaard voldoet aan 'uitstekend beheer'. Het CCvD Datastandaarden heeft op 24 juni 2022 SIKB0101 (inclusief Metingen) versie 14.7.0 vastgesteld en gaat in op 1 juni 2022. Voor de nieuwe versie geldt een overgangstermijn tot 1 oktober 2022.Het CCvD Datastandaarden heeft op 23 juni 2023 SIKB0101 (inclusief Metingen) versie 14.8 vastgesteld. Voor de nieuwe versie geldt een overgangstermijn tot 1 oktober 2023.Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:Het ministerie van Infrastructuur en Milieu wordt opgeroepen om te onderzoeken of het mogelijk is om het gebruik van SIKB0101 verplicht te stellen voor de elektronische uitwisseling van (milieuhygiënische) bodemgegevens tussen bedrijven en overheden, tussen burgers en overheden en tussen overheden onderling. De digitale levering van gegevens uit door derden uitgevoerd onderzoek zou bijvoorbeeld kunnen worden geborgd in toekomstige wet- en regelgeving, zoals de herziene Wet bodembescherming en de Omgevingswet.Het ministerie van Infrastructuur en Milieu wordt opgeroepen om ervoor te zorgen dat XML-bestanden worden geaccepteerd in het digitale berichtenverkeer in verband met vergunningsprocessen en Omgevingsloket Online en Activiteitenbesluit Internet Module hierop aan te passen (deze ondersteunen nu alleen PDF-bestanden).VNG en IPO worden opgeroepen om gemeenten en provincies aan te sporen om onderling afspraken te maken over het aanleveren – conform SIKB0101 – van informatie voor het Bodemloket en zo het Bodemloket een impuls te geven.Het Bureau Forum Standaardisatie en SIKB worden opgeroepen om gezamenlijk te kijken hoe ze kunnen samenwerken om SIKB0101 onder de aandacht te brengen en adoptie van de standaard te bevorderen.22-04-201409-12-2014SIKB0101 sluit aan op het Basismodel geo-informatie (NEN 3610). Met de GEO-standaarden is daarmee uitwisseling van geo-informatie tussen verschillende informatiesystemen (ook andere dan bodeminformatiesystemen) mogelijk.Aquo en SIKB0101 worden geharmoniseerd voor wat betreft meetgegevens van bijvoorbeeld waterbodem en grondwater.SIKB0102 is een naastliggende standaard met een ander werkingsgebied, namelijk archeologische informatie. Er is geen inhoudelijk verband met SIKB0101, alleen de beheerorganisatie is dezelfde.De verplichting geldt bij de investering in een systeem of dienst waarmee kwaliteitsgegevens van bodems uitgewisseld worden. Onderdelen van SIKB0101 worden gebruikt voor de definitie van de koppelvlakken voor het domein Milieukwaliteit binnen de Basisregistratie Ondergrond (BRO Fase 2) zoals die medio 2024 gereed moeten zijn. De beheerorganisatie van de BRO en het CCvD Datastandaarden maken afspraken over het beheer van deze onderdelen van SIKB0101.Voor de volgende inkoopnummers en beschrijvingen is de standaard mogelijk relevant:Basisregistraties / overheidsgegevens48000000-8 Software en informatiesystemen38221000-0 Geografische informatiesystemen (GIS of dergelijke)RPKIBeveiligen van de routing infrastructuurVerplicht (pas toe leg uit)IETFNeeVeilig internetNeeRPKI moet worden toegepast door netwerkaanbieders en houders van blokken IP-adressen bij het aanbieden van netwerkconnectiviteit, ter beveiliging van het BGP (Border Gateway Protocol). Dit geldt zowel voor het publiceren van ROA's (Route Origin Authorisations) als voor het valideren en het 'droppen' van invalide routes.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Voor RPKI heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.Resource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken.Met RPKI kan de rechtmatige houder van een blok IP-adressen een autoritatieve, digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf haar netwerk. Deze verklaringen kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen die onrechtmatige routering negeren. Het netwerk valt terug op het 'oude' onbeveiligde routering als RPKI wegvalt.Resource Public Key InfrastructureSpecificatiedocument RPKIHoe je RPKI implementeert wordt in dit nieuwsbericht onderaan toegelicht.
How to implement RPKI is explained in detail at bottom of news article.Overheidsorganisaties kunnen voor door hen gebruikte IP-adressen uit de nummerblokken van de overheid via het aanvraagformulier RPKI ROA’s laten instellen door Logius.
Het advies is om IP-adressen waarvoor geen publieke route wordt aangekondigd (bijv. ongebruikte IP-adressen en IP-adressen die niet via internet worden gerouteerd) te configureren met een AS0 ROA om de kans op misbruik door derden te verkleinen. Voor achtergrondinformatie zie RFC 6483 en RFC 7607.
Aan te raden is om voor iedere BGP route-aankondiging een RPKI ROA te publiceren. Daarbij is het verstandig om “maxLength” alleen te gebruiken in uitzonderlijke gevallen. Voor achtergrondinformatie zie RFC 9319.Het functioneel toepassingsgebied voor RPKI betekent dat publieke IP-adressen van IT-systemen van de overheid ondertekend moeten zijn én dat overheden de geldigheid van handtekeningen valideren bij het verbinden met publieke IP-adressen.Aan NLnet Labs om advies en documentatie over het gebruik van RPKI te communiceren. Dit geldt voor zowel het faciliteren van online documentatie als het adviseren van het gebruik van RPKI.Aan experts van de standaard RPKI om het Forum Standaardisatie actief te informeren over beschikbare vervolgstappen op het gebied van Route Origin Validation. De experts monitoren het speelveld van RPKI en zullen het Forum Standaardisatie actief informeren bij nieuwe ontwikkelingen.Aan Rijkswaterstaat om in de verlenging van de Rijksbrede internetdiensten (het ON2013 raamcontract: https://on2013.nl/) toepassing van RPKI van leveranciers te vereisen.Aan het Forum Standaardisatie om te monitoren op de juiste toepassing van de standaard, met name op het publiceren van ROA’s en het valideren met het principe “invalid = reject”.Het Platform Internetstandaarden wordt opgeroepen om monitoring van RPKI publicaties te faciliteren via het platform internet.nlAan RIPE NCC om in gesprek te gaan met partijen over de invulling en intensiveren van cursussen over RPKI met partijen die hierin geïnteresseerd zijn.25-01-201928-11-2019OpenAPI SpecificationBeschrijven van REST APIsVerplicht (pas toe leg uit)Ruimtelijke ordening, Basisregistraties, Bodem, Geo-informatieOpenAPI InitiativeNee3.0UitwisselingsfundamentNeeOAS moet worden toegepast op het beschrijven/specificeren van een REST API.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Een API is in de praktijk zo effectief als z'n documentatie. De documentatie van een API moet voor machines leesbaar en voor mensen begrijpelijk zijn. OAS 3.0 geeft ontwikkelaars van applicaties een eenduidige en leesbare beschrijving van een REST API waarmee zij de API kunnen gebruiken zonder te hoeven weten hoe deze geïmplementeerd is. OAS 3.0 zorgt voor gemakkelijker (her)gebruik van APIs en minder leveranciersafhankelijkheid.Een OpenAPI Specification (OAS) beschrijft de eigenschappen van de data die een API als input accepteert en als output teruggeeft. OAS 3.0 specificeert alleen welke attributen de API verwerkt en hun datatypen, niet welke implementatie er achter de API schuilgaat. OAS 3.0 is dus een beschrijvende taal en heeft geen binding met specifieke programmeertalen. Een specificatie conform OAS 3.0 is een tekstbestand met een gestandaardiseerde YAML of JSON structuur. Daardoor is OAS zowel leesbaar voor machines als begrijpelijk voor mensen. Met OAS 3.0 kunnen zowel mensen als machines de dataset attributen van een REST API vinden, bekijken en verwerken zonder toegang tot de programmatuur en zonder aanvullende documentatie.
OAS 3.0 is zowel compatibel met de voorgaande versie OAS 2.0 als met de alternatieve standaard RAML (RESTful API Modeling Language) die ook veel gebruikt werd.OpenAPI SpecificationOpen API SpecificationDe aanmelding van de standaard wordt ondersteund door Rijkswaterstaat, Geonovum en in ieder geval toegepast door het Kadaster voor haar REST API's. Het Deelprogramma Digitaal Stelsel Omgevingswet gebruikt OAS 2.0 en OAS 3.0.
De beheerorganisatie OpenAPI Community is een open community opgezet door de Linux Foundation waarbij het beheer en de ontwikkeling gebaseerd is op een open online dialoog met een community van gebruikers die via een kiessysteem kunnen meebepalen over de prioritering van issues.
Om bestaande API specificaties om te zetten naar OAS3 zijn er verschillende converters die dit kunnen doen, hieronder enkele voorbeelden:
https://apimatic.io/transformer
https://mermade.org.uk/openapi-converter<
https://mulesoft.github.io/oas-raml-converter/
Ook is het mogelijk om het handmatig te doen, of na het omzetten alsnog handmatig te optimaliseren, zodat je bepaalde zaken die vaker terugkomen (bijv. een ‘id’ parameter) maar op één plek hoeft te specificeren en van daaruit kan hergebruiken. Dat scheelt aanzienlijk in het onderhoud. Bovendien kun je dan ook externe verwijzingen toevoegen en dezelfde zaken hergebruiken over meerdere APIs.
Daarnaast zijn er ook verschillende portals die op basis van OAS3 de bij behorende API documentatie kunnen leveren, dat kan bijvoorbeeld via:
https://apimatic.io/developer-experience-portal
https://stoplight.io/
https://swagger.io/tools/swagger-ui/
https://redocly.github.io/redoc/
Mocht je OAS bestanden willen creëren dan zijn er ook verschillende tools die hierbij kunnen helpen, dit kan bijvoorbeeld via:
Verder is het verschillende en documentatie en tooling voor het gebruik van de standaard te vinden en openbaar toegankelijk. Zie bijvoorbeeld: https://github.com/OAI/OpenAPI-Specification of op de website van de beheerorganisatie https://www.openapis.org/
http://spec.openapis.org/oas/v3.0.2
https://www.apicur.io/
http://editor.swagger.io/25-05-201824-04-2017OAS moet worden toegepast op het beschrijven/specificeren van een REST API.HTTPS en HSTSBeveiligde websiteverbindingVerplicht (pas toe leg uit)Website, Informatiebeveiliging, InternetIETFNee1.2Veilig internetJaHTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.HTTPS en HSTS zijn per 1 juli 2023 wettelijke verplicht volgens het ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ (Wet digitale overheid).HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.
Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.
HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS)HTTP Over TLS (externe link)
HTTP Strict Transport Security (HSTS)Het Platform Internetstandaarden bevordert het gebruik van Internet veiligheidsstandaarden in Nederland.Factsheet NCSC 'HTTPS kan een stuk veiliger'
Factsheet NCSC 'ICT-beveiligingsrichtlijnen voor TLS'
NCSC 'ICT-beveiligingsrichtlijnen voor web applications'
NCSC 'Veilig beheer van digitale certificaten'Qualys SSL Labs
Internet.nl
Pulse: De stand van zaken rondom HTTPS in de publieke sectorTLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS.
Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de 'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden.
Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:
Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.
Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).
Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.
Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.
Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.
Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.27-10-201609-05-2017Per 1 juli 2023 treedt ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.DNSSECDomeinnaambeveiligingVerplicht (pas toe leg uit)Website, InformatiebeveiligingIETFNeeRFC 4033, RFC4034, RFC4035Veilig internetJaDNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.Domain Name System Security ExtensionsDNS Security Introduction and Requirements (externe link)
Resource Records for the DNS Security Extensions (externe link)
Protocol Modifications for the DNS Security Extensions
Factsheet beveilig verbinden van mailserversInternet Society
SIDNOnline cursus DNSSEC (SIDN)
Rijksoverheden moeten hun domeinnamen onderbrengen bij het Websiteregister Rijksoverheid, Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en Ipv6.
Domeinnaambeleid Rijksoverheid
Praktijkverhaal: Internetdomeinen: tijd voor de grote schoonmaak.
Documentatie: Regie op internetdomeinen: lessen uit de praktijk od de digitale versie hiervan.Internet.nl
Signing ('Is een domein beveiligd met DNSSEC?'): DNSSEC Analyzer van Verisign
DNSVizHet Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan:
Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC.
Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.
De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren. Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. 26-11-201115-06-2012IFCBestandsformaat voor bouwwerkinformatiemodellenVerplicht (pas toe leg uit)BIM, BouwBuildingSMARTNee2x3 TC1Bouwen en wonenNeeIFC moet worden toegepast als bestandsformaat voor de communicatie over en onderlinge coördinatie van bouwwerkinformatiemodellen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Industry Foundation Classes (IFC) is een bestandsformaat voor het uitwisselen en delen van specifieke BIM-informatie (Bouw Informatie Model) tussen de verschillende software-applicaties van partijen in het bouwproces over met name bouwwerken. De standaard is ontwikkeld voor gebruik in de B&U sector. IFC is onafhankelijk waardoor niemand is gebonden aan softwarepakketten. Met IFC kan de hele bouwkolom, van architect tot aannemer en vastgoedbeheerder, communiceren met dezelfde intelligente data. Hierdoor zorgt IFC ervoor dat informatie-uitwisseling tussen overheden onderling en tussen overheden en vergunningsaanvragers of bouwondernemers efficiënter verloopt. Dit is bijvoorbeeld nuttig bij het verlenen van (bouw) vergunningen en bij het ontwikkelen en ontwerpen van gebouwen.IFC is een standaard voor zowel semantische afspraken als voor dataformats en richt zich specifiek op BIM-informatie over bouwwerken. De standaard maakt het mogelijk om een driedimensionaal geometrisch model van een bouwwerk digitaal vast te leggen, inclusief de gegevens van de daarin ondergebrachte elementen en hun onderlinge relaties. Deze beschrijving kan vervolgens in IFC formaat uitgewisseld worden tussen partijen die betrokken zijn bij ontwikkeling, vergunningverlening, beheer en onderhoud van een gebouw.
Industry Foundation ClassesSpecificatiedocument IFCZowel bij het BIM Loket, als bij de beheerorganisatie Building Smart is meer informatie over de IFC standaard te vinden.Op de site van de beheerorganisatie Building Smart staan een aantal hulpmiddelen https://technical.buildingsmart.org/standards/ifc/ifc-formats/Uit de experttoetst is naar voren gekomen dat bij het toepassingsgebied de opmerking moet worden geplaatst dat de bruikbaarheid van IFC zich primair richt op gebouwen – in de breedste zin van het woord. Er is echter een grijs gebied tussen de wereld van „bouwwerken‟ en de wereld van infrastructuur en weg- en waterbouw. Een voorbeeld is de realisatie van een kunstwerk in een snelweg (bijv. een viaduct) of het uitdiepen van een vaarweg (baggeren). Naar mening van de expertgroep vallen deze domeinen op basis van het gekozen toepassingsgebied buiten het primaire domein van IFC.In de vergadering van 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit onderzoek afgerond. Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
Hieronder de conclusies en aanbevelingen voor IFC:
Stimuleer een goede verbinding en afstemming met de andere bouwstandaarden, met name met NLCS.
Blijf de standaard ontwikkelen in lijn met BGT en IMBOR.
Stimuleer dat de nieuwe versie van de standaard binnen een beperkte periode wordt geïmplementeerd door de softwareleveranciers en met name de grote marktleiders. Maak daarbij ook gebruik van opdrachtgevers binnen de overheid en de Europese Unie.
Zorg voor meer kennis van de standaard en benoem de ontwikkelingen en toepassingsvoordelen binnen de overheid.
De hieronder huidige oproep blijft van kracht:
Het College Standaardisatie adviseert overheidsorganisaties om daar waar mogelijk uit te gaan van de zogenaamde ‘coordination view’ binnen IFC. Het Rijksvastgoedbedrijf schrijft de IFC-standaard voor via het Rijksvastgoedbedrijf Bouwwerk Informatie Model Norm.15-11-201126-05-2011VISI versie 1.4 kent samenhang met de standaard IFC (Industry Foundation Classes). VISI wordt gebruikt voor de formele communicatie binnen het bouwproces. IFC wordt gebruikt voor het uitwisselen van bouwwerkinformatiemodellen zoals 3D-tekeningen, toegepaste materialen en planning. Een IFC-bestand kan als bijlage aan een VISI-bericht worden toegevoegd, waarbij in het bericht meta-data over de bijlage kan worden opgenomen (onder andere de duiding van het type bijlage). Beide zijn onderdeel van het Bouw Informatie Model tezamen met een aantal andere standaarden.Bij het investeren in ICT-systemen die gebruikt worden voor het uitwisselen van 3D modellen van een bouwwerk.Bij opname heeft het College Standaardisatie het Benelux-chapter van ‘buildingSMART’ opgeroepen om binnen een jaar een verificatiemogelijkheid (conformance test) van IFC-software te realiseren. Deze verificatiemogelijkheid is gerealiseerd en te vinden op: https://technical.buildingsmart.org/certification/ifc2x3-program/
ODF Format documentbewerkingVerplicht (pas toe leg uit)OASISNee1.3Openbaar en toegankelijkNeeODF moet worden toegepast op de uitwisseling en publicatie van reviseerbare documenten.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.ODF maakt het mogelijk om reviseerbare documenten uit te wisselen die voor bewerking niet afhankelijk zijn van een bepaalde leverancier of applicatie.
ODF is een duurzaam toegankelijk documentformat. Ook in de toekomst blijven ODF bestanden leesbaar en bewerkbaar, ongeacht de kantoorapplicaties die op dat moment al dan niet worden ondersteund.
ODF bestanden hebben een structuur die het makkelijk maakt om digitaal toegankelijke documenten te maken, ook na export naar PDF.ODF beschrijft een verzameling op XML gebaseerde open formaten voor teksten, spreadsheets, presentaties en plaatjes. ODF scheidt inhoud van opmaak door het gebruik van style sheets, en lijkt in dit opzicht op HTML en CSS. Een ODF bestand is een gecomprimeerd ZIP archief dat verschillende XML bestanden bevat, waaronder gebruikelijk 'content.xml' (de inhoud) en 'styles.xml' (de opmaak).
Alle gangbare kantoorapplicaties kunnen ODF bestanden lezen en schrijven. Het gebruik van het standaardformaat ODF staat los van het al dan niet gebruiken van vrije of open source kantoorapplicaties.Open Document FormaatSpecificatiedocumenten ODFLibreOffice: open source applicatie voor de bewerking van ODF bestanden
Openpubliceren: keuzehulpmiddel van de OpenState Foundation voor het bepalen van het beste documentformat voor een gegeven toepassing
Handreiking Open Documentformaten NOiVODF ValidatorIn 2011 heeft Forum Standaardisatie de OASIS standaard ODF versie 1.2 getoetst voor opname op de 'pas toe of leg uit' lijst. In 2015 heeft NEN/ISO versie 1.2 van ODF erkend als NEN/ISO standaard ISO/IEC 26300 (2015).
In april 2021 publiceerde OASIS de nieuwe versie 1.3 van ODF. Deze versie is nog niet door NEN/ISO erkend en Forum Standaardisatie heeft deze versie nog niet getoetst.
Hoewel de 'pas toe of leg uit' verplichting van ODF formeel nog van toepassing is op versie 1.2, adviseren wij om versie 1.3 te gebruiken. De redenen hiervoor:
De versiewijziging van ODF 1.2 naar ODF 1.3 is een 'minor' update en ODF 1.3 is backward compatible met ODF 1.2.
ODF 1.3 introduceert een aantal belangrijke verbeteringen ten opzichte van ODF 1.2.
Zowel Microsoft Office als LibreOffice ondersteunen reeds ODF 1.3.
Wij verwachten dan ook dat NEN/ISO versie 1.3 van ODF binnenkort zal erkennen en dat Forum Standaardisatie deze versie formeel zal toetsen voor opname op de 'pas toe of leg uit' lijst.Bij de opname op de 'pas toe of leg uit'-lijst deed het College Standaardisatie de volgende oproepen ten aanzien van de adoptie van de standaard:
Het opnieuw onderschrijven dat burgers en bedrijven mogen eisen dat een overheidsorganisatie een officebestand in ODF aanlevert en dat zij het recht hebben documenten in ODF aan te leveren.
Het door Bureau Forum Standaardisatie laten uitwerken van een plan voor het voortzetten van de ondersteunende activiteiten rondom de adoptie van ODF (o.a. het actualiseren van de ‘Handreiking Open Documentformaten voor de Overheid’) van het programmabureau ‘Nederland Open in Verbinding’. Dit gebeurd samen met partijen in de community (zoals de OpenDoc Society en de ODF gebruikersgroep voor overheden) Het uitgangspunt hierbij moet zijn dat het Forum Standaardisatie een faciliterende rol heeft en dat de activiteiten zoveel mogelijk een plaats krijgen bij de diverse community-partijen.
Het oproepen van verantwoordelijke ministeries om in regelgeving te verwijzen naar standaarden op de lijst voor ‘pas toe of leg uit’ (en niet naar producten van specifieke leveranciers) en waar nodig bestaande regelgeving hier op aan te passen.
Het oproepen van standaardisatie-organisatie OASIS om het versiebeheer van ODF zodanig in te richten dat onduidelijkheid over verschillende versies kan worden weggenomen.
15-06-201215-11-2010Het Forum Standaardisatie adviseert twee open standaardformaten voor afbeeldingen in ODF bestanden:
PNG is een open standardformaat voor afbeeldingen dat gebruik maakt van exact omkeerbare datacompressie ('lossless compression').
JPEG is een open standaardformaat voor afbeeldingen dat gebruik maakt van niet-omkeerbare datacompressie ('lossy compression').
Deze standaarden staan niet afzonderlijk in de 'pas-toe-of-leg-uit' lijst.
Bij de aanschaf of ontwikkeling van (kantoor)software voor de bewerking van documenten die worden uitgewisseld met burgers, bedrijven of andere overheidsorganisaties.
Deze (kantoor)software moet ODF volledig ondersteunen en mag daarnaast andere (zoals leveranciersafhankelijke) documentformaten ondersteunen.
De verplichting geldt niet voor (kantoor)software waarmee alleen documenten worden bewerkt die binnen een organisatie worden uitgewisseld.Voor Inkoop zal ODF met name voorkomen onder de volgende categorieën en CPV codes:
48300000-1 Software voor het maken van documenten, tekeningen, afbeeldingen, dienstregelingen en productiviteit
72212300-2 Diensten voor ontwikkeling van software voor het maken van documenten, tekeningen, afbeeldingen, dienstregelingen en productiviteit
72512000-7 Documentbeheerdiensten
72330000-2 Diensten voor inhouds- of datastandaardisatie en –classificatie
30232100-5 Printers en plotters
48773000-7 Printersoftware-faciliteiten
48824000-0 Printerservers
30216110-0 Scanners voor computergebruik
48318000-0 Scannersoftware
79999100-4 ScanningsdienstenStUFUitwisseling administratieve overheidsgegevensVerplicht (pas toe leg uit)Netwerk, Zaakgegevens, BasisregistratiesVNG RealisatieNeeUitwisselingsfundamentNeeUitwisseling en bevraging van basisgegevens die behoren tot een aantal wettelijk vastgestelde basisregistraties, zoals Personen (GBA), Adressen (BRA), Gebouwen (BGA), Kadaster (BRK), Nieuw Handelsregister (NHR) en Waarde Onroerende Zaken (WOZ);
uitwisseling en bevraging van zaakgegevens die behoren tot de producten- en dienstenportfolio van gemeenten;
uitwisseling van domein- of sectorspecifieke gegevens waarin ook basis- en/of zaakgegevens voorkomen en waarvoor geen andere (inter)nationale (XML-gebaseerde) berichtenstandaard is vastgesteld.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.StUF is een universele berichtenstandaard voor het elektronisch uitwisselen van gegevens tussen applicaties.Het domein van de StUF-taal omvat informatieketens tussen overheidsorganisaties (basisregistraties en landelijke voorzieningen) en gemeentebrede informatieketens en -functionaliteit. StUF is beschreven in XML en gebaseerd op geaccepteerde internetstandaarden.Standaard Uitwisselings FormaatSpecificatiedocument StUFStUF test (https://vng.nl/projecten/stuf-testplatform12-11-2008De invoering van basisregistraties en geïntegreerde dienstverlening zoals de omgevingsvergunning vragen om harmonisatie van administratieve (StUF) en geografische (NEN 3610) uitwisselingsstandaarden. VNG Realisatie en Geonovum hebben hiervoor gezamenlijk stappen gezet. Zie: Samenwerkingsovereenkomst VNG Realisatie en Geonovum, Brief aan College Standaardisatie.Bij de investering in een systeem of dienst waarmee gegevens uit de verschillende gemeentelijke basisregistraties worden uitgewisseld. SETUInhuur van flexibele arbeidskrachtenVerplicht (pas toe leg uit)Personeel, Loopbaan, E-factureringSETUJa voor deze standaardZie toelichting bij opnameEconomie en werkNeeSETU moet worden toegepast op de elektronische berichtenuitwisseling als ondersteuning van het proces rondom bemiddeling/inhuur van flexibele arbeidskrachten.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.De SETU standaard laat overheden gemakkelijker en efficiënter gegevens uitwisselen met dienstverleners in de uitzendbranche. Door toepassing van de SETU-standaard ontstaat uniformering van het elektronisch berichtenverkeer tussen aanbieders en afnemers (inleners) van tijdelijk personeel (flexibele arbeid).De SETU-standaard vormt de Nederlandse implementatie van de internationale HR-XML standaard. De SETU-standaarden specificeren voor de Nederlandse uitzendbranche welke gegevenselementen verplicht en welke optioneel zijn bij de uitwisseling van informatie.
De SETU-standaard bestaat uit een vijftal deelstandaarden voor de uitwisseling van gegevens over vacatures, selectie, opdrachten, declaratie (tijd en kosten) en facturering.
De deelstandaard voor facturering is een profiel op NLCIUS die ook op de lijst verplichte standaarden van het Forum Standaardisatie staat.
Stichting Elektronische Transacties Uitzendbranche-standaardenAlles over de standaard SETU
Alles over de beheerder SETUMeer informatie over de standaarden en hulpmiddelen zijn te vinden op de website van de beheerorganisatie, www.setu.nl. De meest recente versies van de Assignment en Ordering & Selection standaard zijn te vinden in de SETU-portal Semantic Treehouse.
Zie ook:
SETU in de praktijk
SETU FAQ
SETU stappenplan
SETU werkwijze
SETU Webinar Maak kennis met de SETU
SETU Webinar Het gebruik van API's
SETU Webinar SETU in de praktijkVia de validatiedienst van Logius kan de conformiteit van een bestand aan de HR-XML syntax worden getoetst. De volgende versie zijn beoordeeld en op de lijst opgenomen:
SETU Standard for Ordering and Selection v1.4
SETU Standard for Assignment v1.4
SETU Standard for Reporting Time and Expenses v1.4
SETU Standard for Invoicing v2.2
SETU Standard for Vacancies v1.1
Oorspronkelijk stonden de 1.1, 1.1, 1.0 en 1.0 versies op de lijst. Het Forum heeft in februari 2015 besloten de versie aan te passen naar 1.2, 1.2, 1.3 en 1.3. Op 9 juni 2021 heeft het Forum besloten de versie aan te passen naar 1.4, 1.4, 1.4, 2.2 en SETU Standard for Vacancies v1.1 toegevoegd. OBDO heeft dit 7 juli 2021 bekrachtigd.20-05-2009
7-07-2021 (laatste versie en toevoeging SETU Standard for Vacancies v1.1)De SETU-standaarden vormen de Nederlandse implementatie van de internationale HR-XML standaard. De 2.x versies van de Standard for Invoicing zijn een profiel op NLCIUS en daarmee op NEN - EN16931-1, in de UBL-syntax van OASIS.
De SETU-standaarden specificeren voor de Nederlandse uitzendbranche welke gegevenselementen verplicht en welke optioneel zijn bij de uitwisseling van informatie. Deze gegevenselementen worden vervolgens afgebeeld op de gegevens in de HR-XML standaarden waardoor er toepassingsprofielen ontstaan.Bij investeren in ICT-systemen voor elektronische berichtenuitwisseling rondom de bemiddeling/inhuur van flexibele arbeidskrachtenVoor Inkoop zal SETU met name voorkomen onder de volgende categorieën en CPV codes:
Financieel /administratieve systemen
48400000-2 Software voor zakelijke transacties en persoonlijke zaken
48440000-4 Software voor financiële analyse en boekhouding
48444100-3 Factureringssysteem
79999200-5 Factureringsdiensten
e-HRM-systemen
Algemene personeelsdiensten voor de overheid
79211110-0 Loonadministratiediensten
79600000-0 Recruteringsdiensten
79631000-6 Personeels- en loonlijstdiensten
79634000-7 Diensten voor loopbaanbegeleiding
48440000-4 Software voor financiële analyse en boekhouding
48450000-7 Software voor tijdregistratie of human resources
Inhuur van personeel
79610000-3 Plaatsing van personeel
79620000-6 Diensten voor de terbeschikkingstelling van personeel, met inbegrip van tijdelijk personeel
79630000-9 Personeelsdiensten, met uitzondering van plaatsing en 'outplacement'Het Forum Standaardisatie doet de volgende oproepen ten aanzien van de adoptie van de standaard SETU:
Aan Stichting SETU om het Forum Standaardisatie waar mogelijk te voorzien van signalen waar de adoptie van SETU niet wordt nageleefd.
Aan het Forum Standaardisatie om met Stichting SETU af te stemmen over de signalen waar de adoptie van SETU niet wordt nageleefd.
Aan het Forum Standaardisatie en Stichting SETU om samen op te trekken bij het verhogen en naleven van de adoptie van de standaard SETU.WDO DatamodelDouane-informatieVerplicht (pas toe leg uit)DouaneWereld Douane OrganisatieNee3.3Economie en werkNeeHet WDO datamodel moet worden toegepast op de uitwisseling van informatie tussen het bedrijfsleven en de bij grensoverschrijding betrokken overheden om de formaliteiten te vervullen voor de opslag, aankomst, import, doorvoer, export, vertrek en vrijgave van goederen, vervoermiddelen en personen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Het WDO Datamodel is in 1997 opgezet vanuit de G7 naar aanleiding van de wens van het bedrijfsleven om gegevensaanlevering van het bedrijfsleven naar de overheid op het gebied van grensoverschrijdend personen- en goederenverkeer meer te simplificeren en te harmoniseren.
Importeurs worden vaak geconfronteerd met dat men dezelfde gegevens vaak meerdere keren moet aanleveren, op verschillende manieren, aan verschillende overheidsinstanties en in verschillende landen. Het WDO-Datamodel probeert deze administratieve handelingen te versimpelen.Het WDO Datamodel bevat zogenaamde ‘informatiepakketten’ voor gegevensuitwisseling. Een informatiepakket beschrijft de semantiek van de uitgewisselde informatie: gegevens- en procesmodellen en hiervan afgeleide berichtspecificaties (Message Implementation Guidelines).
Informatiepakketten kunnen aan elkaar gerelateerd worden, waardoor samenhang ontstaat. Het WDO Datamodel integreert op deze manier de semantiek voor verschillende toepassingsdomeinen. Hierbij gaat het niet alleen om de Douane, maar ook om tal van andere overheidsinstellingen die betrokken zijn bij grensoverschrijdend verkeer (Voedsel en Waren Autoriteit, Havenautoriteiten etc.).The World Customs Organization Data ModelVoor overheden is de een specificatie van het WDO datamodel te verkrijgen via de Douane. Voor leveranciers wordt deze specificatie, inclusief implementatie hulpmiddelen, ook aangeboden door de bibliotheek.Toelichting op het beheer
WDO (Wereld Douane Organisatie) is de beheerder van de standaard. Oorspronkelijk heeft voor Nederland Logius de nationale communicatie en coördinatie van de standaard op zich genomen en hiervoor het NPDM (Nationaal Platform Data Model) ingericht. Per 1 januari 2017 zijn de verantwoordelijkheden van het NPDM aan de Douane overgedragen. Hiermee is de Douane ook verantwoordelijk voor de communicatie en coördinatie van het WDO Data Model binnen Nederland. De Douane brengt, als vertegenwoordiger van Nederland namens de andere overheden, ook eventuele wensen voor aanpassing/uitbreiding van het WCO Data Model in bij de WCO.
Oorspronkelijk was de voorwaarde voor opname op de lijst dat er ook een Nederlandse beheerder was van de standaard, met een open beheerproces en voldoende betrokkenheid van de verschillende belanghebbenden. Hiervoor is het NPDM ingericht. Forum Standaardisatie heeft tijdens het Forumoverleg van 15 april 2014 vastgesteld dat aan deze voorwaarden is voldaan, waardoor per die datum het WDO Datamodel aan de 'Pas toe of leg uit' -lijst is toegevoegd. Zie ook het verslag van deze Forum vergadering.06-11-201215-04-2014Bij het investeren in ICT-systemen die ingezet worden voor de administratie van import en export van goederen.VISIBouwprocesinformatieVerplicht (pas toe leg uit)BIM, BouwBIM Loket1.6Bouwen en wonenNeeVISI moet worden toegepast op de uitwisseling van bouwprocesinformatie tussen partijen in de bouwsector, zowel de grond-, weg- en waterbouw, de burger & utiliteitsbouw als de installatiebranche.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Het doel van VISI is om de transparantie en traceerbaarheid van het bouwproces te vergroten en hiermee de kwaliteit en efficiency te verhogen en de doorlooptijd te verkorten. Uiteindelijk draagt dit bij aan de kosten- en procesbeheersing van bouwprojecten.VISI is een open standaard, die zich richt op digitale communicatie tussen partijen in een bouwproject. Met behulp van VISI wordt bepaald wanneer (proces), wie (rol), wat (informatie), aan wie (rol) aanlevert. Hierbij kan gedacht worden aan het geven van opdrachten, het aanleveren van tijdschema’s, het opleveren van resultaten en het melden van afwijkingen. Huidige gebruikers bevinden zich ook buiten de publieke sector, bijvoorbeeld (internationale) bouwgroepen die als opdrachtnemer ingehuurd worden door overheden.VISISpecificatiedocument VISI
Project technische documentatie Visi
Technische Documentatie Visi
VISI is ondergebracht in het BIM Loket. Het BIM Loket (Bouw Informatie Model) is het centrale aanspreekpunt voor informatie over open BIM-standaarden. Meer informatie is te vinden op: http://www.bimloket.nl/Beheerorganisatie CROW heeft verschillende hulpmiddelen voor het toepassen van VISI. Zoals de voordelen van Visi.
In de vergadering van 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit onderzoek afgerond. Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
Hieronder de conclusies, en adoptie adviezen voor VISI.
1. Geef BIM Loket aan dat opname van VISI op de ‘Pas toe of leg uit’-lijst alleen behouden blijft als uiterlijk 3 jaar na dit advies, dus op 1 september 2024, het aantal softwareleveranciers dat VISI gecertificeerd is (volledig VISI of VISI-light) en VISI verifieerbaar en actief ondersteunen, is verbeterd, en dat de toegankelijkheid tot de standaard is verbeterd door:
verbetering van de documentatie,
invoering meerdere certificeringsniveaus, waaronder een VISI-light-certificering,
en andere door BIM Loket nader te bepalen maatregelen, waaronder bijvoorbeeld een vastgestelde API voor berichtuitwisseling conform vaste berichtdefinities.
2. Vraag BIM Loket om halfjaarlijks aan het Bureau Forum Standaardisatie over voorgaande te rapporteren, en treed met Bureau Forum Standaardisatie in overleg hierover.
3. Mochten de bovengenoemde data niet worden gehaald, start dan de procedure tot verwijdering van VISI van de lijst open standaarden van het Forum Standaardisatie. Deze procedure bestaat uit de volgens fases: intake en gesprek met BIM Loket, consultatie bij experts, advies aan het Bureau Forum Standaardisatie en eventuele verwijdering van de Lijst Open Standaarden van het Forum Standaardisatie. Hierbij wordt door Bureau Forum Standaardisatie uiteraard redelijkheid en billijkheid betracht.
4. Ken niet het predicaat ‘uitstekend beheer’ toe aan het BIM Loket, vanwege de tekortkoming op beheer. Start de procedure voor de toekenning van het predicaat ‘uitstekend beheer’ nadat de zaken onder punt 1 zijn afgehandeld.
Het hele onderzoek is terug te lezen in het evaluatierapport van de bouwstandaarden.
De hieronder huidige adviezen blijft van kracht:
Brancheondernemingen en -vertegenwoordigers worden opgeroepen om het gebruik van VISI in de burger en utiliteitsbouw (B&U)-sector een impuls te geven door VISI meer te promoten in deze sector. Bijvoorbeeld door het inzichtelijk maken van de status van adoptie van VISI.
CROW wordt opgeroepen om het VISI-netwerk te mobiliseren om de toegevoegde waarde van VISI te benadrukken, VISI aan te bevelen en het gebruik van de standaard te stimuleren.
Het Forum Standaardisatie wordt opgeroepen om met name bij gemeenten en provincies het gebruik van VISI (en bouwstandaarden) onder de aandacht te brengen via de leden van het Forum.
CROW en Bouw Informatie Raad (BIR) worden aanbevolen om de voortgang van de inzet van de adoptie-instrumenten en de mate van adoptie inzichtelijk te maken.
Reacties uit openbare consultatie
17-04-201409-12-2014In de vergadering van 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit onderzoek afgerond.
VISI kent samenhang met de standaard IFC (Industry Foundation Classes). Deze standaard wordt gebruikt voor de uitwisseling in het kader van bouwwerkinformatiemodellen zoals 3D-tekeningen, toegepaste materialen en planning. Een IFC-bestand kan als bijlage aan een VISI-bericht worden toegevoegd, waarbij in het bericht meta-data over de bijlage kan worden opgenomen (onder andere de duiding van het type bijlage). BIM is de basis op grond waarvan alle relevante bouwwerkinformatie kan worden opgeslagen, ontsloten en geregisseerd in alle bouwfasen: van functionele specificatie, ontwerp en bouw tot beheer, onderhoud en uiteindelijk sloop. Het eenmalig inwinnen en vastleggen van data en meervoudig (her)gebruiken en delen van informatie staat hierbij centraal. VISI is in dit raamwerk de standaard die zorgt voor de communicatie en informatieoverdracht.Bij investeren in ICT-systemen die gebruikt worden voor bouwprocesmanagement (formele communicatie tussen partijen in de bouwsector)In het najaar van 2021 heeft een intake gesprek plaatsgevonden met CROW om versie 1.6 van VISI op de lijst te plaatsen. Alle relevante adviezen aan de beheerders CROW en het BIM-Loket zijn ondergebracht onder het kopje "Adoptieadviezen".
Op 15 oktober 2021 heeft het BIM Loket de standaard VISI in de nieuwe versie (1.6) aangemeld om te blijven verplichten aan de overheid via de 'pas toe of leg uit'-lijst. Op 9 maart 2022 heeft het Forum Standaardisatie besloten de versiewijziging VISI naar 1.6 in procedure te nemen. Op 2 februari 2023 stemde het OBDO in met het blijven verplichten van VISI aan de overheid in versie 1.6.SAMLAuthenticatie en autorisatieVerplicht (pas toe leg uit)Informatiebeveiliging, InternetOASISNee2.0Veilig internetNeeSAML moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SAML wordt gebruik bij onder andere DigiD machtigen en eHerkenning.Bij SAML spelen drie partijen een rol: de ‘gebruiker’, de ‘Identity Provider (IdP)’ en de ‘Service Provider (SP)’. De IdP regelt het authenticatieproces van de gebruiker en kan na succesvolle authenticatie aan de SP gegevens verstrekken over de identiteit, attributen en rechten van een gebruiker.Security Assertion Markup LanguageSAML SpecificationsKantara eGovernment SAML 2.0 Implementation Profile
SAML V2.0 Interoperability Deployment Profile V1.0SAML tracer Firefox PluginSAML staat al geruime tijd op de 'Pas toe of leg uit'-lijst en wordt nog actief gebruikt bij Nederlandse overheden. Voor single sign-on toepassingen wordt ook OpenID Connect (OID) steeds vaker gebruikt. Hoewel OpenID Connect nog geen 'Pas toe of leg uit'-status heeft, wordt de opkomst van deze standaard erkend. Het ligt in de verwachting dat SAML en OpenID Connect de komende tijd naast elkaar gebruikt zullen worden en dat OpenID Connect zal worden aangemeld voor de 'Pas toe of leg uit'-lijst.
Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. Adviezen over SAML die in opdracht van het Forum Standaardisatie zijn uitgebracht
Expertadvies adoptie SAML 2.0 (3 april 2014)
Evaluatie SAML 2.0 (29 januari 2018)
Oplegnotitie Forum Standaardistaie Evaluatie SAML 2.0 (14 maart 2018)
Advisering van het Forum Standaardisatie aan eID over SAML
Adviesrol Forum Standaardisatie bij eID-stelsel (5 februari 2013)
Invulling adviesrol Forum Standaardisatie t.b.v. eID-stelsel NL (29 maart 2013)
Reactie op 'Ontwerp op hoofdlijnen van de werking van het eID Stelsel NL' (22 augustus 2013)
Review Uniforme Set van Eisen - eID (14 juni 2017)
Routeringsvoorziening en OIDC koppelvlak (7 november 2018)31-03-200920-05-2009XBRLBedrijfsrapportages met een financiële componentVerplicht (pas toe leg uit)Financiële administratieXBRL InternationalNeeXBRL 2.1 Economie en werkNeeXBRL v2.1 moet worden toegepast bij de digitale uitwisseling van documenten en berichten dat te kenmerken is als verantwoordingsverkeer en waarin financiële informatie een belangrijke component is.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.XBRL is standaard om (financiële)rapportage gegevens uit te wisselen via het internet. Doordat XBRL-bestanden direct leesbaar zijn voor softwareapplicaties, betekent dit een enorme kostenbesparing op het vlak van verzamelen en verwerken van bedrijfsinformatie. Door deze wijze van aanlevering van financiële informatie is het mogelijk om in een boekhoudpakket één rapportage aan te maken en te versturen naar zowel bank als overheid.Organisaties wisselen bedrijfsinformatie uit op de meest uiteenlopende manieren (op papier of elektronisch, als Word-document, als Pdf, als spreadsheet, etc.). XBRL, eXtensible Business Reporting Language, is een internationale open standaard om deze gegevens op eenvoudige wijze te verzamelen, elektronisch uit te wisselen, te analyseren en zonodig nader te bewerken.eXtensible Business Reporting Language DimensionsSpecificatiedocument XBRLMeer informatie en hulpmiddelen over XBRL en Standard Business Reporting is te vinden op: http://www.wikixl.nl/wiki/sbr/index.php/Body_of_Knowledge of via deze instructie op XBRL.
Zie ook:
Kenniscentrum XBRL
Meer over XBRL
Taxonomie
Fiscaal en jaarverslaggeving zie ook kennisplatform SBRSBR Software CheckDe opname omvat zogenoemde "errata corrections" die voor XBRL zijn uitgebracht.
XBRL op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie bestaan uit de volgende specificaties:
XBRL Dimensions maakt het mogelijk om multidimensionale feiten te rapporteren tegen dimensies die zijn gedefinieerd in een XBRL-taxonomie. Versie 1.0
Extensible Enumerations legt enumeraties met toegestane waarden voor primaire rapportageconcepten vast, waarbij taxonomieauteurs uitbreidbare opsommingen met meertalige labels kunnen definiëren. Versie 2.0
Formula biedt een standaardmechanisme voor het definiëren van regels in een taxonomie die kunnen worden toegepast op instance documents. Versie 1.0
Generic Links biedt een linktype zonder vooraf gedefinieerde semantiek of beperkingen. Te gebruiken als bouwsteen voor andere specificaties, zoals Generic Labels en Generic References om relaties met bepaalde semantiek te definiëren. Versie 1.0
Inline XBRL (iXBRL) biedt een mechanisme voor het insluiten van XBRL-tags in HTML-documenten. Dit combineert XBRL-voordelen van getagde gegevens met een voor mensen leesbare presentatie van een rapport, dat onder controle staat van de opsteller. Versie 1.1
Open Information Model biedt een syntaxisonafhankelijk model voor XBRL-gegevens, dat XBRL-gegevens betrouwbaar omzet in andere representaties. Naast het kernmodel bevat het werkproduct toewijzingen aan JSON- en CSV-indelingen voor XBRL-gegevens. Versie 1.0
Registries bieden een gecentraliseerde lijst van definities, waardoor uitvoerders geschikte definities die door anderen zijn gemaakt, kunnen hergebruiken. Hoewel het gebruik van de registers niet verplicht is, zal hergebruik van definities waar mogelijk de interoperabiliteit bevorderen. Versie 1.x
Table Linkbase biedt een mechanisme voor taxonomieauteurs om een tabellaire lay-out van feiten te definiëren. Deze tabellen worden gebruikt voor zowel presentatie als gegevensinvoer. Versie 1.0
Taxonmy Packages bieden een gestandaardiseerd mechanisme voor het verstrekken van documentatie over de inhoud van een taxonomie. Zoals de naam, versie en uitgever van de taxonomie, evenals een lijst met de "toegangspunten" (entrypoints) die beschikbaar zijn binnen de taxonomie. Taxonomy Packages kunnen ook URL-hertoewijzingen bevatten, waardoor XBRL-hulpprogramma's automatisch kunnen worden geconfigureerd voor offline gebruik. Versie 1.0
Versioning definieert de basissyntaxis en semantiek voor een XBRL-versierapport. Versie 1.017-04-2010Bij het investeren in ICT-systemen voor bedrijfsadministratie en boekhouding.GWSWUniform vastleggen, uitwissel en hergebruiken van gegevens in het stedelijke waterbeheer.Verplicht (pas toe leg uit)WaterbeheerRIONEDJa voor deze standaard1.5.2Schoon water en beschermde bodemNeeGWSW moet worden toegepast op het uniform uitwisselen van gegevens in het stedelijke waterbeheer betreffende de verwerking van hemelwater en de inzameling en het transport van afvalwater en overtollig grondwater.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.In het beheer van stedelijk water en riolering worden gegevens steeds belangrijker. Meerdere ketenpartijen zijn betrokken bij het beheer van stedelijk water en riolering, denk hierbij aan gemeenten, bedrijven en waterschappen. Het doelmatig managen van (afval)watersystemen vereist een gemeenschappelijk taal. Ook de maatschappelijke opgaven zoals klimaatadaptatie, energietransitie en de bouwopgave vereisen een (digitale) integrale aanpak, waarbij gezamenlijke gegevensdefinities een voorwaarde zijn.Het GWSW is een ontologie, een speciale datastructuur die assets, systemen en (beheer)processen op het gebied van stedelijk waterbeheer beschrijft. Het is een open datastandaard volgens het linked data principe. Het GWSW is onderdeel van het Semantisch Web en is gemodelleerd in RDF/RDFS/OWL-2.Gegevenswoordenboek Stedelijk WaterGegevenswoordenboek Stedelijk Water -Modules‘Woorden doen ertoe, óók in het riool’.
Linked Aquo, de standaard voor waterbeheerders15-04-201923-03-202029-04-2021De versiewijziging van versie 1.4 naar 1.5.1 voegt een aantal modules aan GWSW toe:
Hydraulisch modelleren
Toepassingen in het Geo-domein
Pre-GWSW versies van GWSW-Maatregelen en GWSW-kentallen, voor het maken van afvalwaterketenprognoses.
Ontsluiting rioleringsdata naar Publieke Dienstverlening op Kaart (PDOK).
Deze nieuwe modules bieden ondersteuning voor belangrijke beheeractiviteiten van stedelijk waterbeheerders. In alle gevallen betreft het aanpassingen in termen en definities van de minimale dataset voor uitwisseling tussen partijen, wijzigingen ten behoeve van kwaliteitseisen van datasets en aanpassingen in het uitwisselformaat.
In versie 1.5.1 zijn ten opzichte van voorgaande versies aanpassingen opgenomen in het informatiemodel en het bijbehorende uitwisselformaat RibX naar aanleiding van veranderingen in de landelijke werkwijze voor rioolinspectie volgens de Europese norm EN13508-2.Ades Baseline ProfilesGeavanceerde en gekwalificeerde digitale handtekeningenVerplicht (pas toe leg uit)ETSIJa voor deze standaardXades v2.1, Pades v2.1, Cades v2.2 en Asic v2.2Openbaar en toegankelijkNeeDe AdES Baseline Profiles moeten worden toegepast op de ondertekening van XML-, CMS-, PDF- en ZIP-bestanden met geavanceerde en/of gekwalificeerde elektronische handtekeningen, zegels of tijdstempels.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Een digitale handtekening geeft de ontvanger van een digitaal document of bericht zekerheid dat het afkomstig is van de ondertekenaar en dat deze de inhoud van het bericht onderschrijft. De Advanced Electronic Signature (AdES) standaard voorziet in het digitaal tekenen van documenten met een geavanceerde of gekwalificeerde digitale handtekening.
Als een verzender een document tekent met een digitale (AdES) handtekening, dan moet de ontvanger die ook kunnen verifiëren. Dat wordt soms bemoeilijkt doordat AdES verschillende configuraties toestaat, waardoor een verzender opties kan gebruiken die de ontvanger niet kan verifiëren. De AdES Baseline Profiles voorzien in afspraken zodat verzender en ontvanger dezelfde AdES basisconfiguratie gebruiken.De Advanced Electronic Signatures (AdES) standaarden bevatten meerdere opties die in een handtekening kunnen worden gebruikt. Als een verzender een AdES configuratie gebruikt die niet door de ontvanger wordt ondersteund, dan kan de ontvanger de handtekening niet verifiëren.
Om te garanderen dat de ontvanger de AdES handtekening van de ondertekenaar altijd kan valideren is het noodzakelijk om afspraken te maken over het gebruik van de AdES opties. Een dergelijke selectie van opties wordt een profiel genoemd. De AdES Baseline Profiles beschrijven profielen voor het ondertekenen van XML-documenten (XAdES), PDF-documenten (PAdES), CMS-documenten (CAdES) en documentcontainers/ZIP (ASiC).Ades Baseline ProfilesXades Baseline Profile (externe link)
Pades Baseline Profile (externe link)
Cades Baseline Profile (externe link)
Asic Baseline ProfileDe Europese regelgeving (Besluit 2011/130/EU, Verordening 910/2014 van het Europees Parlement en de Raad, en het Uitvoeringsbesluit 2015/1506 van de Europese Commissie) verplicht een ontvanger al om documenten digitaal getekend volgens de AdES Baseline Profiles te accepteren.
Opname van AdES Baseline Profiles op de ‘Pas toe of leg uit’ lijst verplicht verzenders om AdES Baseline Profiles te gebruiken als zij documenten voorzien van een geavanceerde of gekwalificeerde digitale handtekening. Het Forum Standaardisatie doet een oproep:
Aan de indiener om te vragen te starten met het verzamelen van best practices en hierbij betrokken partijen te het verzoeken zich kenbaar te laten maken als kennisbron met betrekking tot de AdES standaarden.
Aan de indiener om met de stakeholders bepalen of er behoefte is aan een onderzoek naar aanvullende standaarden voor het beschrijven van tijdstempelautoriteiten.
Aan PKI Overheid om over te gaan op onderzoek naar mogelijkheden voor aanpassing van de middelen om tijdstempels te ondersteunen bij het gebruik van een PKI certificaat.
Aan het Forum Standaardisatie om te vragen om over twee jaar na opname van de standaard te beoordelen of de kwantitatieve behoefte aan de standaard voldoende aanwezig is en hoe de adoptie van de verloopt.
Aan het Forum Standaardisatie om bij opnamen een toelichting op te nemen, waarbij het verschil en de overeenkomst tussen een gewone (ook wel natte) handtekening, een elektronische handtekening, een geavanceerde en een gekwalificeerde elektronische handtekening wordt uitgelegd met een verwijzing naar artikel 15a Boek 3 van het Burgerlijk wetboek en de Richtlijn 1999/93/EG van het Europees Parlement.
22-04-201609-05-2017XML-, PDF-, CMS-, en ZIP-documenten voorzien van een geavanceerde of gekwalificeerde elektronische handtekening of zegel moeten voldoen aan de AdES Baseline Profiles.SKOSLinked data en begrippenlijstenVerplicht (pas toe leg uit)Waardelijsten, InformatiemanagementW3CNeeSKOS W3C Recommendation 18 August 2009Openbaar en toegankelijkJaSKOS moet worden toegepast op de publicatie van niet-geformaliseerde systemen voor kennisrepresentatie op het internet, met als doel:
kennis over de betekenissen en samenhang van de onderliggende begrippen te ordenen en toegankelijk te maken
hergebruik mogelijk te maken.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Het publiceren van gegevensbestanden in de vorm van begrippenlijsten, digitale woordenboeken en taxonomieën door overheidsorganisaties gebeurt vaak in de vorm van documenten die niet bruikbaar zijn voor computerprogramma’s. SKOS zorgt ervoor dat deze kennisrepresentaties via het internet aan elkaar kunnen worden gekoppeld en maakt het mogelijk dat gegevensbestanden makkelijker als open data kunnen worden hergebruikt.Door het toepassen van de standaard worden de (familie)relaties tussen de verschillende definities van begrippen beter inzichtelijk en is data uit verschillende systemen beter te vergelijken en te interpreteren. Zo is bijvoorbeeld het begrip ‘adres’ in het Handelsregister een breder begrip dan het begrip ‘adres’ in de Basisregistratie Adressen en Gebouwen (BAG). Met SKOS kunnen deze begrippen (ondanks dat ze niet exact hetzelfde zijn) toch met elkaar in verband worden gebracht. Hierdoor hoeven definitiekwesties niet eerst te worden beslecht voordat er gegevensuitwisseling kan plaatsvinden. Dit zorgt voor tijdswinst omdat relevante informatie sneller gevonden kan worden en geeft inzicht in de samenhang en (in)consistentie van begrippen (en bijbehorende definities). Simple Knowledge Organization SystemSpecificatiedocument SKOSPlatform Linked Data Nederland organiseert regelmatig bijeenkomsten over Linked Data standaarden (waaronder SKOS), daarnaast zijn er verschillende hulpmiddelen op de website te vinden.Meer informatie en hulpmiddelen zijn te vinden op de website van de beheerorganisatie W3C.Netwerk Digitaal Erfgoed: ‘Met SKOS bouwden we het Termennetwerk’SKOS bouwt voort op RDF (opgenomen op lijst als gangbare standaard). SKOS is geen vervanging van eXtensible Business Reporting Language (XBRL; Elektronisch verkeer dat te kenmerken is als verantwoordingsverkeer waarin financiële informatie de kern vormt) en Semantisch Model e-Factuur (SMeF; voor elektronisch factureren), welke beide een ander functioneel toepassingsgebied hebben.
In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘Pas toe of leg uit’-lijst. Aan de hand van deze syntaxis is het functioneel toepassingsgebied van SKOS hierboven beschreven volgens de standaardsyntaxis. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit advies over de aanpassing van de functionele toepassingsgebieden document- en (web)content-standaarden.Om de adoptie van SKOS te bevorderen zijn de volgende adviezen meegegeven:
Platform Linked Data Nederland wordt opgeroepen om de mogelijkheid en de behoefte te onderzoeken van een duurzaam register van alle publiek beschikbare KOS.
Platform Linked Data Nederland wordt opgeroepen om aandacht te vragen voor SKOS via publicatie van artikelen in dagbladen /vakbladen/online/etc. De opname op de lijst is een goed moment om dat samen met Bureau Forum Standaardisatie op te pakken.
Platform Linked Data Nederland wordt opgeroepen om te toetsen of opname van SKOS in de NORA mogelijk is.
Platform Linked Data Nederland wordt opgeroepen om trainingen te verzorgen die de implementatie en het gebruik van SKOS moeten bevorderen.
Platform Linked Data Nederland en Bureau Forum Standaardisatie worden opgeroepen om te kijken hoe de voortgang en de mate van adoptie inzichtelijk gemaakt kan worden.
Forum standaardisatie wordt opgeroepen om de relatie tot RDF op de lijst te verduidelijken.30-10-201418-05-2015SKOS bouwt voort op de Linked Data-standaarden RDF, RDFS en OWL. Linked data is een methode om gestructureerde gegevens te publiceren op het internet en met andere data te verbinden. Hierdoor worden verbanden tussen verschillende open databronnen zichtbaar. Deze samenhang maakt het makkelijk om relevante informatie te vinden, te structureren en te koppelen. RDF is een algemene abstracte informatiestructuur. SKOS is een specifieke toepassing van RDF op niet formele kennissystemen. SKOS verschilt van OWL daar OWL vocabulaires onderdeel zijn van geformaliseerde kennissystemen.Zodra investeringen worden gemaakt om op het web waardelijsten, thesauri, taxonomieën en andere systemen voor kennisrepresentatie publiek beschikbaar te stellenVoor Inkoop zal SKOS met name voorkomen onder de volgende categorieën en CPV codes:
48224000-4 Software voor webpage-editen
72330000-2 Diensten voor inhouds- of datastandaardisatie en –classificatie
72413000-8 Diensten voor het ontwerpen van websitesNEN-ISO/IEC 27001Managementsysteem voor informatiebeveiligingVerplicht (pas toe leg uit)Informatiebeveiliging, InformatiemanagementNENNeeNEN-ISO/IEC 27001:2013Veilig internetNeeNEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.De NEN-ISO/IEC 27001-standaard bevat eisen waar het managementsysteem voor informatiebeveiliging aan dient te voldoen. De standaard werkt uniformerend ten aanzien van het informatiebeveiligingsbeleid.Deze standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s van een organisatie.
De Nederlandse overheid heeft haar eigen kaders voor informatiebeveiliging die zijn afgeleid van de 27001- en 27002-normen. NEN-ISO/IEC 27001:2013Specificatiedocument NEN-EN-ISO/IEC27001
Voor rijksambtenaren kosteloos beschikbaar op Lees-RijkNormencommissie Cybersecurity en gegevensbescherming.Zie voor meer informatie over de diverse baselines de website van de NORA.
In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27001:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend. Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27001:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27001:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst.
Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017
De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal, die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.18-05-2015STIX en TAXIIUitwisseling van cyberdreigingsinformatieVerplicht (pas toe leg uit)InformatiebeveiligingOASISNee1.2.1 (STIX) en 1.1.1 (TAXII)Veilig internetJaSTIX 1.2.1 en TAXII 1.1.1 moeten worden toegepast op de gestructureerde uitwisseling van informatie over digitale dreigingen tegen informatiesystemen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.STIX en TAXII maken het mogelijk om dreigingsinformatie over een cyberdreiging of -aanval op een gestructureerde en automatisch verwerkbare manier te beschrijven en in real-time te delen met belanghebbende organisaties. Op basis van de dreigingsinformatie kunnen de betreffende organisaties indien nodig beveiligingsmaatregelen treffen.STIX is een op XML-gebaseerde gestructureerde taal om cyberdreigingsinformatie te beschrijven zodat deze op een consistente manier kan worden gedeeld, opgeslagen en geanalyseerd.
TAXII is een protocol voor het geautomatiseerd en in real-time uitwisselen van cyberdreigingsinformatie in STIX-formaat.Structured Threat Information eXpression (STIX) en Trusted Automated eXchange of Indicator Information (TAXII)Specificatiedocument STIX (externe link)
Specificatiedocument TAXIIOASIS Cyber Threat Intelligence (CTI)
OASIS documentatie Ten aanzien van de adoptie van STIX 1.2.1 en TAXII 1.1.1 worden de volgende adviezen gegeven:
Het Forum Standaardisatie roept het NCSC op om samen met betrokkenen een leidraad op te stellen, al dan niet als onderdeel van een bestaand kennisproduct, ten behoeve van het eenduidig gebruik van de standaarden. De toepassing van STIX en TAXII zal veel effectiever zijn als ook op het vlak van semantiek standaardisatie plaatsvindt. De leidraad moet dit borgen. Onderdeel van de leidraad dient ook te zijn dat bij het gebruik van STIX en TAXII de toepassing van CybOx wordt geadviseerd.
Het Forum Standaardisatie adviseert het NCSC om mede in de context van het Nationaal Detectie Netwerk (een samenwerking van onder andere het NCSC voor het beter en sneller waarnemen van digitale gevaren en risico's) kennisbijeenkomsten te organiseren voor het verspreiden van kennis over en ervaring met het gebruik van STIX en TAXII.
Het Forum Standaardisatie roept betrokkenen bij SOC’s (security operations centres) en CERT’s (computer emergency response teams) binnen de overheid en publieke sector op om kennis op te doen over de meerwaarde en toepassing van de uitwisseling van gestructureerde dreigingsinformatie met STIX en TAXII.
Het Forum Standaardisatie roept overheden die STIX en TAXII toepassen op om informatie over de meerwaarde van het gebruik voor hen en best practices te delen.
Het Forum Standaardisatie roept VNG op om in de GGI (gemeentelijke gemeenschappelijke infrastructuur) STIX en TAXII toe te passen in het SOC (security operations center).28-04-201721-11-2017NEN-ISO/IEC 27002Richtlijnen en principes voor informatiebeveiligingVerplicht (pas toe leg uit)Informatiebeveiliging, InformatiemanagementNENNeeNEN-ISO/IEC 27002:2013Veilig internetNeeNEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen inzake informatiebeveiliging, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden.Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.De NEN-ISO/IEC 27002-standaard is een best practice van beveiligingsmaatregelen (‘controls’) om informatiebeveiligingsrisico’s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. De standaard kan gezien worden als een nadere specificatie van NEN-ISO/IEC 27001. ISO 27002 geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie.
De Nederlandse overheid heeft haar eigen kaders (baselines informatiebeveiliging) afgeleid van de 27001- en 27002-normen.NEN-ISO/IEC 27002:2013Specificatiedocument NEN-ISO/IEC 27002
Voor rijksambtenaren kosteloos beschikbaar op Lees-RijkNormencommissie Cybersecurity en gegevensbescherming.Zie voor meer informatie over de diverse baselines de website van de NORA.
In projecten waar de bouw of doorontwikkeling van software aan de orde is, kan Secure Software Development (https://www.cip-overheid.nl/category/producten/secure-software/) een waardevolle aanvulling zijn op EN-ISO/IEC27002:2013. SSD beschrijft hoe de een opdrachtgever grip krijgt op het ontwikkelen van veilige software. SSD staat niet op de 'Pas toe of leg uit'-lijst van het Forum Standaardisatie, maar de meerwaarde van deze methode wordt terdege onderkend. Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst.
Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017
De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.Ten aanzien van de adoptie van NEN-ISO/IEC 27001 en 27002 zijn door het Forum de volgende adviezen meegegeven:
De lopende besprekingen tussen het ministerie van BZK en de NEN ten aanzien van de afkoop van het gebruik van de standaarden zo snel mogelijk af te ronden.
Op de ‘Pas toe of leg uit’-lijst de verhouding tussen de standaarden en de baselines informatiebeveiliging (zoals de BIR, BIG, BIWA, IBI en sectorale baselines zoals die in het onderwijs) op te nemen.
De relatie tussen de normen en de baselines informatiebeveiliging met de beheerders van de baselines te bewaken via de Werkgroep Normatiek.
Het is geen eis om deze standaarden bij alle inkopen van ICT-producten en diensten te vereisen. Inkopende organisaties dienen zelf, ten aanzien van een specifieke aanschaf, risicogebaseerd te bepalen of zij de naleving van deze standaarden van hun leverancier vereisen, mede op basis van de eigen intern geldende baseline informatiebeveiliging.
In de communicatie dient helder te zijn dat niet beoogd wordt om in alle gevallen van toepassing van deze standaarden certificering van de leverancier te eisen; in eerste instantie kan naleving van de standaarden vereist worden en daarna, voor zover opportuun voor de inkopende organisatie in het specifieke geval, kan certificering van de leverancier vereist worden.18-05-2015WPA2 EnterpriseBeveiligde WiFi-netwerkenVerplicht (pas toe leg uit)Netwerk, Informatiebeveiliging, InternetIEEE-ISTONeeVersie 2 (802.11)Veilig internetNeeWPA2 Enterprise moet worden toegepast op het tot stand brengen van toegang tot WiFi-netwerken, met uitzondering van openbare netwerken voor gastgebruik.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.WPA2 Enterprise maakt het mogelijk dat gebruikers automatisch en veilig toegang krijgen tot aangesloten WiFi-netwerken. Ook als deze WiFi-netwerken zich buiten de eigen organisatie bevinden. De authenticatie vindt plaats op basis van bestaande identiteitsgegevens van de gebruiker, hierdoor hoeven gebruikers niet opnieuw in te loggen. Met het gebruik van WPA2 Enterprise is ook de integriteit van de netwerkverbinding geborgd.
Dienstverleners zoals Rijk2Air, Govroam en Eduroam maken gebruik van WPA2 Enterprise.Bij WPA2 Enterprise spelen drie partijen een rol: de ‘gebruiker’, de ‘Identity Provider (IdP)’ en de ‘Service Provider (SP)’. Zodra een gebruiker contact maakt met het betreffende WiFi-punt toetst de SP (beheerder van het WiFi-punt) op basis van de inloggegevens bij de IdP (de thuisorganisatie van de gebruiker) de identiteit van de gebruiker. Na positieve verificatie van de identiteit van de gebruiker, wordt toegang verleend tot het WiFi-netwerk zonder dat aanvullende inlog noodzakelijk is.
De WPA2 Enterprise standaard refereert naar een aantal andere standaarden:
EAP: standaard voor authenticatie over een point-to-point-verbinding, bijvoorbeeld tussen een WiFi-gebruiker en een accesspoint.
IEEE 802.1X: standaard om EAP te gebruiken op een WiFi-netwerk.
RADIUS: maakt het mogelijk om toegang te verlenen op basis van de identiteit van de gebruiker.Wi-Fi Protected Access II EnterpriseIEEE 802.11i-2004 - IEEE Standard for information technology-Telecommunications and information exchangeGovroam
Eduroam
Rijks2AirHet valideren van servercertificaten in combinatie met WPA2 Enterprise is wenselijk op het moment dat er gebruik wordt gemaakt van een EAP-TLS methode om een verbinding op te zetten.
Verbindingen via de RADIUS server zijn kwetsbaar voor Man-in-the-Middle aanvallen op het moment dat de identiteit van de server niet goed is geverifieerd en gevalideerd. Voor meer informatie ga naar de blog. Hiervoor zijn ook verschillende configuratie tools en instructies. Een voorbeeld hiervan is: https://cat.eduroam.org.Forum Standaardisatie adviseert de overheid om ook openbare WiFi netwerken voor gastgebruik altijd op een veilige manier aan te bieden. Denk bijvoorbeeld aan de openbare gastnetwerken bij de balie van rijksdiensten en gemeenten. Hoewel WPA2 Enterprise niet verplicht is voor openbare WiFi gastnetwerken, raadt Forum Standaardisatie wel aan om WPA2 Enterprise of alternatieve oplossingen met een vergelijkbaar beveiligingsniveau in deze netwerken toe te passen.
Forum Standaardisatie doet hierbij een oproep aan koepelorganisaties VNG (Realisatie), UvW, IPO en CIO Rijk om gezamenlijk duidelijke voorwaarden te formuleren waaraan leveranciers van authenticatiediensten voor openbare WiFi gastnetwerken met WPA2 Enterprise moeten voldoen. Het gaat met name om afspraken over privacy, leveranciersonafhankelijkheid en interoperabiliteit.
Lees ook het nieuwsbericht WPA2 Enterprise niet verplicht in openbare WiFi netwerken voor gastgebruikTen aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:
De beheerders van de sectorale baselines informatiebeveiliging (zoals de BIR, BIG, IBI en BIWA) en de daarbij behorende handreikingen, te laten overwegen WPA2-Enterprise als te nemen maatregel op te nemen.
Gebruikers (en met name de organisaties die Rijk2Air, Govroam en Eduroam beheren) op te roepen om best practices op te stellen met betrekking tot de installatie en configuratie bij gebruikmaking van WPA2-Enterprise.
Via bestaande monitoringinstrumenten in kaart te brengen wat de concrete stand van adoptie is en de adoptiegraad in de tijd te volgen. Dit kan bijvoorbeeld via de Monitor open standaarden van het Forum Standaardisatie en monitoring vanuit centrale overheid en koepels van decentrale overheden zoals VNG.
Gebruikers (en met name de organisaties die Rijk2Air, Govroam en eduroam beheren) op te roepen IEEE aan te moedigen om de standaard permanent royalty-free beschikbaar te stellen.24-04-201502-02-2016NLCS2D tekenstandaardVerplicht (pas toe leg uit)BIM, BouwBIM LoketNee4.1Bouwen en wonenNeeNLCS moet worden toegepast bij het opstellen van 2D-tekeningen die worden gemaakt in de grond-, weg-, en waterbouwsector (GWW-sector), met als doel het verhogen van de eenheid in het CAD-tekenwerk en de uitwisselbaarheid van tekeningen.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Organisaties hanteren vaak een eigen tekenstandaard voor de opbouw van digitale tekeningen. Hiermee geeft een organisatie een eigen signatuur af. Maar het belemmert ook de uitwisseling en het hergebruik van tekeningen waardoor tekeningen vaak opnieuw moeten worden getekend. Dit is inefficiënt, kan leiden tot misverstanden en fouten en bemoeilijkt de kwaliteitscontrole van de tekeningen.
NLCS zorgt voor meer eenheid in het tekenwerk. Opdrachtgevers voor grond-, weg- en waterbouw (GWW) projecten besteden ontwerp- en tekenwerk vaak uit. Door opdrachtnemers gebruik te laten maken van NLCS ontstaat er meer eenheid in het tekenwerk, kunnen digitale tekeningen makkelijker worden uitgewisseld, hoeven tekeningen niet te worden hertekend, en zijn tekeningen 10 a 15 jaar na oplevering nog bruikbaar voor onderhoud en reconstructie. Ook voor opdrachtnemers is het handig dat alle opdrachtgevers dezelfde eisen stellen aan het tekenwerk en dat niet voor iedere opdrachtgever andere tekenafspraken gelden.NLCS is een tekenstandaard voor het maken van 2D-ontwerptekening en gaat uit van objectgericht werken. Alle informatie in een tekening wordt gekoppeld aan objecten die in lagen worden geordend in een tekening. Gebruikers kunnen hiervoor een standaard objectenbibliotheek gebruiken die met NLCS wordt meegeleverd. Ook kunnen gebruikers hun eigen bibliotheek gebruiken zolang de objecten voldoen aan de door NLCS voorgeschreven structuur. NLCS bevat afspraken voor:
Metadata: de gegevens die moeten worden opgenomen in het titelblok van een tekening;
Basis digitaal tekenen: afspraken over de wijze waarop digitaal wordt gemodelleerd zoals te hanteren eenheden, assenstelsels, peilen en tekenbladschalen;
Uiterlijk van de tekening: afspraken over toegestane afmetingen van het tekenblad, kaders, tekststijlen, bematingsstijlen en lettertypen;
Ordening/codering en representatie van objecten: afspraken over de ordening van objecten in lagen. Nederlandse CAD-Standaard voor de grond- weg- en waterbouwNLCS specificatiedocumentDe NLCS wordt breed toegepast in de GWW-sector, zowel publiek als privaat. Grote publieke gebruikers zijn onder andere Rijkswaterstaat, Dienst Vastgoed Defensie, provincie Groningen, gemeente Rotterdam, gemeente Amsterdam en gemeente Leiden.
Het beheer van de NLCS ligt bij stichting BIM Loket (www.bimloket.nl), het kennisplatform en centraal aanspreekpunt rond open BIM-standaarden in Nederland.De meeste softwareleveranciers hebben in hun NLCS-applicaties een module voor het toetsen van een CAD-bestand aan de NLCS-standaard ingebouwd.Wanneer NLCS wordt uitgevraagd als onderdeel van een bouwproject, dan is het gehele ICT perceel van het bouwproject bepalend voor het van toepassing zijn van de Instructie rijksdienst bij aanschaf van ICT producten of diensten (http://wetten.overheid.nl/BWBR0024717/2008-11-23). Dus niet alleen de kosten van de software licentie.In de vergadering van 7 oktober 2020 besloot het Forum Standaardisatie om de bouwstandaarden te evalueren in het kader van regulier onderhoud op de ‘Pas toe of leg uit’-lijst. In 2021 is dit onderzoek afgerond. Het onderzoek richtte zich met name op de huidige relevantie van de standaard, het functioneel toepassingsgebied, het gebruik, belang, beheer en de stand van zaken rond de adoptie van de standaard.
Hieronder de conclusies voor NLCS:
Er is nog steeds sprake van toegevoegde waarde van de standaard; deze lijkt toe te nemen door de toekomstige uitbreidingen.
De standaard heeft sinds de plaatsing op de ‘Pas toe of leg uit’-lijst geleid tot een hogere adoptie van de standaard. Dit heeft geresulteerd in meer gebruikers en daarmee ook meer draagvlak.
Er is sprake van een open standaardisatieproces, maar er is ruimte voor verbetering. Op dit moment vormt de openbare consultatie (nog) geen onderdeel van het standaardisatieproces.
Gezien de ontwikkelingen die zijn gericht op uitbreiding (stedelijk spoor), verbinding met GWSW, IMKL en BGT, en verrijking (3D ontwikkelingen), heeft NLCS nog meer dan voldoende toekomstperspectief.
Alle betrokkene experts waren vol lof en enthousiasme over de standaard, ook degene die in het verleden kritisch zijn geweest. De experts van ProRail hebben hun overwegingen om de standaard niet te hanteren duidelijk toegelicht.
Ten aanzien van NLCS worden aan het Forum Standaardisatie de volgende aanbevelingen gedaan:
De standaard handhaven op de ‘Pas toe of leg uit’-lijst.
Gelet op de ontwikkelingen i.r.t. IFC en de opmerkingen van ProRail is het verstandig om binnen vijf jaar een evaluatie van de standaard te doen.
De hieronder huidige adoptie adviezen blijven van kracht, het gaat om de volgende oproepen:
Het BIM Loket wordt opgeroepen om begin 2018 de vastgestelde en gepubliceerde beheerdocumentatie onder de aandacht te brengen bij (potentieel) gebruikers van NLCS.
Semipublieke organisaties en waterschappen worden opgeroepen om deel te nemen aan de overlegstructuur van NLCS.
Het BIM Loket wordt opgeroepen om inzichtelijk te maken welke partijen gebruik maken van de NLCS.
Het BIM Loket wordt opgeroepen om een ‘implementatie best practice’ op te stellen voor zowel kleine als grote(re) organisaties.
Het BIM Loket wordt opgeroepen om de interactie tussen (potentieel) gebruikers (opdrachtgevers en opdrachtnemers) en leveranciers te verhogen door bijvoorbeeld gebruikersbijeenkomsten te organiseren.
De Vereniging van Nederlandse Gemeenten (VNG), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) CUMELA Nederland, MKB INFRA en Kabel- en Leiding Overleg (KLO) worden opgeroepen om meer bekendheid te geven aan het nut en de noodzaak voor NLCS. Het BIM Loket kan hierbij ondersteunen.
Het Forum Standaardisatie wordt opgeroepen om bij opname van de standaard op de ‘Pas toe of leg uit’-lijst duidelijk te stellen waar de verplichting voor deze, en soortgelijke, standaarden ligt.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.28-04-201725-05-2018NLCS wordt gezien als de opvolger van de Richtlijnen Tekeningenverkeer Waterstaat. Begin 2011 is door Rijkswaterstaat, Dienst Vastgoed Defensie en Gemeente Rotterdam een invoeringsbesluit ondertekend voor de inzet van NLCS binnen hun organisaties en contracten vanaf september 2011. Voor 2-D tekenwerk in de grond-, weg-, en waterbouwsector (GWW-sector)Op de beheerderswebsite http://www.gww-nlcs.nl/software/ van NLCS wordt een aantal leveranciers genoemd die de standaard ondersteunen.NL GOV Assurance profile for OAuth 2.0Beveiligingstandaard voor het autoriseren van toegang tot REST API’sVerplicht (pas toe leg uit)InformatiebeveiligingLogiusNog niet getoetst15 juli 2019Veilig internetNeeNL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.OAuth 2.0 is een open standaard voor de beveiliging van applicaties die gegevens uitwisselen met behulp van REST APIs. Met OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven. OAuth 2.0 maakt hiervoor gebruik van ‘tokens’ die toegang geven tot specifieke gegevens van één gebruikersaccount voor een bepaalde duur.
OAuth 2.0 is een generieke standaard die meestal nog aanvullende afspraken vereist voor de toepassing in specifieke domeinen. NL GOV Assurance profile for OAuth 2.0 legt nadere afspraken vast over het gebruik van OAuth 2.0 bij de Nederlandse overheid. Zo bepaalt NL GOV Assurance profile for OAuth 2.0 hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig uitgewisseld moeten worden. OAuth 2.0 laat daarin namelijk nog te veel implementatieopties vrij.GithubDe standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het Kennisplatform APIs door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij Logius. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard.
NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst.
NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder Organisatie Identificatie Nummer (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting.16-03-201609-07-2020NL GOV Assurance profile for OAuth 2.0NL GOV Assurance profile for OAuth 2.0security.txtPublicatie van contactinformatie voor beveiligingsmeldingenVerplicht (pas toe leg uit)Informatiebeveiliging, Internet, WebsiteIETFNeeRFC 9116Veilig internetNeesecurity.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is.Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.Publicatie van contactinformatie voor beveiligingsmeldingenElke dag vinden beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden in websites of IT-systemen. Vaak is het niet duidelijk wáár een beveiligingsonderzoeker een gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het bereiken van de juiste afdeling of persoon binnen de verantwoordelijke organisatie. Het gebruik van de security.txt-standaard kan helpen om dit te voorkomen. De standaard beschrijft hoe een organisatie onder meer contactinformatie kan publiceren die een beveiligingsonderzoeker vervolgens kan gebruiken om een gevonden kwetsbaarheid aan de betreffende organisatie te melden.Met een security.txt-bestand kan een organisatie security-contactinformatie op haar webserver publiceren. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die zij in de website of IT-systemen van de organisatie hebben gevonden.
Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn. Merk op dat gepubliceerde contactinformatie openbaar is en ook kan worden misbruikt, bijvoorbeeld om spam te sturen naar een gepubliceerd e-mailadres.
Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd).security.txtSpecificatiedocument security.txtCommunitygroup via GitHubsecuritytxt.org-website
“Handreiking security.txt, Centraal security.txt-bestand voor organisaties van de Rijksoverheid” door NCSC
“Wat is security.txt?” door Digital Trust CenterInternet.nlHet Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de ‘pas toe of leg uit’-lijst:
aan de koepel- en netwerkorganisaties binnen de overheid, zoals CIO-Rijk, het Centrum Informatiebeveiliging en Privacybescherming (CIP), het Interprovinciaal Overleg (IPO), de Unie van Waterschappen (UvW) en Vereniging van Nederlandse Gemeenten (VNG), om binnen een jaar een campagne te starten naar de leden en de leveranciers om security.txt te implementeren, en om de leden ondersteuning te bieden bij de implementatie.
aan Rijksoverheidorganisaties om voortaan op hun domeinnamen te verwijzen naar de centrale security.txt die door NCSC wordt beheerd indien zij gebruik (willen) maken van het centrale CVD-beleid van de Rijksoverheid. NCSC heeft een Handreiking security.txt met uitleg gepubliceerd.
aan Shared Service Organizations (SSO) van de Rijksoverheid (zoals DPC, SSC-ICT, en DICTU) om te zorgen dat de domeinnamen die zij beheren, verwijzen naar de centrale door NCSC beheerde security.txt.
aan NCSC en DTC (indieners van de standaard) om security.txt voor langere termijn te promoten en ondersteuning te bieden aan overheidsorganisaties. Een van de middelen is het publiceren van een factsheet over inhoudelijke implementatie security.txt voor (semi) overheidsorganisaties, met daarin opgenomen een nadere uitwerking van de volgende adviezen:
richt een CVD-beleidin (conform BIO overheidsmaatregel 16.1.3.1).
host op een goed beheerde plek een centrale security.txt en laat individuele applicaties en sites van de organisatie middels HTTP(S) redirect (expliciet toegestaan in de standaard) doorverwijzen.
bij een gefaseerde implementatie is het inrichten van een security.txt op hoofddomeinen de eerste prioriteit.
security.txt kan niet worden gebruikt om eenzijdig voorwaarden op te leggen aan de melder van een kwetsbaarheid.
naast het up-to-date houden van security.txt (in het bijzonder de contactgegevens), dienen ook de contactgegevens in WHOIS, DNS (SOA) en andere plekken up-to-date gehouden te houden worden.
hoe aan te sluiten bij bestaande standaard tooling (zodat geautomatiseerde melders geen nieuwe standaarden hoeven te implementeren), wanneer voor het melden van een kwetsbaarheid in plaats van een e-mailadres wordt verwezen naar een webformulier of API
aan NCSC en Logius om security.txt op te nemen in respectievelijk de eerstvolgende versie van de 'ICT-beveiligingsrichtlijnen voor webapplicaties' en eerstvolgende versie van het ‘DigiD Normenkader’.
aan Forum Standaardisatie om voortaan het gebruik van security.txt op domeinnamen van de overheid structureel te meten en daarover te rapporteren, in de marge van de metingen Informatieveiligheidstandaarden. De tool Internet.nl bevat de mogelijkheid voor meting van security.txt.Reacties uit openbare consultatie02-06-202225-05-2023