Forumadvies NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0
Content
| Vergadering: | Forum Standaardisatie 17 juni 2026 |
|---|---|
| Agendapunt: | 2A |
| Documentnummer: | FS-20260717-02A |
| Aan: | Forum Standaardisatie |
| Van: | Stuurgroep Open Standaarden |
| Datum: | 2 juni 2026 |
| Bijlagen: |
Intakeadvies NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 Expertadvies NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 Verslag reactie(s) internetconsultatie NL GOV Assurance Profile for OAuth 2.0 versiewijziging |
| Rechten | CC0 publieke domein verklaring |
| Download | Forumadvies NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 (PDF) |
Advies
Het Forum Standaardisatie adviseert het OBDO om:
- NL GOV Assurance Profile for OAuth 2.0 in de nieuwe versie (1.1.0) te blijven verplichten aan de overheid (‘Pas toe of leg uit’) via plaatsing op de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie.
- aan Logius het predicaat ‘Uitstekend beheer’ voor deze standaard toe te kennen.
Het opgestelde functioneel toepassingsgebied voor NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 op de ‘Pas toe of leg uit’-lijst is ongewijzigd ten opzichte van die voor NL GOV Assurance Profile for OAuth 2.0 versie 1.0 en is als volgt omschreven:
NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 moet worden toegepast op applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API’s waarvoor ze recht van toegang hebben.
Logius heeft het verzoek ingediend in aanmerking te komen voor het predicaat ‘Uitstekend beheer’ voor NL GOV Assurance Profile for OAuth 2.0. Daarmee hoeven toekomstige kleine versiewijzigingen van de standaard in principe niet weer te worden getoetst. De toetsingsprocedure wijst uit dat NL GOV Assurance Profile for OAuth 2.0 voldoet aan het criterium ‘Open standaardisatieproces’, dusdanig om aan Logius het predicaat ‘Uitstekend beheer’ toe te kunnen kennen vanuit het vertrouwen dat Logius aanpassingen procedureel ordelijk zal doorvoeren in afstemming met betrokkenen.
In de rest van dit document wordt dit advies nader onderbouwd. Hoofdstuk 2 geeft een korte uitleg van het nut en belang van de standaard. Hoofdstuk 3 beschrijft het proces waarmee dit advies tot stand kwam, alsmede de vervolgstappen. Hoofdstuk 4 beschrijft de resultaten van de toetsing van de standaard op de inhoudelijke hoofdcriteria. Tot slot geeft hoofdstuk 5 aanvullende adviezen om de adoptie van de standaard te stimuleren.
Korte beschrijving van de standaard
Over de standaard
De standaard NL GOV Assurance profile for OAuth 2.0 (versie 1.1.0) legt bindende afspraken vast over hoe de internationale standaard International Government Assurance Profile for OAuth 2.0 (IOAuth 2.0) moet worden toegepast binnen de Nederlandse overheid. Zo bepaalt de standaard hoe applicaties zich bij elkaar moeten registreren en hoe autorisatiecodes veilig moeten worden uitgewisseld.
Met NL GOV Assurance profile for OAuth 2.0 kunnen gebruikers een website of webapplicatie autoriseren om hun persoonlijke gegevens via een REST API op te halen bij een ander systeem, zonder daarbij hun gebruikersnaam en wachtwoord uit handen te geven.
De aangemelde versie (1.1.0) van NL GOV Assurance profile for OAuth 2.0 is een incrementele update ten opzichte van versie 1.0 die nu de status ‘Pas toe of leg uit’ kent. De belangrijkste toevoeging in versie 1.1.0 is dat de standaard nu ook toepasbaar is voor systemen die geen gebruik maken van user OAuth. Hierdoor kunnen bijvoorbeeld geautomatiseerde systemen, zonder tussenkomst van een eindgebruiker, op een gestandaardiseerde wijze toegang krijgen tot gegevensbronnen.
Waarom is deze standaard belangrijk?
NL GOV Assurance profile for OAuth 2.0 versie 1.1.0 draagt bij aan verbeterde interoperabiliteit, herbruikbaarheid van overheidsdata, en veiligheid van authenticatie en toegang tot gegevensbronnen. De standaard maakt het daarmee eenvoudiger voor systemen om met elkaar samen te werken.
De belangrijkste toevoeging in de versie 1.1.0 is dat systemen die geen gebruik maken van user OAuth (bijvoorbeeld geautomatiseerde systemen zonder tussenkomst van een eindgebruiker) op een gestandaardiseerde manier toegang kunnen krijgen tot gegevensbronnen. Dit vergroot de mogelijkheid om processen efficiënter te automatiseren en diensten betrouwbaarder en veiliger aan te bieden.
Verder maakt de versie 1.1.0 van de standaard het mogelijk om binnen bestaande internationale OAuth-profielen gegevens veilig uit te wisselen zowel client-2-machine als machine-2-machine.
De standaard sluit aan bij internationale OAuth-profielen, wat de consistentie met (inter)nationale standaarden versterkt. Het NL GOV-profiel vergroot de toepasbaarheid en eenduidigheid van OAuth 2.0 door aanvullende handvatten voor toepassing binnen de Nederlandse context.
Betrokkenen en proces
Gevolgde procedure
Logius heeft NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 op 20 december 2024 aangemeld voor plaatsing op de ‘Pas toe of leg uit’-lijst en het toekennen van het predicaat ‘Uitstekend beheer’ aan Logius voor het beheer van deze standaard.
De procedurebegeleider InnoValor Advies heeft op 14 augustus 2025 een intakegesprek gevoerd met de indiener, in aanwezigheid van Bureau Forum Standaardisatie. In dit gesprek is onderzocht of NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 voldoet aan de criteria om in procedure te worden genomen. De resultaten van het onderzoek zijn vastgelegd in het intakeadvies.
Op basis van het intakeadvies heeft het Forum Standaardisatie op 25 september 2025 besloten de standaard in procedure te nemen. Vervolgens heeft de procedurebegeleider in overleg met de indiener en Bureau Forum Standaardisatie een expertgroep samengesteld en een voorzitter aangesteld om de standaard te toetsen.
De leden van de expertgroep zijn op 11 december 2025 bijeengekomen om de standaard te toetsen aan de criteria en geïdentificeerde aandachtspunten te bespreken. Tijdens deze bijeenkomst zijn ook het toepassings- en werkingsgebied opgesteld. De uitkomst van het expertonderzoek is vastgelegd in het expertadvies.
Het Bureau Forum Standaardisatie publiceerde het expertadvies ter openbare consultatie via de website van Internetconsultatie van 24 maart 2026 tot 21 april 2026. In de openbare consultatie zijn twee reacties ontvangen. De reacties zijn aansluitend voorgelegd aan de indiener van de standaard.
Dit Forumadvies is opgesteld op basis van het expertadvies, reacties uit de openbare consultatie en inzichten van de leden van het Forum Standaardisatie. Indien het Forum Standaardisatie instemt met dit advies, wordt het aan het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) ter besluitvorming voorgelegd.
Resultaat van het expertonderzoek
De experts die betrokken waren bij het expertonderzoek adviseren om NL GOV Assurance Profile for OAuth 2.0 in de nieuwe versie (1.1.0) te blijven verplichten aan de overheid (‘Pas toe of leg uit’-verplichting). De experts hebben ook geconstateerd dat het beheer van NL GOV Assurance Profile for OAuth 2.0 voldoet aan het criterium ‘Open standaardisatieproces’, dusdanig om aan Logius het predicaat ‘Uitstekend beheer’ toe te kunnen kennen.
NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 kan op voldoende draagvlak rekenen binnen de overheid. Omdat versie 1.1.0 kort voor aanmelding was vastgesteld, was de toepassing in de praktijk nog beperkt. Daarnaast is het voor experts onbekend of er een kwalitatieve businesscase aanwezig is. Ook geven experts aan dat er voor de standaard geen tooling bekend is om de conformiteit van de implementatie te (laten) toetsen. Wel zijn er voldoende conformiteit-testen beschikbaar voor de onderliggende internationale standaard iGov OAuth 2.0. Ook zijn er geen profielen of voorbeeldimplementaties voor de standaard bekend. Wel zijn er voldoende use cases beschikbaar voor de onderliggende standaard IGov OAuth 2.0.
Resultaat van de openbare consultatie
In de openbare consultatie werden twee openbare reacties ontvangen. De volledige reacties zijn in het consultatieverslag bijgevoegd. De indiener heeft niet gereageerd op de openbare reacties.
Reactie van Anoniem
Katwijk
Datum: 24 maart 2026
De respondent staat positief tegenover het verplichten van de standaard en ziet dit als een logische ontwikkeling gezien de toenemende veroudering van Security Assertion Markup Language (SAML). De respondent heeft vertrouwen in het beheer door Logius en ondersteunt het predicaat ‘Uitstekend beheer’. De respondent ziet ruimte voor verbetering in het creëren van draagvlak; BZK zou zich actiever kunnen profileren als opdrachtgever.
Reactie van W. Pannebakker
Amsterdam
Datum: 26 maart 2026
De respondent ondersteunt het verplichten van de standaard. De standaard wordt gezien als een essentiële bouwsteen voor een moderne, data gedreven en geautomatiseerde overheid, waarbij vooral machine-to-machine communicatie centraal staat.
Door machine-to-machine (non-user) OAuth te normeren maakt de standaard volgens de respondent het mogelijk om menselijke tussenkomst in digitale ketens te verminderen. Dit doorbreekt knelpunten rond handmatige autorisatie en maakt directe, betrouwbare systeemkoppelingen mogelijk.
Een gestandaardiseerde autorisatie voor systeeminteracties is volgens de respondent noodzakelijk om data veilig en schaalbaar beschikbaar te maken. Zonder deze standaard blijven gegevens versnipperd of afhankelijk van maatwerkoplossingen. De standaard faciliteert gecontroleerde, auditeerbare datatoegang en vormt daarmee een basis voor grootschalige data-analyse en AI-toepassingen binnen de overheid.
Ten slotte benadrukt de respondent benadrukt dat standaardisatie bijdraagt aan digitale autonomie en betere aansluiting op Europese kaders.
Toetsing op inhoudelijke criteria
Het Forum Standaardisatie hanteert vier inhoudelijke hoofdcriteria om te toetsen of een standaard in aanmerking komt voor verplichten (‘Pas toe of leg uit’) of aanbevelen aan de overheid.
- Heeft de standaard toegevoegde waarde?
- Zijn de standaard en het standaardisatieproces voldoende open?
- Heeft de standaard voldoende draagvlak?
- Is opname op de lijst een passend middel om de adoptie te bevorderen?
Ieder van deze hoofdcriteria heeft deelcriteria die staan beschreven op de website van het Forum Standaardisatie. Dit hoofdstuk beschrijft per criterium het resultaat van de toetsing.
Toegevoegde waarde
De toetsingsprocedure wijst uit dat NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 voldoet aan het criterium ‘Toegevoegde waarde’.
Het opgestelde functioneel toepassingsgebied voor NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 op de ‘Pas toe of leg uit’-lijst is ongewijzigd ten opzichte van NL GOV Assurance Profile for OAuth 2.0 versie 1.0 en als volgt omschreven:
NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 moet worden toegepast op applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API’s waarvoor ze recht van toegang hebben.
NL GOV Assurance Profile for OAuth 2.0 versie 1.1 is een incrementele update ten opzichte van de vorige versie (v1.0.0). Er zijn delen van de oorspronkelijke standaard (versie 1.0.0) depricated (verouderd) verklaard; daarnaast worden delen onvoldoende of helemaal niet ondersteund. De vernieuwde versie (versie 1.1.0) voegt extra securitymaatregelen en andere features toe. Daar waar nodig wijkt de standaard af van het bovenliggend profiel om de implementaties van OAuth binnen de Nederlandse overheid te stimuleren. De herziene opmaak van de standaard levert een duidelijke en uitlegbare interoperabiliteitwinst op.
Het NL GOV-profiel vergroot de toepasbaarheid en eenduidigheid van OAuth 2.0 door aanvullende handvatten voor toepassing binnen de Nederlandse context. De standaard is generiek toepasbaar en kan over de grenzen van organisaties en sectoren worden gebruikt. Tevens overstijgt de toepassing van de standaard een enkele organisatie en sector. Voor situaties waarin generieke OAuth 2.0-profielen onvoldoende houvast bieden voor de Nederlandse context, voorziet het NL GOV-profiel in nadere afspraken die de eenduidige en werkbare toepassing ondersteunen. De aangemelde versie is backward compatible met de voorgaande versie van de standaard.
Open standaardisatieproces
De toetsingsprocedure wijst uit dat het beheer van NL GOV Assurance Profile for OAuth 2.0 voldoet aan het criterium ‘Open standaardisatieproces’, dusdanig om aan Logius het predicaat ‘Uitstekend beheer’ te kunnen toekennen voor NL GOV Assurance Profile for OAuth 2.0.
Het specificatiedocument is vrij beschikbaar en toegankelijk via Github. Het beleid met betrekking tot (versie)beheer is gepubliceerd en staat beschreven in het beheerplan.
Het beheer van de standaard heeft een open governance en open procedure voor belanghebbenden om te kunnen participeren in het beheer. Het belang van de Nederlandse overheid en andere belanghebbenden is in het beheer van de standaard voldoende geborgd. Dit gebeurt onder andere via het Technisch Overleg (TO) van Logius waar verschillende stakeholders de belangen van de Nederlandse overheid borgen. Ook binnen de werkgroep beveiliging van het Kennisplatform API’s wordt het belang van de Nederlandse overheid geborgd. Logius neemt hierin de rol van onafhankelijke, duurzame beheerpartij en facilitator. Logius organiseert één keer per kwartaal overleggen over de doorontwikkeling en het beheer van de standard. Alle belanghebbenden worden voor deze overleggen uitgenodigd. De aanwezigen verschillen echter vaak en is afhankelijk van de wijzigingen die besproken worden. Het beheer is zodanig open ingericht en wordt zodanig open gecommuniceerd door middel van een uitgebreide verzendlijst, dat alle belanghebbenden de kans hebben deel te nemen aan het beheer. De documentatie van de overleggen is online vrij beschikbaar.
De standaard heeft een Creative Commons Attribution 4.0 International Public License en is daarmee voor eenieder onherroepelijk vrij beschikbaar.
Draagvlak
De toetsingsprocedure wijst uit dat NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 voldoet aan het criterium ‘Draagvlak’.
De standaard NL GOV Assurance Profile for OAuth 2.0 (versie 1.1.0) kan op voldoende draagvlak rekenen binnen de overheid. Omdat versie 1.1.0 kort voor aanmelding was vastgesteld, was de toepassing in de praktijk nog beperkt. Er zijn positieve signalen over het toekomstig gebruik van de standaard door overheidspartijen. Deze signalen komen van organisaties die deelnemen aan de overleggen over het beheer en de doorontwikkeling van de standaard.
NL GOV Assurance Profile for OAuth 2.0 is vastgesteld in het MIDO, waarin alle stakeholders worden vertegenwoordigd. Ook is er een positief advies vanuit de GDI-werkgroep architectuur Gegevensuitwisseling. Daarmee staan de belangrijkste stakeholders vanuit de overheid achter de adoptie van de standaard. De eerdere versie van de standaard, versie 1.0, wordt nog steeds gebruikt binnen de overheid, onder andere door gemeente Den Haag, Kadaster en Logius.
Voor de implementatie van de standaard is voldoende marktondersteuning. De standaard is een profiel op het veelgebruikte internationale profiel IGov OAuth 2.0 en heeft daarom zowel Nederlandse als internationale leveranciers.
Opname op de lijst bevordert adoptie
De toetsingsprocedure wijst uit dat NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 voldoet aan het criterium ‘Opname op de lijst bevordert adoptie’.
NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 draagt bij aan de bredere adoptie van OAuth binnen de Nederlandse overheid. Daar waar Nederlandse organisaties in de praktijk op een aantal regels vastlopen bij het toepassen van OAuth, biedt het NL GOV profiel een uitweg; de vernieuwde versie van het NL GOV‑profiel biedt namelijk aanvullende security-maatregelen en andere features. NL GOV Assurance Profile for OAuth 2.0 kan derhalve gezien worden als een brede gereedschapskist voor toepassing van OAuth binnen de Nederlandse overheid.
De plaatsing op de lijst open standaarden met de status ‘Pas toe of leg uit’ biedt overheden houvast en geeft een duidelijk signaal dat NL GOV Assurance Profile for OAuth 2.0 versie 1.1.0 de te verkiezen standaard is.
Adviezen bij opname van de standaard
Het Forum Standaardisatie geeft de volgende adviezen bij de versiewijzing van NL GOV Assurance Profile for OAuth 2.0 naar versie 1.1.0 op de ‘Pas toe of leg uit’-lijst:
- Aan beheerder Logius om het Forum Standaardisatie op de hoogte te houden van eventuele veranderingen in het beheerproces van de standaard.
- Aan beheerder Logius om mogelijke afhankelijkheid van het Nederlandse profiel op een internationale standaard in ogenschouw te nemen.
Aan het Forum Standaardisatie om de ontwikkelingen rondom een nieuwe versie van de standaard (versie 2.1) die in ontwikkeling is in de gaten te houden.