Duiding en Maatregelen Monitor Open Standaarden 2025

Vergadering: Forum Standaardisatie, 26 juni 2025

Agendapunt: 5A-1

Documentnummer: FS-20250626.5A-1

Aan: Forum Standaardisatie

Van: Stuurgroep

Bijlagen:

• 5A-2 Rapportage Hoofdlijnen en conclusies
• 5A-3 Rapportage Aanbestedingen
• 5A-4 Rapportage Survey
• 5A-5 Proof of Concept AI monitoring van open standaarden

Deze concept notitie is een oplegger bij de Monitor Open Standaarden 2025, waarin de resultaten uit de onderzoeken worden geduid, en door het Forum diverse verbetermaatregelen worden voorgesteld gericht aan het OBDO en -waar van toepassing- het Ministerie van BZK en het Ministerie van EZ.

Op 17 juni presenteerden de hoofdonderzoekers Siwert de Groot en Ruud Hogendoorn de resultaten van de verschillende onderzoeken in een online sessie.

Na bespreking in het Forum worden de onderzoeksrapporten, inclusief deze al dan niet aangepaste Duiding & Maatregelen notitie, verzonden naar het OBDO en parallel daaraan aan de beleidsopdrachtgevers bij het Ministerie van BZK en het Ministerie van EZ. Na behandeling in het OBDO van september 2025 stuurt de staatsecretaris van BZK de Monitor met een reactie op de geadviseerde verbetermaatregelen naar de Tweede Kamer.

Duiding 

De jaarlijkse onderzoeksagenda “Monitor Open Standaarden” heeft tot doel om de staatsecretaris van BZK in staat te stellen om aan de Tweede Kamer te rapporteren over de uitvoering van het open standaarden beleid. Omdat het OBDO als taak opgedragen heeft gekregen om het gebruik van de ‘Pas toe of leg uit’ standaarden overheidsbreed te stimuleren en te volgen, ontvangt het OBDO naast de onderzoeksresultaten diverse voorstellen van het Forum over (mede) door hen te initiëren dan wel te onderschrijven maatregelen. 

De Monitor bevat dit jaar de volgende onderdelen:

1. Het samenvattende document met hoofdlijnen en conclusies (ICTU);
2. Het onderzoek naar de uitvraag van open standaarden bij aanbestedingen, en het onderzoek naar de naleving van het “Leg Uit” onderdeel in de jaarverslagen (ICTU, PBLQ, Open State Foundation);
3. De Survey Open Standaarden 2025 (ICTU). 

Net als vorig jaar zal het onderzoek naar de gebruiksgegevens afkomstig van de beheerders op een later moment dit jaar als zelfstandige publicatie worden geagendeerd.

Aanbestedingen

In het kader van de Monitor Open standaarden 2025 is voor het veertiende jaar op rij onderzoek gedaan naar de toepassing van open standaarden bij openbare aanbestedingen door overheden, dit maal over aanbestedingen uit 2024. Daarbij gaat het om een steekproef bestaande uit 68 aanbestedingen. Per aanbesteding is vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om is gevraagd ('pas toe'). In de onderzochte aanbestedingen had in totaal 963 keer om een specifieke open standaard gevraagd moeten worden. Uit de aanbestedingsdocumenten en de eventuele correspondentie met aanbestedende diensten daarover, blijkt dat er 488 keer daadwerkelijk om de betreffende relevante standaard is gevraagd, ofwel: in bijna 51 procent van de gevallen. Daarmee is de uitvraag gelijk gebleven aan het vijfjaargemiddelde van eveneens 51%. Deze stagnatie wijst op een gebrek aan structurele vooruitgang in de toepassing van het open standaardenbeleid binnen overheidsaanbestedingen.

Gelukkig waren er ook dit jaar weer een aantal organisaties die alle voor hen relevante standaarden ook daadwerkelijk uitvroegen en daarmee laten zien dat het wel degelijk mogelijk is om een perfecte score te halen: Rijkswaterstaat, Belastingdienst, RDW (twee maal), ICTU, Logius en de provincie Noord Brabant.

Er zijn over 2024 een aantal standaarden die er positief uit springen en goed scoren: ISO 27001 en 27002, PDF, NLCIUS en Ades. Deze scoren ook goed omdat ze tevens in een aantal andere kaders zijn meegenomen, waaronder de BIO en standaard aanbestedingsteksten over e-factureren. Er zijn ook standaarden die in veel aanbestedingen relevant zijn, maar juist weinig worden uitgevraagd. De meest frequente in 2024 zijn: ODF, IPv4 en IPv6, STARTTLS en DANE,  en NL GOV Assurance for OAuth 2.0.

Wanneer we vervolgens inzoomen op die standaarden die in de afgelopen vijf jaar het vaakst als relevant worden beschouwd, en we zetten dat af tegen het aantal keer dat zo’n standaard gedurende die periode ook daadwerkelijk is uitgevraagd, dan valt op dat er drie groepen zijn te onderscheiden:

1. Standaarden die vaak relevant zijn en ook veel (boven de 80%) worden uitgevraagd: ISO 27001 en 27002 en PDF;
2. Standaarden die vaak relevant zijn en gemiddeld (tussen 50% en 80%)  uitgevraagd worden: Digitoegankelijk, TLS, HTTPS en HSTS, en de Authenticatie standaarden (OpenID.NLGov als opvolger van SAML);
3. Standaarden die vaak relevant zijn maar relatief weinig worden uitgevraagd: DNSSEC , SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane.

De standaarden in de eerste groep staan al vele jaren op de ‘Pas toe of leg uit’ (PTOLU) lijst en hebben inmiddels een gangbaar karakter gekregen. 

Een opvallend verschil tussen de tweede en de derde groep is dat de meeste standaarden in de tweede groep een (afgeleide) wettelijke verplichting hebben op grond van de Wet Digitale Overheid. De standaarden in de derde groep hebben enkel de status van streefbeeldafspraak met een inmiddels verlopen implementatietermijn.  Daarmee is er plausibiliteitsondersteuning voor het uitgangspunt dat een wettelijke verplichting op grond van de Wet Digitale Overheid wel degelijk op termijn bij kan dragen aan een hogere uitvraag van de relevante standaarden. Een hogere uitvraag heeft vervolgens op termijn een hoger gebruik tot gevolg. 

Evenals eerdere jaren zijn de uitkomsten van de beoordeelde aanbestedingen ter review voorgelegd aan alle beoordeelde organisaties. Uit de gesprekken met beoordeelde organisaties kwamen onder meer de volgende aandachtspunten naar voren: 

1. Er is onduidelijkheid over het meest optimale moment waarop de verplichte standaarden moeten worden uitgevraagd. Daarbij speelt indirect ook de vraag of men dit na gunning nog op kan nemen in de uiteindelijke overeenkomst.  Bij het onderzoek hanteren de onderzoekers het uitgangspunt dat indien de gewenste functionaliteit kenbaar is gemaakt in het Programma van Eisen, de gewenste standaarden daar ook al moeten worden genoemd, en uiterlijk in de Nota van Inlichtingen.          
2. Bij sommige raamovereenkomsten kunnen de relevante standaarden pas later bij een minicompetitie of een nadere overeenkomst geëist worden. Hoewel dergelijke raamovereenkomsten tot nu toe buiten de scope vallen van het aanbestedingenonderzoek, is het uit het oogpunt van goed opdrachtgeverschap wel belangrijk om al in dat vroege stadium bekend te maken aan leveranciers dat de later uit te vragen producten of diensten gebruik dienen te maken van de PTOLU standaarden en wettelijk verplichte standaarden.
3. Met enige regelmaat komt het voor dat een website of portal een ondergeschikte rol heeft omdat de aanbesteding zich primair richt op andere werken, producten of diensten. Men ziet daarbij de voor de website of portal relevante standaarden over het hoofd, mogelijk omdat het is niet altijd duidelijk is wie binnen de organisatie het beleid rond toe te passen standaarden bepaalt en toeziet op de naleving daarvan.
4. Het Forum zou volgens een beoordeelde organisatie niet enkel achteraf, maar ook tijdens een lopende aanbesteding al hulp moeten bieden, bijvoorbeeld door controle van de aanbestedingsdocumenten. 

Tot slot nog een laatste duiding over de kwaliteit van de aanbestedingen. In iets meer dan de helft van de onderzochte aanbestedingen werd er in algemene zin verwezen naar het open standaardenbeleid of de ‘Pas toe of leg uit’ lijst van het Forum Standaardisatie. Een dergelijke verwijzing dient als vangnet voor het geval men vergeten heeft om relevante specifieke standaarden uit te vragen. Hieruit moeten we ook concluderen dat in iets minder dan de helft van de onderzochte aanbestedingen zelfs dit eenvoudige vangnet nog niet aanwezig is.

Jaarverslagen

Vervolgens is nagegaan in hoeverre de departementen in hun jaarverslag verantwoording hebben afgelegd over de naleving van het beleid ('leg uit'). 

De Instructie rijksdienst bij aanschaf ICT-diensten of ICT producten geeft aan hoe bij de aanschaf en bij de eigen ontwikkeling van ICT diensten of producten te werk moet worden gegaan. De instructie moet in acht worden genomen door alle departementen en alle agentschappen. In 2022 herbevestigde het OBDO de bestuurlijke afspraak zoals eerder gemaakt in diverse bestuursakkoorden dat de instructie ook blijvend geldt voor gemeenten, provincies, waterschappen en uitvoeringsorganisaties.  Daarbij verplicht artikel 4 om in de bedrijfsvoering paragraaf van het jaarverslag een verantwoording op te nemen over de toepassing van het beleid in de eigen organisatie, en om in het geval van specifieke afwijkingen een uitleg over die afwijking te geven. Het verplicht moeten hanteren van deze paragraaf is bovendien opgenomen in de Rijksbegrotingsvoorschriften. 

Uit het onderzoek blijkt dit jaar dat alle 12 departementen in hun jaarverslag over 2024 een verantwoording geven over de naleving van het open standaarden beleid. Dat is ten opzichte van de afgelopen jaren een forse verbetering, toen steeds slechts 7 departementen dit deden. Een uitleg over mogelijke afwijkingen ontbreekt echter.  

Survey 

Uit de dit jaar uitgevoerde enquête onder Rijk, provincies, gemeentes en waterschappen komen een aantal interessante inzichten naar boven over de wijze waarop de ingezette beleidsinstrumenten doorwerken binnen de organisaties van de respondenten. Het doel van de enquête is niet zozeer empirische bewijsvoering maar meer het verkrijgen van informatie over de weerstand en de acceptatie van het beleid. 

1. Ruim een kwart van de respondenten geeft aan dat er in hun organisatie geen beleid is vastgelegd op het gebied van open standaarden of interoperabiliteit. Daarmee ligt het percentage dat wel een beleid heeft vastgelegd lager dan de initieel voor 2009 beoogde ondergrens van 75% en zou conform de destijds aan de Kamer gedane toezegging  onderzocht kunnen worden of er mogelijkheden zijn om het ‘Pas toe of leg uit’ beleid wettelijk te verankeren voor alle bestuurslagen.
2. De standaarden met de status “aanbevolen” worden door 35% van de respondenten in acht genomen, de streefbeeldafspraken door 45% van de respondenten, de  PTOLU standaarden door 61%, en de wettelijk verplichte standaarden door 65%.  Opvallend is dat de streefbeeldafspraken -die toch een soort overgang zouden moeten zijn tussen de aanschafverplichting van PTOLU en de gebruiksverplichting van de Wet Digitale Overheid- veel slechter scoren dan verwacht. Dit zou veroorzaakt kunnen worden door het feitelijke ontbreken daarvan in zowel de Instructie rijksdienst bij aanschaf ICT-diensten of ICT producten, alsook in de Wet Digitale Overheid.
3. Een ruime meerderheid (57%) van de respondenten geeft aan wel eens tegen problemen aan te lopen met het huidige beleid. Veruit het grootste deel van de respondenten verwijst ter verklaring van de problemen naar de leveranciers van systemen. Leveranciers zouden niet aan de verplichtte open standaarden willen of kunnen voldoen, bijvoorbeeld omdat dit zou conflicteren met de commerciële belangen van leveranciers.  Als de overheid al heeft besloten om open standaarden te eisen, dan is men alsnog bang dat er onvoldoende of zelfs helemaal geen inschrijvingen gedaan zullen worden. Het is aannemelijk dat deze onzekerheid is ingegeven door de vrijblijvendheid van het huidige beleid. Zelfs branchevereniging NLdigital heeft hierover in april 2025 richting de staatssecretaris van BZK het volgende aangegeven: “Zonder verplichte richtlijnen blijven overheidsorganisaties en marktpartijen eigen standaarden hanteren, wat leidt tot inefficiëntie en extra kosten. Handhaving en sancties zijn essentieel om hier verandering in te brengen”.
4. Bijna de helft van de respondenten (49%) geeft aan dat een externe verklaring over naleving van het beleid via de jaarlijkse monitor Open Standaarden zou moeten plaatsvinden. 29% is van mening dat de bedrijfsvoeringparagraaf in het jaarverslag nog steeds de meest geëigende plek is.  14% benoemt een centraal register als oplossing, en slechts 8% is van mening dat die verplichting helemaal afgeschaft zou moeten worden.  Voor het mogelijk maken van het via de monitor kunnen verklaren over bewuste afwijkingen van het beleid zou de Instructie rijksdienst bij aanschaf ICT-diensten of ICT producten moeten worden aangepast. Voor het tweejaarlijkse onderzoek naar het gebruik van de verplichte standaarden in de landelijke GDI voorzieningen is eerder al ervaring opgedaan met een vergelijkbare wijze van verantwoorden. 

Maatregelen 

Op basis van de onderzoeksresultaten adviseert het Forum Standaardisatie de volgende (mede) door het OBDO te initiëren dan wel te onderschrijven maatregelen:

1. Er leeft overheid breed de wens om te komen tot een versterkte aanpak op het afspreken, invoeren en handhaven van standaarden.  Richt binnen dat kader de mogelijkheid in tot controle vooraf van aanbestedingsdocumenten, waardoor voorafgaand aan de aanschaf of ontwikkeling van ICT diensten en producten een zwaarwegend advies kan worden verkregen over de uit te vragen verplichte standaarden.   
2. Actualiseer de Instructie rijksdienst bij aanschaf ICT-diensten of ICT producten, onder meer door:
   1. de werking van de streefbeeldafspraken daarin op te nemen;
   2. de mogelijkheid te creëren dat ‘Leg uit’ ook achteraf mogelijk is door de ervaren knelpunten te benoemen in het monitor onderzoek;
   3. vast te leggen onder welke omstandigheden aanbestedende diensten het hiervoor onder maatregel 1 benoemde advies moeten inwinnen.   
3. Laat aan de beleidszijde onderzoeken welke mogelijkheden er zijn om de ‘Pas toe of leg uit’ standaarden bij of krachtens AMvB vast te gaan stellen, om daarmee het open standaarden beleid van een wettelijke grondslag te kunnen voorzien en ook duidelijkheid en meer zekerheid te verschaffen richting overheidsorganisaties en marktpartijen.
4. Geef prioriteit aan de standaarden die in aanbestedingen vaak relevant zijn maar die ondanks streefbeeldafspraken nog steeds te weinig worden uitgevraagd: DNSSEC, SPF, DKIM, IPv6, DMARC, STARTTLS en Dane. Organiseer hiervoor niet alleen implementatie ondersteuning, maar maak voor het bereiken van een hogere adoptie tevens gebruik van de bestaande mogelijkheden binnen de Wet Digitale Overheid.
5. Inventariseer of er uit voorgaande jaren nog voorgestelde maatregelen ter hand genomen kunnen worden.