Monitor Open Standaarden 2025 - Hoofdlijnen en conclusies

Versie: 0.95 (concept)

Samenvatting

Aanbestedingen

De groei is er uit. Net als in voorgaande jaren laat ook deze monitor dit beeld zien: overheidsorganisaties vragen gemiddeld 51% van alle standaarden uit die in een aanbesteding relevant zijn Vorig jaar werd het nog als een vraag gesteld, nu weten we het zeker: de groei is eruit. Sinds 2018 is er sprake van stabilisatie rond de 50 procent. Bij het Rijk en de medeoverheden zien we dat de percentages het ene jaar wat hoger liggen en het andere jaar wat lager, maar het beeld is hetzelfde. Verder zien we dat overheidsorganisaties in iets meer dan de helft van de aanbesteding expliciet verwijzen naar het Open Standaardenbeleid van Forum Standaardisatie of naar de ‘Pas toe of leg uit’-lijst van het Forum.

Een aantal aanbestedende diensten laat zien dat het wel degelijk mogelijke is om m.b.t. open standaarden perfecte of bijna perfecte aanbestedingen op te stellen. Rijkswaterstaat, de Belastingdienst, RDW, ICTU en gemeenten als Amsterdam en Sittard-Geleen zijn in dat opzicht goede voorbeelden. We zien verder dat onderzochte aanbestedingen minder vaak de classificatie onvoldoende krijgen en vaker perfect of op weg naar perfect. Tegelijkertijd zien we al jarenlang een groeiend aantal relevante standaarden per aanbesteding. De complexiteit van aanbestedingen neemt dus toe.

Van de 43 open standaarden op de huidige ‘Pas toe of leg uit’-lijst behoren 15 standaarden tot de categorie (ook wel: het domein) “veilig internet”. Dat staat gelijk aan 35 procent van de standaarden op de lijst. Als we kijken naar hoe vaak ze relevant zijn, dan valt op hoe belangrijk deze groep is: in de afgelopen vijf jaar viel 75 procent van de relevante beoordeelde standaarden in de categorie “veilig internet”.

De jaarlijks terugkerende analyse van de jaarverslagen van de departementen, laat zien dat alle departement het open standaardenbeleid onderschrijven, maar dat geen enkel departement zich verantwoord over afwijkingen van het beleid.

Survey Open Standaarden

ICTU heeft dit jaar een vragenlijst uitgezet onder overheidsorganisaties over de ervaringen met open standaarden: 49 respondenten vulden de enquête in. Een flinke meerderheid van de responderende organisaties – rond de 60 procent - bevestigt dat men beleid heeft vastgelegd op het gebied van open standaarden en interoperabiliteit en dat men rekening houdt met verplichte open standaarden van Forum Standaardisatie. Ongeveer hetzelfde percentage geeft aan rekening te houden met de standaarden die verplicht zijn in het kader van de Wet Digitale Overheid. En men controleert of uitgevraagde open standaarden daadwerkelijk geïmplementeerd zijn.

Trage adoptie en de verklaring daarvoor

Op basis van eerder onderzoek, de uitkomsten van de Survey Open Standaarden 2025 en de ‘hoor en wederhoor gesprekken’, volgt een behoorlijk consistent beeld ter verklaring van de stagnerende adoptie van open standaarden. Misschien wel de belangrijkste verklaring is het gebrek aan kennis bij aanbestedende diensten en leveranciers over open standaarden (bijvoorbeeld: welke standaarden zijn relevant?) en over de verplichtingen die voortkomen uit het open standaardenbeleid. Soms weet men de bestaande kennis niet te vinden en men is niet bekend met de ‘Pas toe of leg uit’-lijst en de hulpmiddelen van het Forum (zoals de handreiking Vragen om open standaarden bij ICT aanschaf en de Beslisboom Open Standaarden).

Een andere verklaring ligt in de machtsverhouding tussen aanbestedende diensten en leveranciers. Er wordt vaak gewezen op het probleem van (grote, dominante) leveranciers die open standaarden niet willen of kunnen toepassen vanwege gebrek aan kennis, conflicterende technologie of commerciële belangen. Men is bang dat als de open standaarden geëist worden, er minder of zelfs geen inschrijvingen komen op aanbestedingen.

Een derde verklaring is het ontbreken van een duidelijke governance bij overheidsorganisaties: de rollen zijn versnipperd en de verantwoordelijkheden zijn niet belegd. Het is niet altijd duidelijk wie binnen de organisatie het beleid rond open standaarden bepaalt en toeziet op de naleving daarvan.

Artificiële Intelligentie

Er is een proef gedaan met de inzet van artificiële intelligentie om te bepalen welke open standaarden relevant zijn en of ze daadwerkelijk in aanbestedingsstukken werden uitgevraagd. Uit het experiment blijkt dat artificiële intelligentie een waardevolle rol kan spelen in het ondersteunen van de beoordeling van aanbestedingen. Wij bevelen vervolgstappen aan om ondersteunend instrumentarium te ontwikkelen, binnen de kaders van die voor overheidsorganisaties op dit terrein van toepassing zijn. Op termijn kan het instrumentarium mogelijk ook ingezet worden om aanbestedende diensten te helpen bij het maken of controleren van aanbestedingsstukken.

Aanbevelingen

Overheden moeten hun organisatorische volwassenheid versterken, dat vraagt om heldere governance met duidelijke rollen en verantwoordelijkheden binnen organisaties.
De focus moet liggen op standaarden als middel om maatschappelijke knelpunten op te lossen, de adoptie van standaarden is niet het doel.
Er ligt – onder meer in de Monitor - veel nadruk op de uitgevraagde standaarden na afronding van aanbestedingen, terwijl een aantal aanbestedende diensten expliciet om hulp van het Forum vraagt tijdens het vormgeven van de aanbestedingen (advies, trainingen, toegankelijke hulpmiddelen).
De macht van leveranciers is groot: meer gezamenlijke inkoop kan helpen om die verhoudingen meer in balans te brengen.
Naast ondersteuning zou tot slot ook de handhaving versterkt kunnen worden. De helft van de respondenten in de survey geeft desgevraagd aan dat de Monitor Open Standaarden de meest geëigende plek zou zijn om afwijking van het open standaardenbeleid uit te leggen.
Een beleidsmatige impuls voor verdere adoptie van standaarden kan zich richten op alle open standaarden gezamenlijk of op de verschillende categorieën standaarden (‘veilig internet’, ‘het uitwisselingsfundament’, et cetera). Het valt ook te overwegen om de aandacht te richten op specifieke open standaarden die vaak relevant zijn maar slechts gemiddeld of zelfs benedengemiddeld uitgevraagd worden, zoals DNSSEC, SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane.

Inleiding en leeswijzer

Al sinds 2011 monitort ICTU in opdracht van het Forum Standaardisatie het gebruik van de open standaarden. De Monitor bestaat sinds een aantal jaar uit afzonderlijke onderzoeksrapporten met een korte integrerende rapportage daar bovenop. De onderliggende rapporten zijn via de website van Forum Standaardisatie beschikbaar voor eenieder die behoefte heeft aan een meer gedetailleerd beeld over open standaarden in de praktijk. De Monitor Open Standaarden 2025 bestaat uit de volgende vier onderdelen:

In de volgende paragraaf wordt ingegaan op het Pas toe-deel van het beleid: worden de relevante standaarden bij aanbestedingen daadwerkelijk uitgevraagd. Daarna wordt gekeken naar het Leg uit-deel: als de relevante aanbestedingen niet worden uitgevraagd, verantwoordt men zich daar dan over in het jaarverslag. In de daaropvolgende paragraaf is er aandacht voor de antwoorden die departementen, uitvoerders, gemeenten, provincies en waterschappen gaven op de vragen die wij hen stelden over open standaarden. In de laatste paragraaf gaan we op verzoek van het Forum in op het open standaardenbeleid en vooral ook op de vraag hoe de trage adoptie te verklaren valt.

1. Aanbestedingen: pas toe

Dit jaar zijn steekproefsgewijs 68 overheidsaanbestedingen uit 2024 onderzocht van ICT-diensten en -systemen onderzocht. Deze aanbestedingen zijn door experts beoordeeld en zij concluderen dat er 963 open standaarden van de ‘Pas toe of leg uit’-lijst relevant waren. In de praktijk bleek dat er 488 keer om die open standaarden was gevraagd. Dat betekent dat het uitvraagpercentage 51 procent bedroeg. In Figuur 1 is de ontwikkeling van dit percentage door de jaren heen te zien. Na de aanvankelijke snelle stijging in de beginjaren van het open standaardenbeleid, is er in de meer recente jaren sprake van afvlakking: in 2018 werd voor het eerst de helft van de relevante standaarden uitgevraagd en sindsdien schommelt het uitvraagpercentage rond die 50 procent. In de Monitor van 2024 vroegen wij ons nog af of de groei eruit was. In 2025 is dat geen vraag meer, maar een constatering.

Van de 68 onderzochte aanbestedingen, waren er 34 van de Rijksoverheid en 34 van medeoverheden. Die laatste groep betreft gemeenten, provincies, waterschappen en gemeenschappelijke regelingen. De uitvraagpercentages voor de Rijksoverheid en de medeoverheden verschillen niet heel sterk van elkaar.

Figuur 1. Aandeel uitgevraagde relevante standaarden (2011 - 2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

In Figuur 2 is de ontwikkeling te zien tussen 2018 en 2024 voor de verschillende bestuurslagen. In 2024 scoorde de Rijksoverheid met een uitvraagpercentage van 53 procent iets beter dan de medeoverheden met 49 procent. Tegelijkertijd zien we dat er van jaar op jaar fluctuaties zijn waardoor de Rijksoverheid het ene jaar beter scoort en de medeoverheden in het andere jaar een iets hoger percentage laten zien. De verschillen zijn klein, de bij Figuur 1 geconstateerde stabilisatie zien we dus ook terug bij Rijksoverheid en medeoverheden in Figuur 2.

Figuur 2. Aandeel uitgevraagde relevante standaarden, naar bestuurslaag (2018 - 2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Gebruik van vijfjaargemiddelden

In de Monitor Open Standaarden worden jaarlijks rond de 70 aanbestedingen onderzocht. Daarmee proberen we een min of meer representatief beeld te schetsen van open standaarden in overheidsaanbestedingen. Naarmate we de gegevens verder uitsplitsen, bijvoorbeeld tot op het niveau van de afzonderlijke open standaarden, zien we ook dat zich van jaar op jaar fluctuaties voordoen die niet goed te verklaren zijn. Daarom is in het afgelopen jaar gewerkt aan het construeren van een database met daarin de gegevens van alle recente Monitors. Daar waar we over verder uitgesplitste gegevens rapporteren (domeinen, individuele standaarden), presenteren we vijfjaargemiddelden.

Pas toe per domein

De open standaarden op de ‘Pas toe of leg uit’-lijst kennen een aantal categorieën of domeinen: Veilig Internet, Openbaar en toegankelijk, Economie en werk, Uitwisselingsfundament, Schoon water en Beschermde bodem, Bouwen en wonen, Bestuur en recht, Onderwijs en cultuur.

De categorieën verschillen van elkaar in termen van hoe vaak open standaarden in het betreffende domein relevant zijn. In Figuur 3 maken we de omvang van de verschillen inzichtelijk. Het domein Veilig internet nam in aanbestedingen in de afgelopen vijf jaar (2020 tot en met 2024) 75 procent van alle relevante open standaarden voor zijn rekening. Het domein Openbaar en toegankelijk kende een percentage van bijna 14 procent, het Uitwisselingsfundament 8 procent en Economie en werk 2 procent. De open standaarden uit alle overige domeinen tezamen, waren in minder dan 1 procent van de gevallen relevant. De dominantie van het veilig internet, is mede te verklaren doordat er steeds vaker sprake is van de aanbesteding van clouddiensten en webtechnologie, waardoor de open standaarden uit dit domein vaker relevant zijn.

Figuur 3. Aandeel en aantal relevante standaarden per categorie, (gemiddeld 2020-2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Voor de interpretatie van de gegevens is het van belang om deze dominantie van het domein Veilig internet in gedachten te houden. In Figuur 4 wordt het uitvraagpercentage per domein weergegeven en is zichtbaar dat er behoorlijke verschillen bestaan tussen de domeinen. In het domein Economie en werk werden in de afgelopen vijf onderzochte jaren meer dan 70 procent van de relevante open standaarden daadwerkelijk uitgevraagd, in de andere domeinen was dat percentage aanzienlijk lager. Het domein Veilig internet scoort net onder de 50 procent.

Figuur 4. Uitvraagpercentage per categorie, vijfjaargemiddelde (2020-2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Pas toe per standaard

Na de bestuurslagen en de domeinen richten we de aandacht in Figuur 5 op de afzonderlijke standaarden. Deze figuur vergt enige uitleg omdat er verschillende gegevens te zien zijn. De staafjes laten per open standaard zien hoe vaak deze relevant was (licht paars) en hoe vaak deze daadwerkelijk werd uitgevraagd (licht blauw). De bijbehorende aantallen staan op de linker verticale as die loopt van 0 tot 350. De blauwe stippen in de grafiek geven het uitvraagpercentage weer: hoe vaak een relevante standaard daadwerkelijk werd uitgevraagd. De bijbehorende waarden staan op de rechter verticale as die loopt van 0 tot 100%. De open standaarden in de grafiek zijn gesorteerd op basis van het uitvraagpercentage: links staan de standaarden met het hoogste uitvraagpercentage, rechts die met het laagste uitvraagpercentage. Er stonden in 2024 43 open standaarden op de ‘Pas toe of leg uit’-lijst, die zijn niet allemaal opgenomen in de figuur. Alleen open standaarden die in de afgelopen vijf jaar 50 keer of vaker relevant werden geacht door de experts, worden weergegeven.

Niet opgenomen zijn de volgende vier open standaarden, met tussen haakjes de vermelding van het aantal keer dat ze in de afgelopen 5 jaar relevant werden geacht: Geo-standaarden (31), Ades (23), XBRL (18), WPA2 Enterprise (13). En de volgende standaarden werden allen in de afgelopen 5 jaar minder dan 10 keer als relevant beoordeeld: STIX en TAXII, SETU, E-portfolio, GWSW, BWB, NL LOM, NLCS, OWMS (in 2022 van de lijst gegaan), SKOS, WDO Datamodel, Aquo, IFC, ECLI, VISI, SIKB0101.

De standaarden StUF en NLCIUS kennen het hoogste uitvraagpercentage, achtereenvolgens 89 en 86 procent in de afgelopen vijf jaar. De beide ISO standaarden, PDF en Digikoppeling zijn ook vaak uitgevraagd en scoren uitvraagpercentages tussen de 90 en 70 procent. Aan de andere kant van de figuur is een aantal open standaarden zichtbaar dat veel minder hoge uitvraagpercentages laat zien. Dit gaat om STARTTLS en DANE, REST-API Design rules, NL GOV/OAuth, ODF en RPKI, met een uitvraagpercentage tussen de 26 en 10 procent. Voor de volledigheid wordt hier nog vermeld dat Security.txt niet is opgenomen omdat deze open standaard pas in de loop van 2023 van kracht werd en daarom pas in de beoordeling van de aanbestedingen in 2024 werd meegenomen. Deze standaard werd vorig jaar 50 keer relevant geacht en 7 keer gevraagd, een uitvraagpercentage van 14 procent.

Figuur 5. Relevant en uitgevraagd, vijfjaargemiddelde (2020-2024, relevant >= 50). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Als we in de beschouwing over Figuur 5 niet alleen het uitvraagpercentage meenemen, maar ook het aantal keer dat een standaard relevant en uitgevraagd is, dan kunnen we een drietal groepen onderscheiden:

Standaarden die vaak relevant zijn en veel worden uitgevraagd: ISO 27001 en 27002 en PDF;
Standaarden die vaak relevant zijn en gemiddeld uitgevraagd worden (in ongeveer de helft van de gevallen): Digitoegankelijk, TLS, HTTPS en HSTS en de Authenticatiestandaarden (OpenID.NLGov en SAML);

Standaarden die vaak relevant zijn maar relatief weinig worden uitgevraagd: DNSSEC, SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane.

In het open standaardenbeleid is geen concrete doelstelling geformuleerd wanneer de adoptie van open standaarden als geslaagd wordt beschouwd. Het behalen van een uitvraagpercentage van 100 procent lijkt niet realistisch. Tegelijkertijd is ook duidelijk dat een gemiddeld uitvraagpercentage van 50 procent als onvoldoende moet worden beschouwd. Wil men de adoptie van open standaarden omhoog brengen, dan zijn aanvullende beleidsmaatregelen nodig. Die mogelijke maatregelen zullen voor een groot deel gericht zijn op het geheel, op stimulering en handhaving van de toepassing van alle verplichte open standaarden (en wellicht de aanbevolen standaarden daar nog bij). In aanvulling daarop valt te overwegen om bij de inzet van de schaarse middelen (geld, menskracht), de aandacht te richten op standaarden waar de meeste winst te behalen valt. En daartoe kan de beschreven groepering helpen. Er kan bijvoorbeeld ingezet worden op standaarden die frequent relevant zijn en die tegelijkertijd slechts gemiddeld (Digitoegankelijk, TLS, HTTPS en HSTS en Authenticatie ) of zelfs duidelijk benedengemiddeld (DNSSEC, SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane) uitgevraagd worden.

Kwaliteit van aanbestedingen

De beoordeelde aanbestedingen zijn net als in de voorgaande jaren ingedeeld in verschillende categorieën die een indicatie geven van de kwaliteit van de aanbesteding. Deze indeling is gebaseerd op de mate waarin relevante standaarden daadwerkelijk uitgevraagd worden, de vijf verschillende categorieën zijn voor het totaal, de Rijksoverheid en de medeoverheden in Figuur 6 weergegeven (voor meer uitleg over deze categorisering wordt verwezen naar het onderliggende rapport Vraag naar open standaarden in aanbestedingen, ICTU 2025.

Figuur 6. Oordeel van experts over aanbestedingen (2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

In termen van de toepassing van relevante standaarden bij aanbestedingen doet de Rijksoverheid het in 2024 iets beter dan de medeoverheden. Bij de Rijksoverheid kregen zes aanbestedingen het predicaat perfect (Rijkswaterstaat, Belastingdienst, Rijksdienst voor het Wegverkeer (tweemaal), de Stichting ICTU en Logius). Bij de medeoverheden was dat maar eenmaal het geval (de Provincie Noord-Brabant). Bij de medeoverheden is vooral de middencategorie (op de goede weg) verhoudingsgewijs groter dan bij de Rijksoverheid. In het onderliggende onderzoek naar aanbestedingen als onderdeel van deze monitor worden de (bijna) perfecte aanbestedingen verder beschreven.

Als we kijken naar de ontwikkeling van deze score op de wat langere termijn, dan zien we bij de overheid als geheel dat het aandeel van de categorie perfect en op weg naar perfect in de afgelopen jaren enigszins gegroeid is en dat de categorie onvoldoende steeds kleiner wordt. Voor het jaar 2024 hebben we op verzoek van de opdrachtgever voor het eerst gekeken of er expliciet werd verwezen naar het open standaardenbeleid van Forum Standaardisatie of de ‘Pas toe of leg uit’-lijst. Daarvan was in iets meer dan de helft (53%) sprake.

Uit het onderliggende aanbestedingsonderzoek, blijkt tot slot dat het aantal relevante standaarden per aanbesteding opnieuw is gestegen. In 2018 waren per aanbesteding tien standaarden relevant, in 2024 is dat aantal gestegen naar ruim veertien relevante aanbestedingen. Deze substantiële stijging illustreert dat de aanbestedende diensten met steeds meer eisen te maken hebben - vooral op het terrein van internetveiligheid - waardoor aanbestedingen van clouddiensten en webapplicaties steeds complexer worden.

Hoor en wederhoor

Nadat de experts hun oordeel over de aanbestedingen hebben geveld, zijn deze conceptbeoordelingen voorgelegd aan de aanbestedende diensten en werden zij uitgenodigd om te reageren op het oordeel. De hoor- en wederhoorfase is belangrijk voor de zorgvuldigheid, correctheid en transparantie van het beoordelingsproces. Ook draagt deze werkwijze bij aan het vergroten van de bekendheid met het open standaardenbeleid. Een flink aantal aanbestedende diensten (circa 15) maakte gebruik van deze mogelijkheid, meer daarover in het onderliggende aanbestedingsonderzoek.

In een aantal gevallen leidde de inhoudelijke terugkoppeling van aanbestedende diensten tot herbeoordeling of bijstelling van het oordeel, bijvoorbeeld als een uitgevraagde standaard over het hoofd gezien is (een aanbesteding bestaat uit een groot aantal, soms wel 15 à 20 documenten).

Tegelijkertijd laten andere gevallen van hoor en wederhoor zien dat er bij aanbestedende diensten onduidelijkheid bestaat over de verplichting om de open standaarden uit te vragen, met name in complexe of gefaseerde aanbestedingen. Men realiseert zich ook niet altijd dat het niet voldoende is om in algemene termen naar de verplichte open standaarden te verwijzen, maar dat deze expliciet als eis of als wens in de aanbestedingsstukken opgenomen moeten worden. Ook blijkt dat dat men soms niet bekend is met de ‘Pas toe of leg uit’-lijst en de instrumenten van Forum Standaardisatie.

Een belangrijk signaal kwam ook van een uitvoeringsorganisatie, die pleitte voor een actiever ondersteuningsaanbod tijdens lopende aanbestedingen. Deze suggestie – bijvoorbeeld in de vorm van documentchecks of AI-toepassingen – biedt aanknopingspunten voor doorontwikkeling van het beleid en het ondersteuningsinstrumentarium.

De hoor- en wederhoorfase vervult niet alleen een correctieve functie, maar draagt ook bij aan het lerend vermogen van zowel beoordelaars als aanbestedende diensten en levert waardevolle inzichten voor verbetering van het beleid rond open standaarden.

2. Aanbestedingen: leg uit

Artikel 3 van de Instructie Rijksdienst bij aanschaf ICT-diensten of ICT-producten stelt dat een rijksorganisatie bij aanschaf moet kiezen voor een ICT-dienst of een ICT-product dat gebruik maakt van de van toepassing zijnde open standaarden van de website van Forum Standaardisatie. Daarvan kan afgeweken worden “indien een dergelijke dienst of product naar verwachting in onvoldoende mate wordt aangeboden, onvoldoende veilig of zeker functioneert, of om andere redenen van bijzonder gewicht.” Daarbij geldt de verplichting om die afwijking gemotiveerd vast te leggen. Deze verplichting is later uitgebreid naar medeoverheden en uitvoeringsorganisaties en is in april 2022 door het Overheidsbreed Beleidsoverleg Digitale Overheid voor onbepaalde tijd opnieuw bevestigd.

In de laatste kolom van Tabel 1 is te zien dat van de aanbestedingen die in de afgelopen vijf jaar werden onderzocht, er 31 de kwalificatie perfect kregen. Dat betekent dat alle relevante open standaarden werden uitgevraagd. Alle overige aanbestedingen – 283 in de afgelopen 5 jaar – voldeden niet aan het open standaardenbeleid en daarover zou dus eigenlijk in de jaarverslagen van de betreffende organisaties uitleg moeten volgen over de afwijking van de verplichting om relevante open standaarden toe te passen. Dat geldt dus voor 90 procent van de aanbestedingen die in de afgelopen jaren werden bestudeerd.

	Rijk	Mede- overheden	Totaal
Perfect	24	7	31
Leg uit verplicht: aantal aanbestedingen	131	152	283
Leg uit verplicht: aandeel van het totaal	85%	96%	90%

Rijk

Mede-

overheden

Totaal

Perfect

Leg uit verplicht: aantal aanbestedingen

131

152

283

Leg uit verplicht: aandeel van het totaal

85%

96%

90%

Tabel 1. Leg uit-verplichting naar bestuurslaag (gemiddeld, 2020-2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Elk jaar worden voor de departementen alle jaarverslagen – ook van departementen waarvan geen aanbestedingen werden onderzocht - nagepluisd op verantwoordingsteksten over open standaarden en aanbestedingen. Ook worden alle jaarverslagen van medeoverheden bekeken als een aanbesteding van die organisatie werd onderzocht. Omdat de jaarverslagen van de medeoverheden gedurende 2025 nog op verschillende tijdstippen gepubliceerd gaan worden, volgen de uitkomsten van dat onderdeel op een later moment.

De jaarverslagen van de departementen worden op de derde woensdag in mei gepubliceerd (verantwoordingsdag). Er is naar de jaarverslagen van alle twaalf ministeries gekeken, hoewel strikt genomen alleen de volgende tien departementen onderwerp van onderzoek zijn in 2024: Binnenlandse Zaken en Koninkrijksrelaties, Financiën, Infrastructuur en Waterstaat, Justitie en Veiligheid, Volksgezondheid, Welzijn en Sport, Buitenlandse Zaken, Defensie, Sociale Zaken en Werkgelegenheid, Economische Zaken en Klimaat en tot slot Onderwijs, Cultuur en Wetenschap. Van deze tien departementen zijn namelijk aanbestedingen beoordeeld uit 2024, met een beoordeling die noodzaakt tot 'leg uit'.

Het overall-beeld voor 'Leg uit' door de 12 departementen is als volgt:

Open standaarden worden volgens de departementen breed toegepast, vrijwel alle ministeries bevestigen in hun jaarverslag naleving van het 'Pas toe of leg uit'-beleid.
Echter, uitleg (‘leg uit’) over concrete afwijkingen van het beleid ontbreekt vrijwel overal, zelfs in gevallen waarin op basis van omvangrijke ICT-projecten (bijv. BZK, BuZa, JenV) afwijkingen voorstelbaar zijn.

Dit beeld over het ontbreken van uitleg in het jaarverslag over afwijkingen op het beleid, sluit aan bij hetgeen er in veel van de voorgaande monitors werd geconstateerd: het ‘Leg uit’-deel van concrete afwijkingen van het beleid werkt niet.

3. Survey Open Standaarden

In 2025 heeft ICTU op verzoek van Forum Standaardisatie een enquête uitgevoerd naar het gebruik van open standaarden bij de overheid. Aan deze Survey Open Standaarden 2025 deden 49 respondenten mee, waarbij grote organisaties vaker vertegenwoordigd waren dan kleine organisaties. Het betreft vrijwel allemaal medewerkers die bezig zijn met de informatiehuishouding van de organisatie. De meeste respondenten kwamen uit de sector gemeenten (16), maar provincies en waterschappen waren, zeker in het licht van het veel kleinere aantal organisaties in die sectoren, ook behoorlijk vertegenwoordigd (6 respectievelijk 10 respondenten).

We zien dat steeds een substantiële meerderheid (rond de 60 procent) van de responderende organisaties bevestigend antwoordt op de volgende vragen of men:

beleid heeft vastgelegd t.a.v. van open standaarden of interoperabiliteit;
rekening houdt met verplichte open standaarden van Forum Standaardisatie (figuur 7);
rekening houdt met de standaarden die verplicht zijn o.b.v. de Wet Digitale Overheid;
controleert of uitgevraagde standaarden daadwerkelijk geïmplementeerd worden.

Figuur 7. Rekening houden met verplichte open standaarden van Forum (n=49, aantal en %). Bron: Survey Open Standaarden 2025 (ICTU).

Diezelfde meerderheid geldt ook voor het rekening houden met de Gemma standaardenlijst bij gemeenten. In 70 procent van de responderende overheidsorganisaties, waar zelf software wordt ontwikkeld, wordt daarbij ook rekening gehouden met de verplichte standaarden.

Deze substantiële meerderheid betekent natuurlijk ook dat in een deel van de responderende organisaties geen rekening wordt gehouden met de genoemde aspecten van het open standaardenbeleid of dat respondenten niet weten of dat het geval is.

Gevraagd naar de problemen die respondenten ervaren met het open standaardenbeleid, verwijst men vooral naar het probleem van leveranciers die open standaarden niet willen of kunnen toepassen vanwege gebrek aan kennis, conflicterende technologie of commerciële belangen. Grote leveranciers hebben een dominante positie. Hierdoor vrezen organisaties dat bij het eisen van de verplichte open standaarden onvoldoende inschrijvingen volgen. Dat leidt tot lastige afwegingen bij het doen van aanbestedingen.

De helft van de respondenten geeft desgevraagd aan de Monitor Open Standaarden de meest geëigende plek zou zijn om afwijking van het open standaardenbeleid uit te leggen. Van die verplichting komt namelijk in de praktijk maar heel weinig. Andere respondenten – kleiner in aantal – kiezen voor het handhaven van de huidige opzet (uitleg via de bedrijfsvoeringsparagraaf van het jaarverslag) of voor een centraal register voor de Leg uit-verplichting. Vier respondenten vinden dat de ‘Leg uit’-verplichting afgeschaft zou moeten worden.

Bij de provincies wordt volgens de helft van de respondenten (3 van de 6) de open standaarden ook bij enkelvoudige en onderhandse aanbestedingen uitgevraagd.

4. Artificiële Intelligentie

Elk jaar beoordelen we in het kader van de Monitor Open Standaarden circa 70 aanbestedingen. Een tweetal onafhankelijke experts doen die beoordeling. Zij bestuderen de aanbestedingsstukken en op basis daarvan bepalen zij welke standaarden van de ‘Pas toe of leg uit’-lijst relevant zijn en of ze ook daadwerkelijk uitgevraagd worden. Deze werkwijze is grondig, zorgt voor kwalitatief hoogwaardige beoordelingen, maar is ook arbeidsintensief en bewerkelijk.

De ontwikkelingen op het gebied van artificiële intelligentie(AI) zijn in de afgelopen jaren zeer snel gegaan, er komen steeds nieuwe mogelijkheden beschikbaar. Daarom hebben we dit jaar in het kader van de Monitor een experiment gedaan om te onderzoeken of AI een ondersteunende rol kan spelen in het proces van beoordelen. Door Enigmatry is een Proof of Concept (POC) ontwikkeld en beschreven. Op basis hiervan is een aanpak ontwikkeld bestaande uit twee typen AI-prompts. De eerste prompt (de relevantieanalyse) bevat een tekstuele beslisstructuur waarmee – op basis van gerichte inhoudelijke vragen – bepaald wordt welke open standaarden relevant zijn voor een specifieke aanbesteding. In de tweede prompt (de documentanalyse) wordt voor elke eerder geïdentificeerde standaard (prompt 1) onderzocht of deze expliciet en correct is opgenomen in de aanbestedingsdocumentatie. Voor deze analyse is achtergrondinformatie over de standaarden afkomstig van het Forum Standaardisatie toegevoegd aan de AI-modellen, zodat het systeem beter kon interpreteren wat het moest zoeken en beoordelen.

De resultaten van deze POC laten zien dat AI een waardevolle rol kan spelen in het ondersteunen van de beoordeling van aanbestedingen op open standaarden. Door relevante standaarden automatisch te identificeren en te analyseren of deze expliciet en correct zijn uitgevraagd, biedt de AI-tool potentieel een substantiële bijdrage aan de efficiëntie en consistentie van het beoordelingsproces.

Tegelijkertijd blijft menselijke expertise cruciaal. AI is een hulpmiddel – in dit geval een derde beoordelaar – die het werk van de professionele beoordelaars versterkt en aanvult. Het doel van de huidige POC was beperkt: verkennen of de inzet van AI kansrijk zou kunnen zijn. Het resultaat is niet een aan ICTU of Forum Standaardisatie over te dragen applicatie maar een korte rapportage en, mocht daar onder de leden van het Forum Standaardisatie interesse voor zijn, een demonstratie door de ontwikkelaars. Een demonstratie is - veel meer een rapport - een effectieve manier om de werking, toegevoegde waarde én beperkingen inzichtelijk te maken.

ICTU beveelt aan om – gezien de positieve ervaringen met de POC – te overwegen om in een vervolgstap een eerste, beperkte versie van een op AI gebaseerd beoordeling ondersteunend instrument te ontwikkelen dat de experts helpt in hun beoordelingen. Op termijn kunnen wij ons voorstellen dat men dit instrumentarium kan door ontwikkelen, bijvoorbeeld om aanbestedende diensten ook vooraf ondersteuning te geven bij het maken of controleren van - nog niet gepubliceerde – aanbestedingsstukken: AI ondersteuning bij het bepalen en uitvragen van relevante open standaarden.

Voorwaarden ten aanzien van de inzet van AI door de overheid

De huidige POC is getoetst en voldoet aan de eigen ICTU-spelregels ten aanzien van artificiële intelligentie (Spelregels ICTU-medewerkers voor gebruik van generatieve AI, december 2024, ICTU). Die spelregels zien op de gebruikte licentie, de vertrouwelijkheid van gegevens, de beoogde toepassing en het al dan niet openbaar maken van informatie. In de POC is uitsluitend gebruik gemaakt van openbare, op Tenderned gepubliceerde, aanbestedingsstukken. Er zijn tijdens de POC geen persoonsgegevens verwerkt.

Zodra er in een vervolgstap daadwerkelijk een applicatie ontwikkeld wordt, dan moet voldaan worden aan de voorwaarden zoals die door het ministerie van BZK beschreven zijn in het Overheidsbreed standpunt voor de inzet van generatieve AI en de overheidsbrede handreiking Verantwoorde inzet van generatieve AI (beide stukken uit januari 2025). Dat betekent onder meer dat het doel van de applicatie duidelijk wordt omschreven evenals het probleem dat de applicatie moet oplossen. Er moet ook naar eventuele alternatieven worden gekeken, naar de randvoorwaarden bij gebruik en naar een exitstrategie. Verder maakt een risicoanalyse onderdeel uit van de aanpak, bijvoorbeeld in de vorm van een Data Protection Impact Assessment (DPIA) of Pre-DPIA. Het geheel moet voldoen aan de relevante (Europese) wet- en regelgeving, zoals de AVG en de AI verordening. Er is inmiddels instrumentarium in ontwikkeling dat helpt om de stappen in dit proces te doorlopen, zoals bijvoorbeeld de beslishulp AI-verordening.

5. De stagnerende adoptie van open standaarden

Aan het open standaardenbeleid is nooit een cijfermatige doelstelling gekoppeld. Een voorbeeld van zo’n kwantitatieve doelstelling zou kunnen zijn: in 2025 moet 85 procent van de relevante open standaarden in aanbestedingen daadwerkelijk uitgevraagd worden. In beleidsstukken wordt gesproken over brede adoptie van standaarden, maar op basis daarvan is het lastig om vast te stellen wanneer het beleid succesvol is of hoeveel trager de adoptie gaat dan gewenst. In het verleden is richting de Tweede Kamer wel aangegeven dat de mogelijkheden van wettelijke verankering van het ‘Pas toe of leg uit’-principe onderzocht zouden worden indien zou blijken dat het aantal organisaties die het beleid geïmplementeerd heeft beneden de 75% zou liggen. In 2015 werd in de Tweede Kamer de motie Oosenbrug/ Gesthuizen aangenomen waarin de regering werd gevraagd om …. “ervoor te zorgen dat voor eind 2015 bij alle aanbestedingen correct omgegaan wordt met de relevante open standaarden”.

Het is in ieder geval duidelijk dat de stabilisatie van het uitvraagpercentage rond de 50 procent, niet als voldoende moet worden beschouwd.

Er is in beperkte mate onderzoek gedaan naar de verklaring voor het achterblijven van de adoptie. PBLQ heeft in 2020 op verzoek van Forum Standaardisatie het Advies Knelpunten voor adoptie gemaakt, waarin veel van de oorzaken op een rij worden gezet. Volgens dit onderzoek kent de trage toepassing van open standaarden binnen de overheid meerdere oorzaken, verdeeld over organisatorische, beleidsmatige en praktische aspecten.

Een belangrijke oorzaak is het gebrek aan kennis over open standaarden. Vaak is onduidelijk welke standaarden relevant zijn: niet iedereen is bekend met de verplichte open standaarden of weet waar de bestaande kennis te vinden is. Een onderzoek naar de toepassing van open standaarden bij medeoverheden uit 2023 bevestigt dit beeld. De bekendheid met de ‘Pas toe of leg uit’-lijst en de hulpmiddelen van het Forum – de handreiking en de beslisboom – is niet erg groot. Uit het onderzoek blijkt bovendien dat de aandacht voor open standaarden na de gunning verflauwt. Tijdens implementatie en inbeheername controleert men niet structureel of de gevraagde open standaarden daadwerkelijk geleverd worden.

Naast het gebrek aan kennis ontbreekt het in veel organisaties aan duidelijke governance: de rollen zijn versnipperd en de verantwoordelijkheden zijn niet belegd. Het is niet altijd duidelijk wie binnen de organisatie het beleid rond open standaarden bepaalt en toeziet op de naleving daarvan.

Een andere verklaring ligt in de (machts-)verhoudingen van aanbestedende diensten met de leveranciers. Leveranciers zijn vaak grote (internationale) bedrijven met meer kennis en invloed. Dat maakt het voor overheden moeilijk om de implementatie van open standaarden af te dwingen. Bovendien is men bij aanbestedende diensten bang dat – door eisen te stellen ten aanzien van verplicht toe te passen open standaarden - leveranciers uitgesloten worden en de aanbesteding onvoldoende of zelfs geen inschrijvingen oplevert. Dat blijkt onder meer uit de gesprekken met aanbestedende diensten die in het kader van de Monitor Open Standaarden 2023.

De ‘Leg uit’-component van het beleid wordt bij de ministeries in beperkte mate toegepast, elders vrijwel niet. Bovendien ontbreekt toezicht of handhaving vrijwel volledig. Hierdoor is er weinig druk om standaarden daadwerkelijk te implementeren. Het huidige beleid focust sterk op het moment van ICT-aanschaf en de start van eigen ontwikkeltrajecten, terwijl (nieuwe versies van) standaarden breder en doorlopend geïmplementeerd zouden moeten worden.

Tot slot wordt de toepassing van open standaarden bemoeilijkt door technische factoren zoals legacy-systemen.

Documentatie-type

vergaderstuk