Addendum Verslag Forum Standaardisatie woensdag 16 april 2025

De Nederlandse Digitaliseringsstrategie (NDS)

Inbreng Michiel Steltman (FS) en Erik Jan Boon (programmadirecteur NDS), addendum ten behoeve van het verslag van de vergadering van het Forum Standaardisatie op woensdag 16 april 2025.

• Schriftelijke inbreng op de NDS, versie 4: Michiel Steltman (forumlid) en Erik Jan Boon (Programmadirecteur NDS) hebben schriftelijke inbreng geleverd op de NDS. Deze inbreng is als addendum bij het verslag van het Forum Standaardisatie gevoegd.
• Michiel Steltman over de NDS: Ludwig Oberendorff (BFS) vat het volgende samen van wat er tijdens de vergadering is besproken: Michiel ziet de "sense of urgency" en uitspraken als "vrijblijvendheid voorbij" positief in, evenals de striktere toepassing van standaarden en de oproep om de markt als partner voor co-creatie te zien. Teleurstellend is echter dat er weinig invulling van het "hoe" te lezen is. Concreet wordt vrijwel nergens gesproken over wat de geschetste aanpak betekent voor de IT-uitvoering, wat de root causes en blokkades zijn, welke denkkaders en principes nu regeren en hoe die in de nieuwe aanpak worden aangepakt, wie de regie krijgt en hoe de meer horizontale aanpak wordt afgedwongen. Ook het ontbreken van referenties naar architectuur (integrale toepassing van de NORA) wordt als een serieuze omissie gezien als cruciale randvoorwaarde. Zonder verplichting ontstaat het risico dat de implementatie van open standaarden, hergebruik van data en Cloud als extra eisen worden ervaren. Samenvattend ontbreken cruciale analyses voor de uitvoering die richting geven aan de ambities. De olifanten in de kamer en onderliggende paradigma's worden niet benoemd.

Feedback Michiel Steltman op de NDS

Wat is goed: Het is een kort en krachtig pleidooi voor een overheidsbrede, integrale aanpak van digitalisering. Het bouwt ook voort op eerdere agenda’s waarin de publieke waarden een sterkere rol kregen, en dat brengt continuïteit. Het is ook een verdieping op de eerdere agenda’s en het geeft daarmee richting aan de uitvoering. Er spreekt een sense of urgency: uitspraken als “vrijblijvendheid voorbij” laten zien dat het menens is met inzet op hergebruik, met het denken in generieke brede infra, herbruikbare data, herbruikbare bouwstenen, en de striktere toepassing van standaarden. De oproep om de markt niet langer alleen als leverancier te zien maar ook als partner voor co-creatie is ook belangrijk; dat kan riskante afhankelijkheid van niet-EU spelers verminderen en diverse teksten geven ook richting aan die samenwerking.

Waar eerdere agenda’s voornamelijk spraken over de maatschappelijke noodzaak en argumenten voor een digitaliseringsagenda, zet deze agenda een stap verder met het benoemen van de organisatorische randvoorwaarden en met enkele principes voor de digitalisering zelf. Maar vervolgens roept het stuk ook veel vragen op, over de manier waarop dat concreet zal worden ingevuld. Gezien de urgentie lag het in de lijn der verwachtingen dat er ook veel invulling van het “Hoe” te lezen zou zijn, maar dat lijkt niet echt het geval. Het lijkt erop dat dat onderwerp moet worden van nadere invulling en uitwerking. Dat is een gemiste kans, want zulke principes moeten vooraf worden geformuleerd en niet het resultaat zijn van een uitwerkingsproces.

Concreet, wat naar mijn overtuiging echt mist in dit stadium:

• Vrijwel nergens komt ter sprake wat de geschetste generieke(re) aanpak, “vrijblijvendheid voorbij”, en het “doorbreken van het huis van Thorbecke in de IT uitvoering” betekent. Wat zijn de huidige root causes/blokkades, welke denkramen en principes regeren nu? En hoe worden die dan in de nieuwe aanpak geadresseerd? Wie krijgt de regie, en hoe zal de meer horizontale aanpak, als het er echt op aankomt, worden afgedwongen bij de 1600 organisaties? Waar houden organisaties wel zelf zeggenschap, en waar niet? Welke zaken moeten centraal, wordt dat opnieuw een PTOLU-regime, of verplichte inkoop bij een centrale rijksdienst? Welke zaken blijven decentraal? Het stuk kan nu zo worden gelezen dat het bij “verplicht centraal” alleen zal gaan om IaaS en PaaS clouds met serverparken, netwerken, en meer. En om sterkere aanbevelingen aan organisaties om toch echt vaker open standaarden te gebruiken, data en software te hergebruiken.
• Ook de teksten over het federatief datastelsel roepen veel vragen op. Zoals: Wat valt daaronder/wat wordt centraal gecoördineerd, en wat niet? Welke organisatie gaat dat doen? Hoe worden besluiten over hergebruik/eigen data/beschikbaar maken van data straks genomen? Hoe moeten niet-ontsloten sets alsnog worden ontsloten?
• Een belangrijke omissie is mijns inziens het expliciet benoemen van de aanbestedings- en inkoopdynamiek en -praktijken, als doorslaggevende factor bij de manier waarop digitalisering in de afgelopen decennia is ingericht, en tot dominantie van de “usual suspects” heeft geleid. Die analyse is cruciaal in dit stadium, en als die dynamiek ongewijzigd blijft zal er weinig veranderen in de manier waarop IT decentraal en onder beheer van de 1600 organisaties wordt ontworpen, gebouwd, geleverd en al dan niet onderhouden en verbeterd.
• Het stuk zet vol in op gebruik van cloud, maar gaat volledig voorbij aan wat “cloud-readiness” nu eigenlijk betekent. Door dat niet te benoemen wordt Cloud impliciet neergezet als een technisch detail, als “yet another system”, in plaats van als onderdeel van generieke, dynamische, gelaagde structuren, architecturen en besturing. Cloud-readiness is immers eerder een mindset dan technologie; een mindset en IT-cultuur die cruciaal is voor de wens om te werken met moderne, dynamische, service-oriented IT, in plaats van als uitvoeringsdetail in een lastenboek voor een aanbesteding.
• Wat eveneens ontbreekt is het centrale thema: hebben we het hier (in het vervolg) nog steeds over systemen, of over aggregaties van services? De teksten rond “hergebruik” van data en clouds suggereren het laatste, maar hergebruik kan zonder die explicitering net zo goed worden uitgelegd als het verkrijgen van software die eerder door iemand anders is gemaakt, voor (nog steeds) dedicated, standalone oplossingen.
• Een andere serieuze omissie is het ontbreken van referenties naar architectuur. Integrale toepassing van NORA is mijns inziens dé cruciale randvoorwaarde voor de geschetste structuur en ambities. Zonder die verplichting ontstaat opnieuw het risico dat bij implementaties open standaarden, hergebruik van data, en cloud eerder als weer extra eisen “van boven” worden gezien, dan als basisprincipes voor de gewenste richting.
• Verder mist het expliciet benoemen van de harde noodzaak om IT-besturing in te richten als een proces van continue verbetering. Dat had met name in het hoofdstuk “weerbare overheid” een kernrol moeten spelen. Immers, in alle nieuwe EU-wetgeving op dit gebied wordt dit bestuurlijke thema prominent benoemd en verplicht gesteld: organisaties die niet in staat zijn om hun IT continu aan te passen aan nieuwe ontwikkelingen (zoals dreigingen) en die dus niet continu en snel kunnen verbeteren, kunnen niet weerbaar zijn. “Continuous improvement” is immers geen proces- of uitvoeringsdetail, maar een kernthema voor besturing.

Samenvattend, ontbreken mijns inziens cruciale analyses en randvoorwaarden voor uitvoering die echt richting geven aan de geschetste ambities. De toon wordt gezet: het gaat om een ingrijpende verandering, vrijblijvendheid voorbij, maar de olifanten in de kamer – de onderliggende paradigma’s, structuren en practices die de uitvoering van eerdere NDS-ambities in de weg hebben gestaan – worden niet benoemd, en worden impliciet doorgeschoven naar beraden en overleggen.

Daarmee blijft er volop ruimte voor continuering van de gangbare praktijken, zoals gebruik van standaarden als PTOLU-add-ons. Het stuk zou enorm aan kracht winnen als er meer root causes zouden worden benoemd en de oplossingsprincipes worden toegevoegd.

Feedback Erik Jan Boon op de NDS

Beste Ludwig,

Dank voor je mail. Naar aanleiding van jullie eerdere bericht is de tekst over standaardisatie wel aangescherpt. De tekst is nu:

• We introduceren een versterkte aanpak op het afspreken, invoeren en handhaven van (digitale) standaarden. Inclusief ondersteuning bij het invoeren daarvan. Bij (Europese) wet geïntroduceerde digitale standaarden moeten door alle overheidsorganisaties geïmplementeerd worden. We helpen overheidsorganisaties bij het invoeren van deze standaarden, laten goede voorbeelden zien, maken het inzichtelijk wanneer organisaties niet aan de gezamenlijke standaarden voldoen en gaan hierover met hen in gesprek. Het gebruik van standaarden is niet meer vrijblijvend en we gaan ervoor zorgen dat iedereen ze ook gaat gebruiken, waarbij het tempo van adoptie kan verschillen.

De groen gemarkeerde tekst is een nieuwe toevoeging ten opzichte van de vorige versie. Hierbij hebben we geprobeerd recht te doen aan jullie commentaar en het commentaar dat we eerder van bijna alle (mede)overheden ontvingen om ook oog te hebben voor absorptievermogen.

Over jullie feedback met betrekking tot tempo van adoptie en handhaving, geef ik graag het volgende mee:

• Tempo van adoptie: de reden dat er nog staat dat het tempo van adoptie kan verschillen, is dat uitvoeringsorganisaties te maken hebben met volle veranderportefeuilles en geplande vervangingsmomenten van bijvoorbeeld legacy. Dat heeft invloed op het tempo waarin organisaties aan standaarden kunnen voldoen. Dit is een signaal dat we vanuit meerdere dienstverleners hebben gekregen, en dit kwam ook naar voren tijdens het OBDO-diner van donderdag 20 maart. Daarna is in overleg met de staatssecretaris de zin over verschillen in adoptie-tempo’s toegevoegd.
• Handhaving: de huidige tekst ‘het gebruik is niet meer vrijblijvend en we gaan ervoor zorgen dat iedereen ze ook gaat gebruiken’ is redelijk synoniem aan ‘en zorgen voor integrale handhaving en naleving daarvan.’ Ook deze tekst is afgestemd met de staatssecretaris.

Hopelijk geeft dit voldoende beeld. Mocht er nog behoefte zijn aan overleg, dan ben ik daar uiteraard toe bereid.