Oplegnotitie open standaarden, lijsten

Ter besluitvorming

Versie 1.1.0 van NL GOV Assurance profile for OAuth 2.0 verplichten aan de overheid (‘Pas toe of leg uit’, voor het veilig autoriseren van toegang tot gegevens via een REST API (Forumadvies)

[Bijlage: FS-20260617-02A.-Forumadvies-NL-GOV-Assurance-profile-for-OAuth-versiewijziging]

Inleiding

NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de internationale standaard OAuth 2.0 bij de Nederlandse overheid. De standaard zorgt ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige wijze plaatsvindt. Ontwikkelaars hoeven niet zelf te bedenken hoe OAuth 2.0 bij de Nederlandse overheid veilig moet worden geïmplementeerd. Dit voorkomt fragmentatie en draagt bij aan de leveranciersonafhankelijkheid.

De nieuw aangemelde versie (1.1.0) is een kleine, incrementele update ten opzichte van de vorige versie en maakt duidelijk welke content specifiek Nederlands is en welke content nog overeenkomt met de internationale basis (OAuth2.0). Logius heeft het predicaat ‘Uitstekend beheer’ gevraagd voor deze standaard, wat op basis van de resultaten van de toetsingsprocedure kan worden toegekend vanuit het vertrouwen dat Logius aanpassingen procedureel ordelijk zal doorvoeren in afstemming met betrokkenen.

Vraag aan Forum Standaardisatie om in te stemmen met de volgende adviezen aan het OBDO:

1. NL GOV Assurance Profile for OAuth 2.0 in de nieuwe versie (1.1.0) te blijven verplichten aan de overheid (‘Pas toe of leg uit’) via plaatsing op de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie.
2. aan Logius het predicaat ‘Uitstekend beheer’ voor deze standaard toe te kennen.
   1. Belang van de standaard: betere gegevensuitwisseling

Het nut van de nieuwe versie (1.1.0) ligt in het verbeteren van interoperabiliteit en veiligheid van authenticatie en toegang tot gegevensbronnen. Door duidelijk onderscheid te maken tussen wat specifiek Nederlands is en wat internationaal toepasbaar is, sluiten Nederlandse oplossingen beter aan bij de rest van Europa en daarbuiten. Daarnaast is een nieuw profiel toegevoegd (client credentials profiel) dat ook systemen zonder gebruikers inlog (user OAuth) toegang kan geven tot gegevensbronnen. Dit vergroot de mogelijkheid om processen efficiënter te automatiseren en diensten betrouwbaarder en veiliger aan te bieden.

De standaard sluit aan bij internationale OAuth-profielen, wat de consistentie met (inter)nationale standaarden versterkt. Het NL GOV-profiel vergroot de toepasbaarheid en eenduidigheid van OAuth 2.0 door aanvullende handvatten voor toepassing binnen de Nederlandse context.

Hoe is het proces verlopen?

Logius heeft NL GOV Assurance Profile for OAuth 2.0 in de nieuwe versie (1.1.0) op 20 december 2024 aangemeld voor plaatsing op de ‘Pas toe of leg uit’-lijst. Op basis van het intakeadvies heeft het Forum Standaardisatie op 25 september 2025 besloten de standaard in procedure te nemen. De uitkomst van het expertonderzoek is vastgelegd in het expertadvies. Deze is van 24 maart 2026 tot 21 april 2026 in consultatie geweest, wat heeft geleid tot twee reacties.

Dit Forumadvies is opgesteld op basis van het expertadvies, reacties uit de openbare consultatie en inzichten van de leden van het Forum Standaardisatie. Indien het Forum Standaardisatie instemt met dit advies, wordt het aan het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) ter besluitvorming voorgelegd.

Versie 3.1 van OpenAPI Specification verplichten aan de overheid, voor het veilig autoriseren van toegang tot gegevens via een REST API (Forumadvies)

[Bijlage: FS-20260617-02B.Forumadvies-OpenAPI-Specification-versiewijziging]

Inleiding

Door het gebruik van REST API’s hebben overheidsapplicaties razendsnel toegang tot elkaars gegevens. OpenAPI Specification (OAS) is een standaard die machineleesbaar specificeert welke functionaliteit een REST API kan aanbieden. Daarmee wordt voor zowel mens als machine begrijpelijk wat er mogelijk is met de REST API en wordt er meer uniformiteit in het bouwen, aanpassen en koppelen van REST API’s bereikt. Door deze eenduidigheid kunnen softwareontwikkelaars en -leveranciers sneller aan de slag voor de overheid.

Er is sprake van breed draagvlak voor het gebruik van OAS 3.1. Meerdere leveranciers bieden ondersteuning voor de standaard. OAS 3.0 is ook niet langer de gangbare versie. Hoewel OAS 3.1 niet backward compatible is, wordt dit ondervangen door voldoende beschikbare (internationale) ondersteunende tooling om OAS 3.1 te implementeren en de transitie van OAS 3.0 naar OAS 3.1 makkelijk te laten verlopen.

Tegelijk moet de standaard actiever worden gepromoot en de implementatie beter worden ondersteund. Na publicatie van een nieuwe OAS-versie is een duidelijke aankondiging met toelichting essentieel om adoptie te stimuleren.

Kennisplatform API’s heeft het verzoek ingediend om in aanmerking te komen voor het predicaat ‘Uitstekend beheer’ voor Nederlandse intermediair (Erkend Nederlands Intermediair) voor OAS. Echter, nog niet wordt voldaan aan het criterium ‘Open standaardisatieproces’, waaronder structurele financieringseisen.

Vraag aan Forum Standaardisatie om in te stemmen met de volgende adviezen aan het OBDO:

1. OpenAPI Specification (OAS) in de nieuwe versie (3.1) te blijven verplichten aan de overheid (‘Pas toe of leg uit’) via plaatsing op de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie .
2. Het predicaat ‘Uitstekend beheer’ voor Nederlandse intermediair (Erkend Nederlands Intermediair) voor nu niet toe te kennen aan het Kennisplatform API’s.

Belang van de standaard: betere gegevensuitwisseling

De belangrijkste voordelen van OAS 3.1:

• De compliancy met JSON Schema is verbeterd;
• De eenduidigheid in de API-security bij toepassing van mutual TLS is verbeterd;
• De beschrijving van webhooks is verbeterd;
• Verduidelijking van begrippen, toelichtingen en voorbeelden zijn verbeterd.

Versie 3.1 van de standaard bevat breaking changes en is daardoor niet backward compatible met de vorige versie. Dit wordt ondervangen door voldoende beschikbare (internationale) ondersteunende tooling beschikbaar om OAS 3.1 te implementeren en de transitie van OAS 3.0 naar OAS 3.1 makkelijk te laten verlopen. Tot slot zijn er voldoende positieve signalen over toekomstig gebruik van de standaard door (semi-)overheidsorganisaties, het bedrijfsleven en burgers; zie daarvoor het artikel op developer.overheid.nl.

Hoe is het proces verlopen?

Logius (de indiener) heeft OAS in de nieuwe versie (3.1) op 10 augustus 2022 aangemeld voor plaatsing op de ‘Pas toe of leg uit’-lijst.

Op basis van het intakeadvies heeft het Forum Standaardisatie op 7 december 2022 besloten de standaard in procedure te nemen. Tijdens de expertsessie van 5 april 2023 kwamen de experts tot de conclusie dat het nog te vroeg was OAS in de nieuwe versie (3.1) te verplichten, waarna de toetsingsprocedure werd gepauzeerd. De experts adviseerden de procedure voort te zetten zodra OAS voldoende voortgang heeft geboekt op de geconstateerde aandachtspunten. Omdat de expertsessie voortijdig werd gestopt, zijn de resultaten niet vastgesteld en openbaar gepubliceerd in een expertadvies.

Nadat de indiener op 12 juni 2025 aangaf dat de geconstateerde aandachtspunten waren opgepakt, is de procedure voor versie 3.1 voortgezet en vond op 26 januari 2026 opnieuw een expertbijeenkomst plaats. De uitkomst van dit expertonderzoek is vastgelegd in het expertadvies. Deze is van 24 maart 2026 tot 21 april 2026 in consulatie geweest, wat heeft geleid tot één openbare reactie en één niet-openbare reactie. De reacties zijn aansluitend voorgelegd aan de indiener van de standaard.

Dit Forumadvies is opgesteld op basis van het expertadvies, reacties uit de openbare consultatie en inzichten van de leden van het Forum Standaardisatie. Indien het Forum Standaardisatie instemt met dit advies, wordt het aan het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) ter besluitvorming voorgelegd.