Plan van aanpak en achtergrondnotitie vervolg aanpak standaarden en standaardisatieactiviteiten clouddiensten

Content

Vergadering: Forum Standaardisatie 25 juni 2025

Agendapunt: 3A

Documentnummer: FS-20250625.3A

Versie: v1.0

Aan: Forum Standaardisatie

Van: Sponsorgroep Markt en (Cloud)standaarden

Bijlagen: Plan van Aanpak – Markt en Open (Cloud)standaardisatie, Achtergrondnotitie vervolg aanpak standaarden en standaardisatieactiviteiten clouddiensten 

Hieronder volgt het (Ad. A) Plan van aanpak voor de vervolginzet van Forum Standaardisatie op de dossiers 'markt en cloudstandaarden' (voorheen: leveranciersbetrokkenheid) en 'cloud'. Vervolgens volgt een (Ad. B) achtergrondnotitie met achtergrondinformatie en context over hoe dit plan tot stand is gekomen.

Ad A. Plan van Aanpak – Markt en Open (Cloud)standaarden

Forum Standaardisatie – 2025

1. Aanleiding en doelstelling

De adoptie van open standaarden binnen de publieke sector verloopt traag. (zie monitor open standaarden)Tegelijkertijd zijn er Europese en nationale ontwikkelingen (zoals de EU Data Act, EUCS, Interoperable Europe Act en gelaagdheid (‘stack’) zoals EuroStack) die druk zetten op dataportabiliteit, interoperabiliteit en leveranciersonafhankelijkheid. Forum Standaardisatie wil hierop inspelen door vanuit haar unieke netwerkpositie gerichte acties te ondernemen.

Doelstelling

Een structurele bijdrage leveren aan leveranciersonafhankelijkheid, portabiliteit en interoperabiliteit binnen cloudtoepassingen door:

  1. het identificeren van en overzicht onderhouden van open standaarden rondom cloud;
  2. kennisdeling en communityvorming over standaarden rondom cloud binnen de bestaande governance structuren;
  3. betrekken van leveranciers en vertgenwoordigers van het bedrijfsleven  bij cloudvraagstukken voor adoptie van open standaarden
  4. in kaart brengen van leveranciersafhankelijkheid bij overheid (via leveranciersmeting en markt en ICT toets)

Leeswijzer

Dit Plan van Aanpak – Markt en Open (Cloud)standaardisatie is een invulling op hoofdlijnen bij het dossier cloud als usecase en inhoudelijk onderwerp bij dossier markt en open standaarden. Het Forum Standaardisatie heeft in zijn vergadering van 15 april 2025 besloten om een dossier markt en open standaarden (voorheen leveranciersbetrokkenheid) te starten met cloud als inhoudelijk onderwerp.

De 'Achtergrondnotitie vervolg aanpak standaarden en standaardisatieactiviteiten clouddiensten' geeft met achtergrondinformatie en context over hoe dit plan tot stand is gekomen. De achtergrondnotitie adresseerde vier aandachtsgebieden die voortkomen uit de intensivering van het Bureau Forum Standaardisatie (BFS) op het dossier cloud gedurende de periode september 2024 en april 2025 vanwege inzet van Rijks I-Traineeship. Begin 2025 is er een sponsorgroep cloud opgericht en in de Forum Standaardisatie vergadering van 12 februari 2025 is de voortgang op het dossier cloud besproken. Eerdere concept-versie van die notitie is besproken in de Sponsorgroep Cloud van 31 maart 2025 en van 19 mei 2025. Uitkomsten uit de bespreking in de Sponsorgroep zijn verwerkt in die notitie.

2. Doelgroepen

Er zijn meerdere doelgroepen, die te maken hebben met standaarden voor cloudtechnologie. 

  • Overheidsorganisaties (managers, beleidsmakers, ICT-inkopers, architecten, beheerders)
  • Leveranciers van clouddiensten en software
  • Afnemers van clouddiensten: bedrijven en instellingen.
  • Architectuurraad Digitale Overheid
  • Beheerders van open standaarden
  • Europese en nationale normalisatie-instanties (zoals NEN, ETSI, ISO)
  • Forum Standaardisatie en Bureau FS

3. Acties

De acties uit de vier aandachtsgebieden zijn vervolgstappen in samenhang met onder andere Nederlandse Digitaliseringsstrategie (NDS) en de Architectuur Digitale Overheid - Domeinarchitectuur Infrastructuur (conceptversie 0.6 of hoger). 

De focus ligt op identificeren van en overzicht onderhouden van open standaarden rondom cloud (Actie 1), met aanpalend aandacht voor kennisdeling en communityvorming (Actie 2).

Actie 1: Identificeren van en overzicht onderhouden voor open standaarden rondom cloud

Wat willen we bereiken met een inventarisatie?

We creëren overzicht van bestaande en in ontwikkeling zijnde cloudstandaarden in de context van IAAS-PAAS-SAAS, met een focus op IAAS.

Wat gaan we daarvoor doen?

  1. Onderzoek laten uitvoeren naar relevante (inter)nationale cloudstandaarden (incl. op basis van EU Data Act, EUCS, GDPR en van ‘beleidsmatige’ stacks zoals EuroStack).
  2. Indeling van standaarden naar ICT-lagen en bovengnoemde stacks (bijv. infrastructuur, data, applicatie).
  3. Monitoring van initiatieven bij zoals JTC25, Govstack, Eurostack, ETSI, ISO, NEN.

Welke resultaten zullen we opleveren aan het forum Standaardisatie?

Het verkrijgen van een actueel en bruikbaar overzicht van relevante (inter)nationale cloudstandaarden, in eerste instantie op basis van standaarden die zijn geïdentificeerd uit regelgeving en normenkaders (zoals de EU Data Act, EUCS en GDPR) en op basis van ‘open source stacks (zoals OpenStack, EuroStack, Souvereign Cloud Stack, Stackmodel Digitale Economie, PublicStack).

De uitkomsten van het onderzoek dragen bij aan inzichten welke standaarden op termijn zich gaan lenen voor opname in wet- en regelgeving of vergelijkbare handhavingskaders, waartoe plaatsing van relevante (inter)nationale cloudstandaarden op de standaardenlijsten van het Forum tot de mogelijkheden behoort

  1. Actueel overzicht Cloud standaarden.
  2. Nederlandse [en EU] betrokkenheid bij standaardisatie in kaart gebracht.
  3. Input voor opname van open standaarden in wet- en regelgeving of vergelijkbare handhavingskaders 

Actie 2: Kennisdeling over standaarden rondom cloud

Wat willen we bereiken?

Het bevorderen van gezamenlijke keuzes voor (open) cloudstandaarden binnen Nederland en de EU en het bevorderen van kennisdeling over cloudstandaarden. Daarnaast, praktijkinzicht bieden in de toepassing van open standaarden in cloud projecten/aanbestedingen.

Wat gaan we daarvoor doen?

  1. Signaleren overheidsbrede community of practice over cloudstandaarden, in relatie tot de adviserende rol van het Forum Standaardisatie.
  2. Organiseren van bijeenkomst Dag van de Interoperabiliteit of in de vorm van werksessies). Use cases uit het Forum-netwerk en bestaande samenwerkingen laten presenteren op Dag van de Interoperabiliteit met thema ‘digitale autonomie’ op 14 oktober 2025,
  3. Aansluiten bij initiatieven zoals RADIO, VNG, NEN of SURF voor kennisuitwisseling.

Resultaten:

  1. Kennisuitwisseling (binnen overheid en markt).
  2. Verbeterde zichtbaarheid van de waarde van open standaarden

Actie 3: Betrekken van leveranciers bij cloudvraagstukken voor adoptie van open standaarden

Wat willen we bereiken?

Leveranciers actief betrekken bij (door)ontwikkelen en adoptie van open standaarden in samenwerking met de beheerders, aan de hand van dossier cloud als use case.

Wat gaan we daarvoor doen?

  1. Continueren samenwerking van markt (bedrijfsleven) en overheid in het Forum Standaardisatie
  2. Versterken van de opdrachtgevende rol van de overheid door het uitvoeren van een markt en ICT toets en gesprekken met leveranciers over normenkaders, contracten en standaarden.
  3. De beheerders stimuleren pilotprojecten op te zetten met leveranciers voor toetsing van de toepasbaarheid van de (open) standaard.

Resultaten:

  1. Gedeelde werkwijze overheid-leveranciers.
  2. Verbeterde interactie tussen overheid en markt

Actie 4: in kaart brengen van leveranciersafhankelijkheid bij overheid (via leveranciersmeting)

Wat willen we bereiken

Structureel meten welke leveranciers voor DNS, e-mail en web worden gebruikt via de meet-tool internet.nl via de bassisset domeinnamen en e-mailadressen van de Informatieveiligheidsmeting.  De leveranciersmeting kan het leveranciersafhankelijkheidscomponent van de overheid in kaart brengen van bijvoorbeeld grote leveranciers voor SaaS en IaaS-diensten (en niet de achterliggende producten).

Wat gaan we daarvoor doen?

  1. Uitvoeren leveranciersmeting met de intentie de leveranciersmeting structureel te herhalen.
  2. via trend leveranciersafhankelijkheid over de jaren inzichtelijk maken.

Resultaten

  1. Leveranciersmeting in de vorm van grafieken inclusief toelichting.

4. Planning (indicatief)Voortgang

Het onderzoek ‘Identificeren van en overzicht onderhouden voor open standaarden rondom cloud’ start in juni 2025 en de verwachting is een eerste versie ter bespreking gereed eind 2025. Kennisdeling  (incl. usecases) via Dag van de Interoperabiliteit vindt plaats op de Dag van de Interoperabiliteit op 14 oktober 2025. Daarnaast wordt de Sponsorgroep Markt en cloudstandaarden periodiek geïnformeerd over de voortgang via rapportages.

Er wordt in 2025 gestart met een verdieping op het onderwerp markt en open standaarden door te onderzoeken of de ICT markttoets geschikt is als aanpak ter verhoging van de adoptie..

Ad B. Achtergrondnotitie vervolg aanpak standaarden en standaardisatieactiviteiten clouddiensten

Deze achtergrondnotitie signaleert vier aandachtsgebieden voor vervolginzet van Forum Standaardisatie op de dossiers ‘markt en cloudstandaarden’ (voorheen: leveranciersbetrokkenheid) en ‘cloud’. 

Voor het Forum Standaardisatie is het van belang om na te gaan welke standaarden kunnen helpen, c.q. (moeten) worden gehanteerd, voor het realiseren van cloud readiness (denk aan versleuteling, backup, dataportabiliteit), of, om duidelijk te maken dat deze standaarden er nog niet zijn en dus ontwikkeld moeten worden.

Op dit moment is er veel tractie op het dossier cloud en digitale autonomie in het algemeen, zoals via de Generieke Digitale Infrastructuur (GDI) en het opstellen van de Nederlandse Digitaliserings Strategie (NDS). Een belangrijk en terugkerend onderdeel is het bevorderen van leveranciersonafhankelijkheid o.a. via de route van de markt zoals inkoopbeleid en exit-strategie. Deze vijf aandachtsgebieden van Forum Standaardisatie beogen bij te dragen om een exit-strategie te bepalen met een minimale set standaarden om leveranciersafhankelijkheid te beperken en continuïteit en vertrouwelijkheid in dienstverlening te garanderen. Deze aanpak is vervolg op het onderzoek ‘Onderzoek Standaardisatie Cloud’ van Forum Standaardisatie uit 2024 en het besluit van het Forum Standaardisatie van 16 april 2025 over leveranciersbetrokkenheid.

Onderstaande vier aandachtsgebieden komen voort uit de intensivering van het Bureau Forum Standaardisatie (BFS) op het dossier cloud gedurende gedurende de periode september 2024 en april 2025 vanwege inzet van Rijks I-Traineeship. Begin 2025 is er een Sponsorgroep Cloud opgericht en in de Forum Standaardisatie vergadering van 12 februari 2025 is de voortgang op het dossier cloud besproken. Eerdere concept-versie van deze notitie is besproken in de Sponsorgroep Cloud van 31 maart 2025 en 19 mei 2025. Uitkomsten uit de besprekingen in de Sponsorgroep zijn verwerkt in deze notitie.

Het Forum Standaardisatie heeft in zijn vergadering van 15 april 2025 besloten om een dossier markt en overheid (voorheen leveranciersbetrokkenheid) te starten met cloud als inhoudelijk onderwerp.

Leeswijzer

Het 'Plan van Aanpak – Markt en Open (Cloud)standaardisatie' is een concrete uitwerking van de aanpak voor clouddiensten. Het biedt een invulling op hoofdlijnen voor de uitvoering van de vier aandachtspunten via vier overeenkomende uitwerkingen via Acties voor het Forum Standaardisatie. Het fungeert als usecase en inhoudelijk onderwerp bij dossier markt en standaarden. Deze 'Achtergrondnotitie vervolg aanpak standaarden en standaardisatieactiviteiten clouddiensten' geeft met achtergrondinformatie en context over hoe dit plan tot stand is gekomen.

1. Inleiding

Het Forum Standaardisatie adviseert de overheid over de al dan niet verplichte toepassing van de open ICT standaarden in de publieke sector. Het overheidsbeleid voor clouddiensten brengt vragen met zich mee over digitale soevereiniteit, leveranciersonafhankelijkheid en informatiebeveiliging. Open standaarden voor dataportabiliteit, cloud interoperabiliteit en informatiebeveiliging kunnen deze waarden helpen ondersteunen. Hiertoe heeft Forum Standaardisatie in 2024 onderzoek ‘Onderzoek Standaardisatie Cloud’ uitgevoerd waarin een aantal aanbevelingen zijn opgenomen.

Na het verschijnen van het onderzoeksrapport zijn er drivers (externe invloeden) geïdentificeerd, waaronder (en niet uitputtend): toename van bewustzijn van digitaal autonomie (vanwege de veranderende geopolitieke verhoudingen), Tweede Kamerstukken (Wolken aan de horizon en Ons digitaal fundament), het rapport ‘Het rijk in de cloud’ (Algemene Rekenkamer), en de voorbereidingen voor het opstellen van de Nederlandse Digitaliseringsstrategie (NDS). Daarnaast zijn er inzichten opgehaald uit gesprekken met de diverse stakeholders, waaronder inhoudsdeskundigen, VNG (o.a. Haven+), minEZ, MIDO Domeinarchitectuur Infrastructuur (via de High Level architectuur clouddiensten Digitale Overheid (versie 0.51), Rathenau Instituut, NEN, SURF, semioverheden, en via de Sponsorgroep Cloud en Forum Standaardisatie.

2. Analyse van cloudproblematiek

2.1 Groter perspectief

Vanuit politiek is er onder invloed van de huidige geopolitieke veranderingen het bewustzijn ontstaan om afhankelijkheid van landen en leveranciers te verminderen: het gaat o.a. de Agenda Digitale Open Strategische Autonomie (DOSA) van minEZ en het beleid uit de Europese Unie. Minder dominant in de discussie is de al bestaande ‘cyberwar’ die wordt gevoerd met staten als Rusland, China, Iran en Noord-Korea. Deze ontwikkelingen leiden tot twee belangrijke wensen, nl. Soevereiniteit of autonomie en als tweede Informatiebeveiliging of cybersecurity.

Soevereiniteit kan verhoogd worden door onder meer de volgende maatregelen:

  • Verminderen van leveranciersafhankelijkheid.
  • Het optimaliseren van interoperabiliteit door toepassing van open standaarden
  • Het toepassen van open source software
  • Wetgeving (met name recente EU-wetgeving)

Informatiebeveiliging kent al een lange traditie, waarvoor kaders, frameworks en (open) standaarden in overvloed beschikbaar zijn. Uiteraard moeten deze gelijke tred houden met de ontwikkeling van de technologie. Ook hier speelt EU- en nationale wetgeving een rol.

Dat betekent dat er alternatieven moeten worden ontwikkeld waarover de Tweede Kamer zich heeft uitgesproken in moties. Dat is lange termijn.

Voor de korte termijn speelt vanuit een zuiver operationeel perspectief twee risico’s: continuïteit in dienstverlening en vertrouwelijkheid. Overheden kunnen bedrijven dwingen in de dienstverlening of toegang tot data in te grijpen respectievelijk data te overhandigen. Bestaande regelgeving zoals NIS2, DORA, CER, en zelfs de AVG verplichten organisaties al om beide risico’s te mitigeren. Blijkbaar is (onterecht) steeds uitgegaan dat de benoemde risicos’ bij de grote BigTech bedrijven nooit zouden kunnen gebeuren. Dat betekent dat er voor de korte termijn moet worden gewerkt aan:

  • betere bescherming van (sommige)  data tegen ongeautoriseerde toegang
  • uitwijk/ contingency: wat te doen als een afgenomen online dienst ineens niet (meer) functioneert en/ of er geen toegang meer is tot de data.

2.2 Cloud readiness en het concept van stacks (gelaagdheid)

Uit o.a. het onderzoeksrapport van de Algemene Rekenkamer is naar voren gekomen dat de cloud de publieke sector voor een deel is overkomen, omdat niet de afnemers, maar de leveranciers (oursourcers, software leveranciers, leveranciers van applicatiestacks in aanbestedingen) voor de cloud hebben gekozen en de regie over cloud in handen lag van de leveranciers en in niet (of in mindere maten van de opdrachtgevers. Overstappen naar andere cloudaanbieders is mogelijk, als de overheid in staat is eigen keuzes te maken op basis van architectuur zodat de overheid zelf kan kiezen waar en van wie de componenten (iaas, paas, eventueel saas) af te nemen. Dit vraagt om cloud readiness.

Voor echte cloud readiness zijn er de volgende bestuurlijke randvoorwaarden (vanuit theoretisch kader):

  • werken onder eigen architectuur (regie), met als vertrekpunten: open standaarden, open data, open software
  • zorg voor cloud readiness niet door complete silos maar alleen nog werkende software die als container wordt opgeleverd (HAVEN+/kubernetes)
  • open aanbesteden van services met als doel het sourcen van service componenten
  • continue verbeteren als uitgangspunt met daarbij integraal bestuur van IT en niet het denken in ‘eind’resultaten

Voor het Forum Standaardisatie is het van belang om na te gaan welke standaarden kunnen helpen, c.q. (moeten) worden gehanteerd, voor voor het realiseren van cloud readiness (denk aan versleuteling, backup, dataportabiliteit), of, om duidelijk te maken dat deze standaarden er nog niet zijn en dus ontwikkeld moeten worden.

Het is hierbij van belang aan te sluiten bij Europese gelaagdheid (‘stack’) om daar waar mogelijk Europese concepten, standaarden en werkende (open source) componenten te hergebruiken en bij te dragen aan de verdere ontwikkeling op Europese schaal. Een stack die  politiek, bestuurlijk en beleidsmatig steeds meer tractie krijgt binnen Europa is het EuroStack initiatief. Het ‘stack’-concept met een stapeling van lagen wordt benut om het inzicht in afhankelijkheden te ordenen. Het besef dat Europa op ieder van die lagen moet investeren in kennisbehoud en eigen componenten, is sterk gegroeid. Andere internationaal samenwerkende communities die al een solide stackopbouw hebben ontwikkeld zijn Govstack en Sovereign Cloud Stack. Het kiezen voor deze oplossing stelt in staat om relatief snel een soevereine IaaS en PaaS infrastructuur op te tuigen bij meerdere datacenters van zowel de overheid als private dienstverleners. Een dergelijk public-privat-partnership zou het antwoord kunnen zijn op de wens om snel te komen tot een ‘Overheidscloud’.

2.3 Soorten servicemodellen en cloudstandaarden

Het onderzoekStandaardisatie in de cloud van Forum standaardisatie uit 2024 onderscheidt drie servicemodellen van clouddiensten zoals gedefinieerd door NIST SP 800-145: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). De drie servicemodellen van cloudcomputing hebben een scala aan standaarden nodig om interoperabiliteit, informatiebeveiliging, privacy en portabiliteit te bevorderen:

  • Interoperabiliteitsstandaarden: Deze standaarden zorgen ervoor dat verschillende cloudservices en -componenten met elkaar op een gestandaardiseerde wijze kunnen communiceren en gegevens kunnen uitwisselen (keuzevrijheid en autonomie)
  • Portabiliteitstandaarden: Deze standaarden maken het gemakkelijker om applicaties en gegevens van de ene cloudomgeving naar de andere te verplaatsen. (wendbaarheid en risicobeperking)
  • Beveiligings- en privacystandaarden: borgen veilige informatievoorziening (weerbaarheid)

3. Aandachtsgebieden Forum Standaardisatie voor cloud

Hieronder volgen vier aandachtsgebieden voor het Forum Standaardisatie voor vervolginzet. 

  1. het identificeren van en overzicht onderhouden van open standaarden rondom cloud;
  2. kennisdeling en communityvorming over standaarden rondom cloud;
  3. betrekken van leveranciers bij cloudvraagstukken voor adoptie van open standaarden
  4. in kaart brengen van leveranciersafhankelijkheid bij overheid (via leveranciersmeting)

De focus ligt op identificeren van en overzicht onderhouden van open standaarden rondom cloud (aandachtsgebied 1), met aanpalend aandacht voor kennisdeling en communityvorming (aandachtsgebied  2).

Uitvoering van deze vier aandachtspunten is beschreven in de bijlage: Plan van Aanpak  – Markt en  Open (Cloud)standaardisatie via vier Acties voor het Forum Standaardisatie.

3.1. Het identificeren van en overzicht onderhouden voor open standaarden rondom cloud

Er blijkt weinig informatie te verkrijgen over de identificatie van open standaarden met betrekking tot cloud, binnen de domeinen die het Forum Standaardisatie op cloud heeft geïdentificeerd: risicomanagement, workload, data, weerbaarheid, rapportage.

Belangrijke, internationale/ Europese relevante kaders zijn EU Data Act (deze verordening verplicht aanbieders van clouddiensten om het voor gebruikers mogelijk te maken om gemakkelijk over te stappen naar een andere aanbieder zonder verlies van gegevens en functionaliteit (portabiliteit)), Certification Scheme on Cloud Services - EUCS (dit schema stelt normen vast voor de beveiliging van gegevens die worden opgeslagen en verwerkt in de cloud) en GDPR (AVG). Belangrijk Europees initiatief betreft de standaarden als gevolg van de EU Data Act met betrekking tot dataportabiliteit. Nederlandse inbreng vindt plaats via inzet van NEN op Normalisatie ten behoeve van de EU Data Act en Inzicht in formele cloudnormen. Onderdeel van de Normalisatie ten behoeve van de EU Data Act is het bouwen van een repository van cloudstandaarden. De voorbereiding hiervoor wordt gedaan door de Joint Technical Committee (JTC’25).

Een tweede, opkomende categorie kaders zijn de zogenoemde ‘beleidsmatige’ stacks, ook wel ‘lagenmodel’ genoemd. Het ‘stack’ concept met een stapeling van lagen wordt benut om het inzicht in afhankelijkheden te ordenen (zie ook paragraaf 2.2 ‘cloud readiness en het concept van stacks (gelaagdheid)’). De volgende stacks die worden genoemd in relatie tot cloud en soevereiniteit, komen naar voren zoals OpenStack, EuroStack, Souvereign Cloud Stack, Stackmodel Digitale Economie, Govstack, en PublicStack.

In ‘Onderzoek Standaardisatie Cloud’ van Forum uit 2024 (hierna: cloudonderzoek) 2024 zijn een aantal standaarden geïdentificeerd die relevant kunnen zijn voor dataportabiliteit, zoals Haven+ en/of WebDAV.

Een onderzoeksbureau gaat in opdracht van Forum Standaardisatie op basis van deze bovenstaande (inter)nationale ontwikkelingen op het gebied van standaardisatie rond cloud en de bevindingen en aanbevelingen uit het cloudonderzoek verder uitdiepen als follow-up van het cloudonderzoek

3.2. Kennisdeling over standaarden rondom cloud

Er is een behoefte aan een platform waar kennis gedeeld kan worden en waar de dialoog over open standaarden en innovaties kan plaatsvinden: het ontbreekt aan een cloud-community voor alle bestuurslagen.

Het oprichten van een community rondom cloudtechnologie is een logische en noodzakelijke stap. Deze community zal een centrale rol spelen in het in kaart brengen van bestaande (open en gesloten) standaarden en het identificeren van ontbrekende open standaarden en bijdragen aan het vergroten van kennis en capaciteit voor open standaarden. Daarnaast zal het een ontmoetingsplaats zijn voor experts, leveranciers, beleidsmakers en gebruikers om samen te werken aan een toekomstbestendige en veilige cloudinfrastructuur voor de Nederlandse overheid.

Een sterke community op cloud draagt weer bij aan betere adoptie van open standaarden op interbestuurlijk portabiliteit en interoperabiliteit.

Een stap hierin kan zijn tweede editie van de Dag van de Interoperabiliteit van het Forum Standaardisatie met het thema ‘digitale autonomie’ die nu in voorbereiding is. Dit event van Forum Standaardisatie kan een rol hebben in het tot stand laten komen van een community voor kennisdeling, en dan in nauwe samenwerking met andere belangrijke partners om een zo breed mogelijk draagvlak te creëren.

3.2.1 Use cases over gebruik open standaarden binnen cloud

Er is een aantal open standaarden die al gebruikt wordt voor dataportabiliteit en cloudinteroperabiliteit. De relevantie van deze standaarden kan worden aangescherpt door het gebruik van use cases die de implementatie van clouddiensten beschrijven met normenkaders en standaarden. De use cases kunnen inzicht bieden over de standaarden en hoe deze worden gebruikt bij andere overheden en/of organisaties.

Tijdens de intensivering van het Bureau Forum Standaardisatie (BFS) op het dossier cloud is meerdere malen de behoefte gesignaleerd voor het delen van use cases op standaarden voor dataportabiliteit en cloudinteroperabiliteit. Hier kan Forum Standaardisatie de netwerkpositie inzetten om bewust zijn te creëren voor use case en deze verder te verspreiden, o.a. via de Dag van de Interoperabiliteit. 

3.3 Betrekken van leveranciers bij cloudvraagstukken voor adoptie van open standaarden

De adoptie van open cloud standaarden binnen de publieke sector verloopt traag. Tegelijkertijd zijn er Europese en nationale ontwikkelingen (zoals de EU Data Act, EUCS, Interoperable Europe Act) die druk zetten op dataportabiliteit, interoperabiliteit en leveranciersonafhankelijkheid. Het betrekken van leveranciers bij cloudvraagstukken is essentieel voor het versnellen van adoptie van open standaarden én het borgen van publieke waarden in cloudoplossingen. Leveranciersbetrokkenheid kan daaraan bijdragen.

Mogelijke acties

  • ontwikkeling van een gedeeld cloudnormenkader, gedragen door leveranciers én overheid.
  • bevordering van brede adoptie van open standaarden in aanbestedingen, door dialoog en toetsbare criteria.
  • transparant toetsingskader voor cloudleveranciers op basis van open standaarden.
  • pilots en testomgevingen inzetten om standaardisatie praktisch te toetsen en verbeteren.
  • structurele kennisuitwisseling faciliteren, met leveranciers als volwaardige stakeholders in standaardisatie.

In de forum vergadering van april 2025 is besloten om in te zetten op Markt en Open Standaarden via de lijn van het clouddossier. De hierboven genoemde punten worden dan ook verwerkt in het plan van aanpak geagendeerd wordt voor de forumvergadering in juni 2025.

3.4 In kaart brengen van leveranciersafhankelijkheid bij overheid (via leveranciersmeting)

Bureau Forum Standaardisatie is bezig met een meting om de leveranciersafhankelijkheid van de overheid in kaart te brengen met data die openbaar zijn in te zien via de meet-tool internet.nl via de bassisset domeinnamen en e-mailadressen van de Informatieveiligheidsmeting. Het is van belang om structureel te meten welke leveranciers voor DNS, e-mail en web wordt gebruikt zonder dat naar aanbestedingen te hoeven te kijken.

De leveranciersmeting kan het leveranciersafhankelijkheidscomponent van de overheid in kaart brengen van bijvoorbeeld grote leveranciers voor IaaS en SaaS-diensten. Deze meting laat de ondergrens zien van het gebruik van leveranciers en kan worden uitgesplitst naar centrale en decentrale overheden. De intentie is om leveranciersmeting structureel te herhalen zodat op termijn via trend leveranciersafhankelijkheid over de jaren inzichtelijk wordt. Het BFS en de MIDO Domeinarchitectuur Infrastructuur (onderdeel van Programmeringstafel Infrastrucuur (PGDI)) zijn in gesprek over de leveranciersmeting als instrument om leveranciersafhankelijkheid over de jaren inzichtelijk te maken (trend). 

4. Aanpak intensiveringsperiode

Tijdens de intensiveringsperiode heeft de aanpak uit vier tracks bestaan:

  1. Verkennen: gesprekken met dossierhouders en stakeholders
  2. Stimuleren van aanbevelen of verplichten aan de overheid van standaarden voor dataportabiliteit bij derden
  3. Meten: Bureau Forum Standaardisatie verkent de mogelijkheid om via meting (leveranciersmeting) en nadere analyses met gebruik van de Informatieveiligheidsmeting een beeld te krijgen in het gebruik van leveranciers
  4. Signaleren: bevindingen, resultaten, uitkomsten signaleren en verzamelen en vervolgens verder delen of zelf oppakken

Sinds begin 2025 is er een sponsorgroep cloud opgericht (Guido Bayens, Gino Laan, Michiel Steltman, Geert-Jan van de Ven en van april Anton Grootendorst vanuit Markt en open standaarden).

Gelijktijdig is er onderzocht hoe de markt beter betrokken kan worden bij open standaaarden om de adoptiegraad te verhogen (leveranciersbetrokkenheid). Dit onderzoek heeft een vervolg gehad door een benen-op-tafel sessie in voorjaar 2025 met leden van Forum Standaardisatie.

Documentatie-type

vergaderstuk