Standaardwerken: het belang van verbinden

Voorwoord

‘Al zijn open standaarden abstract en complex, ze zijn de moeite waard’

Het gebruik van open standaarden is een duurzame aangelegenheid, dat merk je al snel bij het lezen van de praktijkvoorbeelden uit deze bundel. Soms zijn de verhalen al enkele jaren oud, maar toch blijven ze van toepassing op ons dagelijks leven. Dat komt omdat we steeds meer gegevens uitwisselen, op financieel, logistiek en civiel gebied, in de detailhandel en ook bij de overheid. We willen allemaal dat die informatie toegankelijk en leesbaar is en dat we het op een veilige en betrouwbare manier kunnen lezen en uitwisselen. Standaarden zijn daarom onmisbaar geworden voor onze samenleving.

Al zijn open standaarden abstract en complex, ze zijn de moeite waard. Wanneer goede standaarden ontbreken, wordt juist de noodzaak duidelijk. Denk bijvoorbeeld aan het aanvragen van toeslagen en subsidies, het digitale onderwijs en hoe we digitaal samenwerken. De overheid is verplicht burgers en bedrijven volledig te informeren. De maatschappij mag ervan uitgaan dat dit veilig en duidelijk gebeurt. Zonder de dupe te worden van ingewikkelde technische handelingen, die per instantie kunnen verschillen.

Er zijn voldoende verhalen die illustreren wat er gebeurt als open standaarden ontbreken. Pijnlijke voorbeelden, zoals een bioscoopeigenaar die geheel te goeder trouw handelt en geld overmaakt namens zijn directie aan een partij in het buitenland. Het bleek om een ‘phishing mail’ te gaan, en zo verrijkte een fictieve overnamekandidaat zijn eigen bankrekening. Of denk terug aan het verhaal van een universiteit die gechanteerd werd om in ‘Bitcoins’ te betalen, omdat via een e-mail ingebroken was en hun servers werden gekaapt. Open standaarden moeten ingebed zijn in onze werkprocessen en manier van denken. En dus moeten ze ook op de agenda staan van bestuurders.

Het toepassen van open standaarden is een randvoorwaarde voor eenduidige dienstverlening. Standaardisatie verlicht moeilijke administratieve belasting voor burgers en bedrijven. Hergebruik van administratieve digitale processen, zoals voor-ingevulde formulieren bij het invullen van belastingaangifte, helpen hierbij. Het aanvragen van een toeslag zou op dezelfde manier in dezelfde toegankelijke taal en opmaak aangeboden moeten worden met gebruikmaking van de leereffecten van gebruikers. Eenmaal ingevuld wil je verdere belasting voor de gebruiker (met kans op fouten) voorkomen. Hoe mooi zou het zijn om alle overheidszaken in één overzicht te hebben? Eenduidige webadressen, centraal aangestuurde domeinnaam- en Content Management Systeembeheer van websites, toegankelijke en veilige digitale middelen zijn vanzelfsprekend, maar helaas nog niet de realiteit.

De digitale brij aan informatie die er nu is leidt tot wanhoop en heeft een verlammend effect door opgebouwde administratieve achterstand. De overheid creëert dit zelf en als we niet verder ingrijpen nemen de kosten alleen maar toe. Met open standaarden kunnen we slimmer werken en voorkomen we achterstand door bijvoorbeeld vervuilde data. Gebruik de successen uit dit magazine als voorbeeld om gezamenlijk te verbeteren.

Van belang hierbij is een breed-gedragen visie op de digitale overheid, een heldere strategie en bestuurlijke moed. Er staat veel op het spel en de belangen zijn groot, in de eerste plaats die van de burgers. We moeten het anders gaan doen, met een scherp oog voor privacy en transparantie.

Het moet beter en vooral samen. Ga er mee aan de slag. En kom je er niet uit? Deel je vragen met info@forumstandaardisatie.nl.

- Larissa Zegveld, Voorzitter Forum Standaardisatie

1. Case Betalen met pin

1.1 ‘Nederlanders zijn zeer gehecht aan iDEAL’

Het elektronisch betalingsverkeer in Nederland heeft de afgelopen 25 jaar een enorme vlucht genomen. Dat is mede te danken aan de totstandkoming van een aantal succesvolle standaarden. Zo kennen we iDEAL voor internetbankieren en de NFC-chip voor contactloos betalen. En nu de gezamenlijke Europese betaalmarkt een feit is, werkt de bankwereld aan de invoering van Europese reguleringsstandaarden voor meer concurrentie, innovatie en nieuwe toetreders.

Nederland is erg actief op het gebied van elektronisch betalingsverkeer. Naast iDEAL is pinnen standaard geworden in Nederland. Volgens onderzoek van de Europese Centrale Bank (ECB) is de betaalpas in Nederland veel populairder dan in de meeste andere eurolanden. Slechts bij 45 procent van de transacties aan de toonbank is er nog sprake van betaling in contant geld, terwijl het gemiddelde in de rest van de eurozone op 79 procent ligt. Het aantalpintransacties in ons land steeg van ruim 2 miljard in2011 naar 3,5 miljard in 2016. Tijdens de kerstperiode van datzelfde jaar was er een piek van 536 betalingen per seconde.

“Pinnen is ontstaan vanuit de behoefte van De Nederlandse Bank aan een uniform betalingssysteem voor de verschillende banken in Nederland. Na een voorbereidingstijd van ruim anderhalf jaar was het systeem in 1990 gereed en zijn vele betaalautomaten geïnstalleerd”, vertelt Gijs Boudewijn, adjunct-directeur van Betaalvereniging Nederland en voorzitter van de Payment Systems Committee van de Europese Bankenfederatie. Het systeem van elektronisch betalen omvatte bankpassen met pincode, betaalautomaten, schakelcomputers en de centrale computers van de banken. Het was in feite één groot standaardisatieproces.

Aanvankelijk kwam het pinnen maar moeilijk op gang. Inmiddels, zegt hij, vindt iedereen het de normaalste zaak van de wereld dat je, bij welke bank je ook klant bent, een pas krijgt waarmee je overal kunt betalen en in binnen- én buitenland geld uit de muur kunt halen.

Contactloos betalen

Ondanks het succes van ‘pinnen’ hield het Nederlandse merk PIN al in januari 2012 op te bestaan. Deze standaard maakte plaats voor EMV (Europay, Mastercard, Visa), in de volksmond ‘het nieuwe pinnen’ genoemd. De betaalpas moest niet langer worden ‘doorgehaald’, maar ‘ingestoken’. “De magneetstrip was gevoelig voor skimming. De EMV-chip was al aanzienlijk veiliger”, legt Boudewijn uit. In 2013 ging er qua veiligheid nog een schep bovenop met de introductie van een nieuwe standaard: de NFC-chip, oftewel het contactloos betalen. “NFC is kort voor near field communication. De chip is een soort antenne die op een afstand van enkele centimeters draadloos betaalgegevens doorstuurt naar een betaalautomaat. Die controleert de betaling en keurt deze goed of af. Bij deze vorm van betalen kunnen de gegevens van de magneetstrip op de pas niet worden gekopieerd. ”Contactloos pinnen gaat bovendien sneller dan betalen met behulp van de magneetstrip of EMV-chip, doordat de betaler tot een bedrag van 25 euro geen pincode hoeft in te voeren. Wellicht vanwege dit gebruiksgemak vervijfvoudigde het aantal contactloze betalingen in 2016 ten opzichte van 2015,tot 630 miljoen betalingen. Boudewijn: “In het verlengde van contactloos betalen met de betaalpas verbeteren we nu de technologie om contactloos te kunnen betalen met de smartphone. Gebruikers moeten daarvoor een zogeheten wallet op hun toestel installeren. In 2016 steeg het aantal geregistreerde wallets van 36.000 naar bijna 150.000.”

Over de grens: IBAN

Het elektronisch betalingsverkeer binnen Nederland is met standaarden als iDEAL en NFC uitstekend geregeld. Tot 2014 gold dat echter niet wanneer Nederlandse bedrijven en consumenten betalingen wilden doen over de grenzen heen. “In dat jaar ronddende banken in de Europese Unie daarom de SEPA af, de single euro payments area”, vertelt Boudewijn. “Om te zorgen dat betalingen in Europa overal op dezelfde manier kunnen plaatsvinden, gelden sindsdien standaarden voor het rekeningnummer, de girale betalingen en de incasso’s. Alle 28 lidstaten van de Europese Unie, de 4 lidstaten van de European Free Trade Association Liechtenstein, Noorwegen, Zwitserland en IJsland, en verder Monaco en San Marino maken nu gebruik van deze standaarden, waarvan het IBAN-nummer de bekendste is. De betalingen zelf zijn gebaseerd op deISO 20022 XML-standaard.”

Meer openheid en concurrentie

De weg naar één standaard verliep volgens Boudewijn niet zonder slag of stoot. “Een kleine dertig landen moesten het eens zien te worden over zoiets belangrijks als een nieuw betalingssysteem. Dat is bepaald geen sinecure”, zegt hij. “Het stakeholderveld waarmee wij te maken hadden en hebben, is enorm complex. Er is sprake van verschillende landen, belangen en systemen, de Europese Commissie, toezichthouders, een actieve lobby voor consumentenbescherming, enzovoorts. Tegen die achtergrond moet je eindeloos heen en weer laveren om bij je doel uit te komen. Tegelijkertijd zijn dit enorm fascinerende en uitdagende trajecten. En bijzonder relevant. We hebben met deze standaard echt iets belangrijks voor elkaar gekregen.

”De doorbraak was volgens Boudewijn de totstandkoming van een uniform juridisch kader in de vorm van de Payments Services Directive (PSD). Dit is een Europese richtlijn waarmee de Europese Commissie sinds 2009 betaaldiensten binnen de Europese Unie en de Europese Economische Ruimte (EER) reguleert. “Europa streeft naar meer openheid en concurrentie op de betaalmarkt. Met de PSD verlaagt Brussel de toetredingsdrempels en stimuleert zij marktcompetitie.”

Fintech en bigtech

Inmiddels werkt de Europese bancaire wereld aan de invoering van de opvolger van de PSD: de Payments Services Directive 2. De eerste richtlijn leverde het juridisch kader om binnen de EER een uniforme betaalmarkt (SEPA) mogelijk te maken. De herziene richtlijn, die begin 2016 in werking trad, richt zich nadrukkelijker op een kader voor de digitale component. “Een van de belangrijkste vernieuwingen is dat ook derden die een vergunning hebben, toegang krijgen tot de betaalmarkt”, zegt Boudewijn. “Dit zijn niet alleen bedrijven uit de fintech, oftewel de financiële-technologiehoek, maar juist ook ondernemingen uit de bigtech. Bedrijven als Alibaba en Amazon. Zij hopen het consumenten nog makkelijker maken om bij hen te winkelen door het betalingsproces te versimpelen. Om te betalen bij een webwinkel hoeven consumenten niet langer het ‘uitstapje’ te maken naar hun eigen bankomgeving.”

Aanvullende wetgeving

Boudewijn is op zich positief over de PSD2. Hij denkt dat de richtlijn kansrijke vernieuwingen in het betalingsverkeer mogelijk maakt. “De concurrentie tussen traditionele aanbieders en nieuwe dienstverleners neemt natuurlijk toe, maar biedt ook mogelijkheden tot samenwerking. Alle aanbieders van betaaldiensten moeten namelijk innoveren om klanten te werven of te behouden. Ik denk dat we meer bereiken als deze partijen elkaar opzoeken.

”De Betaalvereniging Nederland neemt deel aan twee overleggen met stakeholders: (indirect) de Euro Retail Payments Board (ERPB) en het Maatschappelijk Overleg Betalingsverkeer (MOB). “Binnen het eerste overleg kijken we onder andere naar de zakelijke, technische en operationele voorwaarden voor efficiënte dienstverlening door derde partijen. Daarnaast is de Betaalvereniging voorzitter van een werkgroep binnen het MOB. Via deze werkgroep bekijken we hoe we vanuit Nederland kunnen bijdragen aan de invulling van de PSD2.

”Punt van aandacht is in elk geval de veiligheid van de nieuwe vormen van betaaldiensten, waarbij vooral privacybescherming een punt van aandacht is. “De PSD2 geeft wel aan dát deze nieuwe toetreders toegang moeten krijgen tot de betaalrekening van hun klanten, maar zegt weinig over de manier waarop dat veilig kan. De European Banking Authority, EBA, in London heeft daarom aanvullende wetgeving ontwikkeld. Relevant voor de betaalmarkt zijn daarbinnen vooral de regulatory technical standards, technische reguleringsnormen op het gebied van cliëntauthenticatie en veilige communicatie. Deze standaarden zijn straks van toepassing op elektronische betalingen op afstand en op het verkeer tussen betaaldienstverleners en nieuwe toetreders. Als Brussel de definitieve regels rond heeft, krijgen betaaldienstverleners tot najaar 2019 de tijd om die in te voeren.” En dan is het afwachten of de consument, gehecht aan iDEAL, openstaat voor alternatieven. “Uit eigen onderzoek weten we dat je consumentengedrag niet makkelijk verandert. De toekomst zal het uitwijzen.”

Dit artikel kwam tot stand met medewerking van Gijs Boudewijn, Adjunct-directeur Betaalvereniging Nederland.

Aldus Mark Buitenhek, Global head of Transaction Services van ING Bank.

2. Over de streepjescode

2.1 ‘Wereldwijd worden dagelijks miljarden barcodes gescand’

Van alle standaarden spreekt de streepjescode toch wel het meest tot de verbeelding. Veertig jaar jong, is hij. En hij blijft zich ontwikkelen. De internationale organisatie GS1 (Global Standard One) is ‘eigenaar’ van deze code. Innovatiemanager Frits van den Bos legt uit waarom juist deze code zo’n succesvolle standaard is geworden.

Het was Albert Heijn in eigen persoon die in de jaren zeventig de in Amerika ontwikkelde streepjescode naarNederland haalde. “Deze streepjescode, ook wel barcode genoemd, was ontwikkeld als een universele productcode voor de Amerikaanse levensmiddelenhandel: de Universal Product Code,” vertelt Frits van den Bos. Hij is innovatie-manager bij GS1 Nederland, deel van de internationale organisatie GS1 (Global Standard One), die zich richt op de ontwikkeling en invoering van standaarden. “Heijn was destijds bezig met uitbreiding van zijn concern en zag direct de mogelijkheden van deze standaard. Tot die tijd schreeuwden de caissières de prijzen van artikelen naar elkaar. De streepjescode maakte het mogelijk om een prijs aan een product te koppelen, zodat communiceren erover niet langer nodig was. Deze standaard was aanvankelijk dan ook alleen bedoeld om bij de kassa sneller af te kunnen rekenen.”

Bedrijven doen mee

“Op 26 juni 1974 wordt in het Amerikaanse Ohio het allereerste product gescand: een pakje Wrigley’s Juicy Fruit kauwgom, vandaag de dag te bezichtigen in het Smithsonian Museum in Washington,” vertelt Van den Bos. “Twee jaar later, in 1976, introduceerde Heijn de streepjescode in Nederland. Heijn zag kans om andere kruideniersbedrijven en fabrikanten in Nederland warm te krijgen voor de nieuwe code en richtte de stichting ter bevordering van Uniforme Artikel Codering, UAC, op. Douwe Egberts was de eerste die zich aanmeldde en al snel volgden er meer. Daarnaast wist Heijn ook elf andere Europese landen te interesseren voor de nieuwe standaard en werd in 1977 EAN, European Article Numbering, opgericht. Sinds 2005 is dat GS1 geworden, actief in inmiddels 150 landen. Wereldwijd zijn er 1,5 miljoen bedrijven aangesloten bij GS1. In Nederland zijn dat er bijna 20 duizend. De twaalf cijfers van de Amerikaanse code bleken overigens niet genoeg voor Europa, daarom kregen wij een dertiencijferige code. Die geldt nu wereldwijd, ook in Noord-Amerika.”

Ketenvoordelen

Nu, ruim veertig jaar later, is de streepjescode niet meer weg te denken uit de levensmiddelenindustrie en vormt deze het paradepaardje van GS1. Van den Bos: “Deze standaard heeft de tand des tijds meer dan doorstaan. Dagelijks worden wereldwijd maar liefst vijf tot acht miljard barcodes gescand. Bovendien heeft de code zich in de loop der jaren sterk ontwikkeld. Het is nu nauwelijks nog voor te stellen dat de streepjescode er aanvankelijk alleen was om de caissières te voorzien van de juiste prijs, met op het kassabonnetje de productomschrijving. Begrijp me niet verkeerd, dat was al een enorme vooruitgang. Hadden winkeliers van voor de oorlog zo’n duizend artikelen in de schappen liggen, inmiddels heeft een grote supermarkt meer dan 30 duizend artikelen in huis. Die kunnen onmogelijk handmatig worden verwerkt. Maar naast de prijs is aan de code nu ook informatie gekoppeld op het gebied van voorraadbeheer, houdbaarheidsdata, enzovoorts. In feite kan het hele traject nu elektronisch plaatsvinden middels deze streepjescode; van het bestellen van het product tot en met het afleveren en het betalen van de factuur. Levensmiddelen-organisaties houden hun schappen gevuld via het scannen van de artikelen en bestellingen kunnen direct aan toeleveranciers worden doorgegeven, zodat alles weer op tijd in de winkels ligt.”

Consumenteninformatie

Aan de barcode is inmiddels een belangrijke functionaliteit toegevoegd die consumenten helpt om een gezonde(re) keuze te maken. Het Voedingscentrum heeft namens het ministerie van Volksgezondheid, Welzijn en Sport (VWS) een app ontwikkeld. De consument kan hiermee de code scannen en zo informatie over het product ophalen. De app toont onder meer de voedingswaarde, ingrediënten en allergenen van het gescande product. Volgens Europese wetgeving moeten sinds eind 2014 gegevens die verplicht op de verpakking staan, ook online via de webshop beschikbaar zijn. Van den Bos: “Er is een groeiende behoefte aan steeds meer informatie over producten. Denk bijvoorbeeld aan het traceerbaar maken. Daardoor ‘hangen’ nu ongeveer 400 velden achter zo’n streepjescode. Die velden staan in de GS1-datapool en zijn allemaal gestandaardiseerd: elk veld is bestemd voor een brokje informatie, zoals artikelcode, etiketinformatie, afmetingen van de verpakking, enzovoorts.”

Cruciale rol

Het succes van de streepjescode is deels te verklaren door zijn eenvoud en deels ook door gelukkige toevalligheden, zo vertelt Van den Bos: “Bij een standaard is het altijd de kunst om draagvlak te creëren. Dat draagvlak ontstaat soms door onverwachte meevallers. De aanpassing van de etiketteringswetgeving begin jaren tachtig speelde ons bijvoorbeeld enorm in de kaart. De etiketten moesten toch overhoop worden gehaald. Dan kon die barcode er ook nog wel bij.” Verder is het volgens Van den Bos cruciaal dat een code simpel is, technisch voor 100 procent betrouwbaar, en begrijpelijk voor die partijen die ermee moeten werken en erover moeten beslissen. “De streepjescode voldeed aan deze voorwaarden. Hierdoor zag Albert Heijn direct de mogelijkheden ervan. Het is ook uniek dat het in dit geval de bestuurder van een grote retailorganisatie was die het voortouw nam. Hij was wat dat betreft een echte visionair die geïnteresseerd was in dit soort nieuwe oplossingen. ”Het zijn toonaangevende bedrijven – zowel retailers en groothandels als leveranciers – die een belangrijke rol bij GS1 vervullen. Een uniek platform waar de Albert Heijns en de Jumbo’s, en ook de Pepsico’s en Coca-Cola’s, gezamenlijk spreken over ontwikkelingen en invoering van standaarden voor de hele sector. Samen met hen werkt GS1 aan een efficiënte en betrouwbare keten. Het gaat om supermarkten en drogisterijen, bouwmarkten en kledingwinkels, hun leveranciers en logistiek dienstverleners. Van den Bos: “Belangrijk is dat het topmanagement betrokken is bij de totstandkoming van standaarden. Ook internationaal houden we als GS1 goed de vinger aan de pols. In die club zitten captains of industry uit de hele wereld. Die moeten er immers bij aanwezig zijn om afspraken te kunnen maken en draagvlak te creëren.”

Kostenbesparingen

In gesprek gaan met concurrenten over het optimaliseren van ketenprocessen kan gevoelige situaties opleveren. Van den Bos: “Dat is soms erg lastig. Maar partijen realiseren zich tegelijkertijd dat het maken van afspraken over standaarden voor iedereen kostenbesparingen oplevert. Die motivatie maakt dat barrières geslecht kunnen worden en draagvlak kan worden gecreëerd. Dat is cruciaal voor het welslagen van een standaard. Dat is ook het eerste dat we in kaart brengen bij de ontwikkeling van een nieuwe standaard. Zodra partijen de businesscase voor ogen hebben en zien wat een standaard hen kan opleveren, kan het snel gaan. Zo wilden bouwmarkten van hun leveranciers volledige productinformatie om de oriënterende online consument te helpen bij de aankoopbeslissing. Daarvoor moesten extra e-commercevelden, zoals accuduur en snoerlengte, worden gedefinieerd. Een groep retailers en leveranciers sloeg de handen ineen om dit proces – de keuze van de velden en de wijze van standaardiseren – goed in te richten. Een heel andere uitdaging lag er in de gezondheidszorg. Van den Bos: “Voor zorgpartijen was het invoeren van het uniforme streepjescodesysteem op medische hulpmiddelen en geneesmiddelen een uitdaging. Een businesscase toonde aan dat maar liefst de helft van alle medicatiefouten kan worden voorkomen met een uniforme code. De overheid pakte met de sector deze handschoen op. De zorgpartijen zijn nu volop aan de slag. Afspraken en wetgeving vanuit de overheid helpen daarbij.”

Consument voorop

De ontwikkeling van standaarden zal de komende jaren alleen maar sneller gaan, zo voorspelt Van den Bos. “Standaarden vormen meer en meer een basis voor innovatie. Naarmate de technologische mogelijkheden voortschrijden, neemt ook de behoefte aan standaardisering verder toe. In de Japanse metro staan plaatjes van producten op de muren. Die kun je met je mobiele telefoon bestellen om ze vervolgens thuis te laten bezorgen. Het is een combinatie van informatie en gemak die we steeds vaker zullen zien en die alleen een vlucht kan nemen wanneer partijen uniforme codes afspreken met elkaar. Consumenten willen wel, zo merken we keer op keer. Sterker nog: was het Albert Heijn in de jaren zeventig, nu zijn het de consumenten die op de troepen vooruit lopen.”

Dit artikel kwam tot stand met medewerking van Frits van den Bos, Innovatiemanager GS1 Nederland.

Aldus Dick Roozen, Algemeen directeur Superunie.

3. Veilige IP-adressen

3.1 ‘Het internet functioneert bij gratie van standaarden’

Stichting Internet Domeinregistratie Nederland, het bedrijf achter het .nl-domein, wil dat bedrijven en overheden gebruik gaan maken van de veiligheidsstandaard DNSSEC. Die maakt het gebruik van het internet veiliger en betrouwbaarder. De standaard is al enkele jaren beschikbaar, maar nog niet volledig geadopteerd. Hetzelfde geldt voor de standaard IPv6, die meer unieke IP-adressen mogelijk maakt. Maar ook hier blijft adoptie achter.

“Het internet functioneert bij gratie van standaarden. Zonder standaarden is er immers geen gemeenschappelijke taal waarmee partijen op het wereldwijde web elkaar kunnen vinden en met elkaar kunnen communiceren”, aldus Marco Davids, research engineer bij SIDN Labs, onderdeel van Stichting Internet Domeinregistratie Nederland (SIDN). SIDN zelf werkt met het Domain Name System (DNS), dat de vertaling van domeinnamen naar IP-adressen en andersom verzorgt. Davids werkt aan onderzoek en innovatie op het gebied van DNS-stabiliteit en -veiligheid en aan DNS-data-analyse en privacybeheer.

Veiliger

Sinds 2012 kunnen alle .nl-domeinnamen worden voorzien van DNS Security Extensions, kortweg DNSSEC. Dit is een beveiligingsstandaard die aan de hand van versleuteling een extra beschermingslaag toevoegt aan het bestaande DNS-protocol”, legt Davids uit. “Die extra bescherming is nodig, omdat internet steeds meer wordt gebruikt om gevoelige informatie op te slaan en financiële transacties uit te voeren. Wie doen er tegenwoordig allemaal niet aan internetbankieren? En het betalen via internet aan webshops is eveneens gemeengoed aan het worden. Maar het traditionele DNS – zonder DNSSEC – is kwetsbaar voor de steeds slimmer wordende internetcriminelen. ”Dat bleek in 2008 nog eens duidelijk nadat Dan Kaminsky, een Amerikaanse hacker en computerconsultant, het lek in DNS aan het licht bracht. Davids: “Internetcriminelen kunnen de DNS-informatie op de nameserver onderweg veranderen en zodoende de internetgebruiker naar een valse webserver sturen, terwijl de gebruiker wel de juiste domeinnaam heeft ingetikt. Dan is het vrij eenvoudig om bijvoorbeeld vertrouwelijke gegevens te stelen. Door gebruik te maken van de internationale DNSSEC-standaard kan dit probleem worden voorkomen. Daarmee wordt internet voor alle gebruikers ervan veiliger. DNSSEC maakt bovendien aanvullende beveiligingen mogelijk. De DANE-standaard, die voortbouwt op DNSSEC, is hiervan een voorbeeld. Deze standaard maakt het mogelijk om de certificaten die nodig zijn voor beveiligde verbindingen, zoals HTTPS op een website of STARTTLS bij e-mail, nog beter op echtheid te controleren.”

Adoptie

Alle registrars (bedrijven die online adressen vastleggen en daartoe rechtstreeks toegang hebben tot het registratiesysteem van SIDN) plus de internetserviceproviders kunnen deze extra bescherming nu aanbieden aan hun klanten. Davids: “Lang niet alle partijen hebben dit al gedaan. Het aanbieden van een standaard – hoe goed en veilig deze ook is – is het begin, adoptie ervan is vaak een heel andere uitdaging. Nog lang niet alle.nl-domeinnamen zijn beveiligd met DNSSEC.” Om registrars en internetserviceproviders over te halen mee te doen, biedt SIDN partijen die hun klanten DNSSEC aanbieden, een incentive in de vorm van een korting aan. Davids: “De kortingsactie werkt. Financiële prikkels helpen om sommigen over de streep te trekken. Voor andere partijen werkt het beter om precies uit te leggen wat DNSSEC is en om de voordelen ervan te belichten.” Enkele partijen blijven terughoudend. Davids: “SNS Bank werkt inmiddels met DNSSEC, maar veel banken zijn aanvankelijk terughoudend om met de nieuwe standaard te werken. We vinden het belangrijk dat juist financiële instellingen gaan werken met DNSSEC, omdat op hun sites financiële transacties plaatsvinden.” Informeren, lobbyen en het onderwerp steeds weer op de agenda zetten. Dat zijn de middelen die SIDN aangrijpt om banken en andere maatschappelijk relevante partijen – denk aan nieuwssites of weersites – zover te krijgen om over te stappen. Bovendien is DNSSEC tweerichtingsverkeer. Davids: “De ontvangende partij moet de ‘handtekening’ ook controleren. Anders werkt de beveiliging niet. Sommige internetproviders, zoals XS4ALL, doen dit al. Maar nog niet alle.”

Internet laten groeien

Ondanks het feit dat nog lang niet alle partijen zijn overgestapt naar DNSSEC, doet Nederland het internationaal gezien niet slecht met de adoptie van deze standaard. Heel anders is dat voor een andere internationale standaard waarvan SIDN hoopt dat deze snel door alle aan internet gekoppelde partijen wordt geadopteerd: IPv6. Davids legt uit. “Ieder apparaat dat met internet is verbonden, heeft een uniek numeriek IP-adres (Internet Protocol-adres, red.). De huidige IP-standaard, die al dateert van 1981, is de IPv4-standaard. Deze kent een adresruimte van 32 bits. Dat betekent dat er zo’n vier miljard unieke IP-adressen kunnen worden uitgegeven. Dat lijkt heel veel, maar als je bedenkt dat de ruim zeven miljard mensen op aarde over niet al te lange tijd nagenoeg allemaal een verbinding willen met internet, dan is duidelijk dat deze IPv4-standaard niet langer voldoet. Hiervoor in de plaats komt nu IPv6. Deze standaard dateert al uit 1998, maar is momenteel erg actueel en aan een enorme opmars bezig. Het aantal servers en eindgebruikers groeit al jaren bijna exponentieel. IPv6 kent namelijk een adresruimte van 128 bits, waardoor veel en veel meer unieke IP-adressen beschikbaar zijn. Het is de hoogste tijd om over te stappen. IPv6 is nu eenmaal nodig om internet te laten groeien.”

Nederland blijft achter

Grote partijen, zoals Google en Facebook, hebben al gekozen voor de nieuwe standaard. Zij zijn inmiddels volledig bereikbaar over IPv6. Veel landen – waaronder België, Amerika, India, Griekenland en Duitsland – zijn die overstap ook al goed aan het maken. Nederland blijft achter en stond eind 2017 met een adoptiepercentage van ruim 10 procent op de 24e plaats van het totale aantal landen. Dat blijkt uit cijfers van APNIC, de non-profitorganisatie die onder meer IP-adressen distribueert en beheert in de Aziatisch-Pacifische regio.

Davids: “Een knelpunt is dat IPv6 niet compatibel is met IPv4. Dit betekent dat een computer met een IPv4-adres niet kan communiceren met een computer die alleen een IPv6-adres heeft. De nieuwe standaard sluit daarmee niet aan op de oude, wat adoptie ervan bemoeilijkt. Een overstap naar IPv6 kan daardoor een kostbare exercitie zijn, omdat kennis moet worden vervangen en de systemen voor langere tijd naast elkaar moeten draaien. Laat dit een les zijn voor de toekomst van nieuwe standaarden voor het internet. We moeten ervoor zorgen dat nieuwe standaarden als het ware voortborduren op de oude, ofwel backward compatible zijn, zodat adoptie vloeiender kan plaatsvinden en daardoor minder tijd en geld kost.” De Nederlandse overheid heeft het belang van IPv6 inmiddels in het vizier. IPv6 staat al een tijdje – net als DNSSEC en DANE – op de ‘pas toe of leg uit-lijst’ van verplichte standaarden voor de overheid. Daardoor is een site als DigiD bijvoorbeeld al enige tijd via IPv6 bereikbaar. Maar veel gemeenten zijn nog niet zo ver. Wel laten steeds meer grote bedrijven weten dat ze de nieuwe standaard omarmen. Ook de eerste banken hebben de standaard geadopteerd. De Rabobank is hier een voorbeeld van. Verder hebben  IT-bedrijven als Ziggo, KPN, XS4ALL, Vodafone, Tele2, T-Mobile, Netflix en LinkedIn hun diensten inmiddels via IPv6 ontsloten. Davids: “Dat is goed nieuws, want ook als het gaat om IPV6 is er sprake van tweerichtingsverkeer. Bedrijven moeten hun websites ‘IPv6-proof’ maken, al moeten de serviceproviders er evengoed voor zorgen dat hun klanten ook volgens dit protocol kunnen surfen. Het komt dus op gang, maar we moeten iets meer vaart maken. We willen als land straks niet belemmerd worden door het feit dat er geen IP-adressen meer kunnen worden uitgegeven terwijl veel systemen nog niet klaar zijn voor de adoptie van IPv6. Dat zou de economische groei en verdere innovatie op het internet onnodig in de weg kunnen zitten. Dat moment moeten we voor zijn.”

Dit artikel kwam tot stand met medewerking van Marco Davids, Research engineer SIDN Labs

Aldus Roelof Meijer, Algemeen directeur SIDN

4. Beter en goedkoper bouwen

4.1 ‘Standaardisatie leidt tot beter en goedkoper bouwen’

De bouwwereld heeft veel te winnen bij standaardisatie van processen en artikelen. Snelle en open communicatie tussen alle partijen die bij een bouwproces betrokken zijn, leidt tot besparingen in tijd en geld. Andere winstpunten: minder faalkosten en een eindproduct dat beter aansluit bij de wensen van de opdrachtgever. Brancheorganisatie Bouwend Nederland doet er daarom alles aan om bouwbedrijven hierbij te ondersteunen.

Stel, er moet een nieuw kantoorpand worden gebouwd. Opdrachtgever, architect, aannemer, installateurs – allemaal leveren ze hun gegevens aan. Maar waar voorheen alle platte tekeningen naast elkaar lagen, worden die steeds vaker driedimensionaal samengevoegd in het Bouw Informatie Model (BIM). Zo wordt direct zichtbaar als bijvoorbeeld een rioolbuis door een funderingsbalk blijkt te lopen. En waar dat voorheen leidde tot een vertraging van zeker een paar weken, wordt zoiets nu meteen in de planfase opgelost. “Maar er is nog veel meer mogelijk”, vertelt Joppe Duindam, die binnen Bouwend Nederland verantwoordelijk is voor ICT in de bouw. “Bij het invoeren van wijzigingen, bijvoorbeeld het verzetten van binnenwandjes, wordt met BIM meteen zichtbaar wat de gevolgen zijn voor het ventilatiesysteem.”

Samenhangend stelsel

Standaardisering is zo'n ingrijpend proces, dat een bouwbedrijf of een bouwketen er niet zomaar individueel mee aan de slag gaat. Het vraagt om een samenhangend stelsel dat aansluit bij ontwikkelingen binnen de overheid. Bouwend Nederland is dan ook lid van de Bouw Informatie Raad (BIR). Samen met het ministerie van Economische Zaken en Klimaat, ingenieurs, installateurs en opdrachtgevers worden de open standaarden op een hoger niveau getild en vastgelegd in regel- en wetgeving. Doel is te komen tot een stelsel waardoor het overbrengen van informatie geen extra kosten meer met zich mee brengt. Dit artikel gaat in op twee belangrijke digitaliseringsslagen in de bouw: het Bouw Informatie Model (BIM) en elektronisch factureren.

Beter samenwerken

BIM draait om beter samenwerken tussen bouwpartners door integraal beheer van bouwwerkinformatie. Van ontwerpfase tot beheerfase. Tijdens de complete levenscyclus van een bouwwerk maakt BIM alle relevante informatie toegankelijk. En razendsnelle ontwikkelingen in

techniek en internet maken dat BIM straks bijvoorbeeld ook de basis is voor slimme gebouwen. “Dan gaat een storingsmonteur vanzelfsprekend op pad met de juiste spullen. Of nog beter: dan geven sensoren aan wanneer iets kapot dreigt te gaan, zodat er een preventieve reparatie kan plaatsvinden. ”BIM begon als tool bij de ontwerpfase voor met name 3D-tekeningen. De afgelopen jaren is dat uitgemond in een gebouwdossier met up-to-date informatie voor de hele levensloop van een bouwwerk. Hieronder liggen ongeveer twaalf standaarden die ieder verantwoordelijk zijn voor een verschillend onderdeel. Dat geeft niet alleen bouwpartijen, maar ook gebruikers en eigenaren informatie over de gebruikte materialen, afmetingen en dergelijke. Handig bij onderhoud, maar ook in geval van herbestemming of sloop. Naast ontwerpers werken daardoor nu steeds meer partijen in de bouw met BIM, zoals opdrachtgevers, architecten, ingenieursbureaus, bouwbedrijven, installateurs en toeleveranciers. En ook het mkb en kleinere opdrachtgevers zetten BIM steeds meer in.

Cultuuromslag

Of het nu een kantoor, een woning of een snelweg betreft, de mogelijkheden en toepassingen van BIM zijn groot. Maar het delen van informatie is cruciaal, standaardisering een belangrijke voorwaarde. Duindam: “Voor bouwbedrijven leidt standaardisering tot besparingen en bovendien tot minder fouten bij de oplevering. BIM zorgt ervoor dat veel meer tijd wordt geïnvesteerd in de ontwerpfase. Dat leidt tot een tijdsbesparing van 20 tot 50 procent in de uitvoering. Maar er is ook een maatschappelijk effect: de overheid is een belangrijke opdrachtgever in de bouw. Als bouwen goedkoper wordt, is er meer geld voor kwaliteit. Nederland kan er mooier van worden.” Open standaarden zijn cruciaal voor het delen van de informatie in de goederen-, informatie- en financiële stromen in de bouw. Het is belangrijk dat systemen van verschillende herkomst dezelfde taal spreken. De impact is evident. Maar de toepassing vraagt veel coördinatie, zowel tussen bedrijven als binnen de organisaties. “Vroeger was er één partij die het ontwerp maakte, de ander voerde het uit. Nu is het model de centrale plek waar alle informatie samenkomt. Plus daarbij nog alle informatie over planningen, administratie en dergelijke. Het is een hele kunst om al deze informatie op elkaar af te stemmen”, zegt Duindam. Op organisatieniveau betekent het werken met BIM een regelrechte cultuuromslag. “Het gaat niet alleen over het aanschaffen van software, maar ook over het opleiden van medewerkers. En het vraagt echt om een andere werkwijze binnen je bedrijf. De werkvoorbereider werkt niet meer in Excel, maar in het model. De uitvoerder op de bouwplaats loopt nu met een tablet.”

Modern bedrijf

Informatie-uitwisseling en standaardisering hebben in de bouw, misschien juist als gevolg van de crisis, de afgelopen jaren een flinke vlucht genomen. Aanvankelijk bleven bouwbedrijven achter in vergelijking met andere sectoren. Die achterstand zijn ze nu flink aan het inlopen. Het gebruik van BIM groeit bijvoorbeeld nog steeds. Zeker de meeste grote en middelgrote bouwbedrijven zijn inmiddels gewend om te werken met BIM. Duindam: “Het werkt stimulerend dat grote opdrachtgevers, zoals Rijkswaterstaat en ProRail, de markt expliciet om open standaarden vragen bij hun opdrachtverlening. En ook net-afgestudeerden gaan liever aan de slag bij een modern bedrijf dat digitaal georiënteerd is.” Naast BIM leiden ook initiatieven als elektronisch factureren en SALES ertoe dat dienstverlening verbetert en kosten worden verlaagd.

17 euro per factuur besparen

Bouwend Nederland was een van de initiatiefnemers van SALES, een standaard voor elektronische inkoop in de bouw- en installatiesector. Een paar jaar geleden sloegen de bouw- en installatiebranches hiervoor de handen ineen en werd Ketenstandaard bouw en installatie opgericht. Duindam: “Deze open standaard voor aannemers en leveranciers vervangt alle papierstromen. Met de onafhankelijke berichtenstandaard kunnen bedrijven efficiënt en foutloos berichten uitwisselen tussen hun computersystemen. Denk aan offertes, prijslijsten, condities, productgegevens, orders, opdrachten, orderbevestigingen, pakbonnen en facturen. ”Inmiddels maken zo’n duizend partijen in de bouw, zoals bouwers, leveranciers van materialen, softwarehuizen en fabrikanten, gebruik van deze standaard. “Invoering vereist vaak dat er meer gestructureerd wordt gewerkt. En binnen de organisatie moet er ruimte worden vrijgemaakt. Maar het is de moeite waard, realiseren zich gelukkig steeds meer partijen.” Het verwerken van een inkoopfactuur kost gemiddeld 25 euro, rekende Duindam ooit eens uit. Hierin zit alles, van het kopen van briefpapier en het opplakken van de postzegel, tot en met het openmaken van de postzakken en verwerken van de factuur door zender en ontvanger. Mits processen voorspoedig en foutloos verlopen. “Dat bedrag kan met elektronisch factureren worden teruggebracht naar 8 euro per factuur. Dat betekent een gemiddelde kostenbesparing van 17 euro per factuur. Samen met een bank hebben we berekend dat er in de bouw op jaarbasis 18 miljoen facturen rondgaan. Dat betekent dat deze sector met elektronisch factureren jaarlijks maar liefst ruim 300 miljoen euro bespaart.”

Kost gaat voor de baat

Duindam is hoopvol over de toekomst van standaardisering in de bouw. “Kijk alleen al naar de baten van SALES. We kunnen helaas lang niet alles meten wat met die standaard in de sector wordt bespaard. Wel weten we zeker dat er via een centraal platform in 2017 meer dan 300 duizend elektronische facturen worden uitgewisseld. Als we ervan uitgaan dat zij per factuur 17 euro besparen, betekent dat in onze sector alleen al op dit gebied jaarlijks meer dan 5 miljoen euro wordt bespaard. Elektronische facturen vormen slechts een klein deel van de transacties in het inkoopproces en de aantallen zullen alleen maar toenemen. ”Hoewel de businesscase overduidelijk is, waren veel bedrijven in de bouwsector aanvankelijk terughoudend bij het introduceren van de beschikbare standaarden. Duindam: “Dat begrijp ik wel. Het introduceren van een standaard kost nu eenmaal tijd, geld en inspanning. De baten zijn groot, maar de kosten moeten wel eerst worden gemaakt.”

Aldus Maxime Verhagen Voorzitter Bouwend Nederland

Sectorbrede realisatie

Foutloze informatie-uitwisseling is cruciaal voor de bouwsector. Bouwend Nederland ondersteunt haar leden daarom op verschillende manieren, zodat zij ICT als strategisch middel optimaal kunnen inzetten. Waar barrières zijn, zet Bouwend Nederland zich in om deze weg te nemen. Met het accent op die gebieden waar individuele bedrijven elkaar nodig hebben om tot de gewenste resultaten te komen en er een rol is voor de brancheorganisatie om hen te verenigen. Zo neemt Bouwend Nederland het initiatief als het gaat om standaardisering en uitwisselbaarheid van informatie. De brancheorganisatie beschouwt digitalisering als een continue proces, dat uiteindelijk moet leiden tot beter, sneller, slimmer en goedkoper bouwen.

5. Gemeenten aan zet

5.1 ‘Roep niet te snel dat de veiligheid op orde is’

Om veilig gegevens en informatie uit te wisselen met andere partijen, kunnen gemeenten gebruikmaken van verschillende open standaarden. Het is aan de gemeenten zelf om deze standaarden volgens het ‘pas toe of leg uit'-principe te implementeren. De IBD helpt hen daarbij.

Door de toenemende digitalisering is het voor gemeenten belangrijker dan ooit om zorgvuldig om te gaan met deinformatie en gegevens van burgers, bedrijven en ketenpartners. Dit werd pijnlijk zichtbaar in 2011, toen naar aanleiding van een groot incident met de beveiligingscertificaten van websites van de overheid duidelijk werd hoe kwetsbaar de digitale informatiesystemen van de overheid eigenlijk zijn. Voor bestuurders was het duidelijk dat gemeenten de handen ineen moesten slaan en met een gezamenlijke en gecoördineerde aanpak moesten komen op het terrein van informatiebeveiliging. De oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD) in 2012 was hiervan het gevolg. Deze moest die coördinatie vormgeven. De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en VNG Realisatie (voorheen KING, Kwaliteitsinstituut Nederlandse Gemeenten) en is het eerste aanspreekpunt voor alle Nederlandse gemeenten op het gebied van informatiebeveiliging. “We ondersteunen gemeenten bij beveiligingsincidenten”, vertelt IBD-hoofd Nausikaä Efstratiades. “Hiervoor hebben we een Computer Emergency Response Team (CERT), dat 24 uur per dag bereikbaar is. We hebben alle gemeenten, maar ook hun leveranciers en andere ketenpartners, onder één knop zitten. We kunnen als het moet partijen dus heel snel bereiken. Daarnaast geven we gemeenten advies op het gebied van informatieveiligheid en het gemeentelijk normenkader voor informatiebeveiliging, en zijn we het schakelpunt tussen de gemeenten en het Nationaal Cyber Security Centrum, NCSC.”

Beveiliging

Kort gezegd helpt de IBD gemeenten vanuit de kracht van het collectief om informatiebeveiliging naar een hoger plan te tillen. “Daarvoor hebben we BIG geschreven: de Baseline Informatiebeveiliging Gemeenten”, legt Efstratiades uit. “Die beschrijft voor gemeenten de normen op het terrein van informatiebeveiliging.” De BIG kent een strategische en een tactische variant. Destrategische BIG is als het ware een kapstok waaraan de elementen van informatiebeveiliging kunnen worden opgehangen. Deze richtlijn is van toepassing op alle ruimten van een gemeentehuis, aanverwante gebouwen plus de apparatuur die door de ambtenaren wordt gebruikt. De tactische BIG is het normenkader dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze omvat een totaalpakket aan informatiebeveiligingscontroles en -maatregelen. Efstratiades: “Met de BIG hebben gemeenten een instrument in handen waarmee zij in staat zijn om te meten of hun organisatie in control is als het gaat om informatiebeveiliging. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website van de IBD, zodat iedere gemeente deze openstandaarden ook daadwerkelijk kan implementeren.”

Gericht aan de slag

Tal van open standaarden zijn van nut voor het vergroten van de informatieveiligheid en deze komen terecht op de ‘pas toe of leg uit'-lijst* van Forum Standaardisatie. Alle organisaties binnen de publieke sector die ICT-systemen en -diensten van boven de 50 duizend euro inkopen, zijn in principe verplicht om deze standaarden toe passen. Doen ze dat niet, dan moeten ze hierover verantwoording opnemen in het jaarverslag. De IBD helpt gemeenten die standaarden te implementeren. Efstratiades: “We hebben samen met gemeenten en in afstemming met het Forum Standaardisatie een set ondersteunende producten ontwikkeld die gemeenten kunnen gebruiken bij de implementatie van de open beveiligingsstandaarden.” Zodra het Forum Standaardisatie een nieuwe standaard opneemt in de ‘pas toe of leg uit'-lijst, bekijkt de IBD wat deze standaard precies

betekent voor gemeenten. Efstratiades: “We polsen of en welke gemeenten al ervaring hebben met de betreffende standaard en wat de mogelijke impact ervan is. Daarnaast treden we in overleg met het NCSC, een belangrijke samenwerkingspartner van de IBD. Op basis van onze bevindingen sturen we een factsheet rond naar alle gemeenten met daarin de belangrijkste informatie enconclusies. Regelmatig komen gemeenten ook bij ons terug met praktische implementatietips voor hun collega-gemeenten. Deze delen we natuurlijk in het IBD-netwerk. Dat werkt prima. In de periode tussen 2012 en 2015 plaatste Forum Standaardisatie op de 'pas toe of leg uit' -lijst bijvoorbeeld drie standaarden die zich richten op veilig e-mailverkeer. Om de adoptie van die standaarden bij gemeenten te vergroten, hebben we een impactanalyse uitgevoerd om de consequenties van invoering van die standaarden bij gemeenten in kaart te brengen. Zo kon elke gemeente gericht aan de slag.”

Bug Bounty Challenge

Over het algemeen pakken gemeenten de open standaarden snel op. Efstratiades: “Dat is omdat gemeenten doorgaans werken met eenzelfde groep van leveranciers. Zo is er slechts een handjevol partijen dat websites levert voor gemeenten. Als een van deze partijen een standaard adopteert, kan deze partij ze in één keer toepassen op de websites van veel gemeenten. Dan kan het snel gaan.” Toch is het niet altijd makkelijk. “Dat komt vooral doordat systemen van gemeenten verknoopt zijn binnen de organisatie en met ketenpartners. Een standaard die bedoeld is om spam en phishing tegen te gaan kan – bij een verkeerde implementatie – zomaar leiden tot een verstoring elders in het berichtenverkeer, met alle mogelijke gevolgen van dien”, aldus Efstratiades. Regelmatig worden gemeentelijke informatiesystemen ook getest op hun beveiliging. Efstratiades: “Zo hebben onlangs nog ruim dertig ethische hackers in het gemeentehuis van Den Haaggezocht naar beveiligingslekken in de systemen van die gemeente. De gemeente organiseerde deze Bug Bounty Challengespeciaal om haar systemen te laten testen op mogelijke onveiligheden. De IBD was daarbij ook aanwezig. We gaven hackers uitleg over de gemeentelijke processen en technische systemen, maar waren er ook om eventuele kwetsbaarheden meteen door te geven aan andere gemeenten. De kwetsbaarheden die werden gevonden, bleken gelukkig niet kritiek.”

Zwakste schakel

Voor informatiebeveiligers binnen gemeenten blijft het een constante uitdaging om de aandacht op alle niveaus vast te houden. Efstratiades: “Je moet oppassen dat niet te vroeg het beeld ontstaat dat alles op orde is. Een slot op de deur kan technisch gezien nóg zo veilig zijn, als we de deur niet op slot draaien, is ons huis alsnog niet beveiligd. Naast technische maatregelen is het belangrijk dat gemeenten ook aandacht hebben voor procedures en processen in hun organisatie die ervoor zorgen dat de medewerkers zich bewust zijn van hun veilige dan wel onveilige gedrag. Ze moeten weten op welke manier ze zelf die veiligheid kunnen borgen. Processen en procedures moeten zo zijn ingericht dat zij medewerkers daarbij faciliteren. Informatiebeveiliging is een samenspel van techniek, proces en organisatie. Dat was vroeger zo en dat is nu niet anders.”

Wat zijn de belemmeringen en succesfactoren voor adoptie van standaarden door gemeenten? Lees op pagina 39 het interview met Theo Peters van VNG Realisatie.

Dit artikel kwam tot stand met medewerking van Nausikaä Efstratiades /Hoofd Informatiebeveiligingsdienst voor gemeenten (IBD).

Aldus Hugo Aalders, Directeur VNG Realisatie

6. ‘Vrijblijvendheid is de vijand van standaardisatie’

Hoe scherper een standaard is gedefinieerd, hoe sneller en beter de adoptie ervan plaatsvindt”, meent Theo Peters van VNG Realisatie. Aan de hand van een aantal concrete standaarden legt hij uit wat de belemmeringen en succesfactoren zijn voor adoptie van standaarden door gemeenten.

VNG Realisatie – sinds 2018 de nieuwe naam van het Kwaliteitsinstituut Nederlandse Gemeenten (KING) – biedt gemeenten de helpende hand bij het adopteren van standaarden om hun dienstverlening te verbeteren. “Standaarden zijn voor het goed functioneren van gemeenten onmisbaar”, zegt Theo Peters, unitmanager Architectuur en Standaarden bij VNG Realisatie. “Zo maken we gebruik van StUF, ofwel het Standaard Uitwisseling Formaat. Dit is een berichtenstandaard waarin staat beschreven op welke manier het uitwisselen van gegevens tussen applicaties in het gemeentelijke veld en ketenpartners plaats dient te vinden. Het helpt gemeenten om hun digitale communicatie te stroomlijnen. StUF biedt als het ware de bouwstenen en richtlijnen waarmee berichtstandaarden kunnen worden samengesteld en voorkomt dat iedere gemeente, inclusief haar ketenpartners, zelf het wiel opnieuw moeten uitvinden. In de loop der jaren is er een hele ‘StUF-familie’ aan standaarden ontstaan. Op dit moment  zijn het er ongeveer dertig.”

Softwarecatalogus

Peters licht er drie succesvolle standaarden uit en verklaart waarom de adoptie hiervan soepel verliep: de GEMMA (Gemeentelijke Model Architectuur) Softwarecatalogus, GIBIT (Gemeentelijke Inkoopvoorwaarden bij IT) en de Gemeentelijke Monitor Sociaal Domein. Peters: “Om te beginnen hebben gemeenten sinds 2014 de GEMMA Softwarecatalogus in gebruik. Hierin staat precies beschreven aan welke standaarden de softwareapplicaties moeten voldoen om informatie uit te mogen wisselen met onze andere systemen. Wanneer een gemeente bijvoorbeeld een applicatie laat bouwen voor het afgeven van vergunningen, zal deze applicatie een bepaalde taal moeten spreken om alle relevante informatie voor die vergunning te kunnen verwerken. Alle noodzakelijke informatiestromen moeten bij voorkeur met elkaar kunnen communiceren. De afspraken hierover staan beschreven in deze catalogus. Maar er staat bijvoorbeeld ook een lange lijst van leveranciers in die volgens bepaalde standaarden hun software kunnen leveren.”

Dit artikel kwam tot stand met medewerking van Theo Peters, Unitmanager Architectuur en Standaarden VNG Realisatie.

Gemeenten maken gretig gebruik van de catalogus. Peters: “De adoptiegraad is 95 procent. Het is bovendien een levend document. Gemeenten en leveranciers actualiseren zelf voortdurend de gegevens. Dat gaat min of meer vanzelf, omdat het voor alle partijen een belangrijk en vooral praktisch naslagwerk is. Dat is ook waarom de standaard breed en snel werd geadopteerd. Als gemeenten een nieuwe applicatie nodig hebben, hoeven ze niet zelf na te denken over de eisen waaraan deze moet voldoen en welke leveranciers de software kunnen leveren. Dat scheelt tijd, geld en inspanning.”

Kleine lettertjes

Een andere standaard die veel gemeenten maar wat graag toepassen, is er een voor inkoopvoorwaarden: de GIBIT. Peters legt uit: “Eind 2016 heeft de VNG de GIBIT vastgesteld. Het idee is dat gemeenten deze voorwaarden gebruiken voor inkoop van producten of diensten op het gebied van ICT. Ook de adoptie van deze standaard ging snel, omdat gemeenten het lastig vinden om bij ieder af te sluiten contract met een ICT-leverancier zelf te moeten nadenken en onderhandelen over de inkoopvoorwaarden. In het verleden lieten gemeenten veel kansen liggen op dit gebied. Nu staan de inkoopvoorwaarden duidelijk en gedetailleerd omschreven. Tot op het niveau van de kleine lettertjes. Wat gebeurt er in het geval van storingen? Hoe zit het met het overdragen van licenties aan partners? Aan alles is gedacht. Ook voor deze standaard geldt dat gemeenten er in de praktijk direct iets aan hebben, dus ze maken er graag gebruik van.”

Ruimte voor interpretatie

Tot slot noemt Peters de Gemeentelijke Monitor Sociaal Domein. “Deze monitor biedt gemeenten een scala aan informatie dat nodig is voor de gemeenteraad, om beleid te maken en om te zien welke informatie burgers ontvangen. Zo geeft de monitor inzicht in het gebruik van voorzieningen, voorspelt hij op basis van bestaande gegevens wat het toekomstig zorggebruik is in een bepaalde gemeente en wat de cliëntervaringen zijn met de Wet maatschappelijke ondersteuning. Ook kunnen we met deze monitor zien welke gemeenten welke standaarden hebben geadopteerd. De gegevens zijn overigens nooit te herleiden tot een individu, maar laten een overall beeld zien.” Afgezien van de succesvolle standaarden die Peters hier de revue laat passeren, verloopt de adoptie van veel standaarden door de bank genomen een stuk moeizamer. Peters: “De bottleneck zit hem bij gemeenten én leveranciers. Het duurt doorgaans lang voordat leveranciers de standaarden hebben ingebouwd in hun systemen en applicaties. En gemeenten zetten hier niet genoeg druk achter. Ze laten het vaak sloffen. ”Dat leveranciers veel tijd nodig hebben, heeft weer te maken met het complexe karakter van veel van de standaarden. Peters: “Vaak is het voor de leveranciers niet precies duidelijk wat er moet gebeuren en is er ruimte voor interpretatie. Dan kan ineens blijken dat de koppelingen tussen de diverse softwareapplicaties toch niet werken.”

Vrijblijvendheid

Terugkijkend op de snelle en succesvolle adoptie van bepaalde standaarden heeft Peters wel wat tips. “Hoe kleiner en scherper een standaard is gedefinieerd, des te sneller en beter de adoptie kan plaatsvinden. En zet leveranciers onder druk. Zorg ervoor dat ze geen keuze hebben en de nieuwe standaard móéten adopteren. Zo’n stok achter de deur helpt. Vrijblijvendheid is de vijand van standaardisatie. Maak de adoptie van de standaard bovendien zichtbaar. Transparantie stimuleert anderen om er ook mee aan de slag te gaan.” Een andere tip is volgens Peters om de standaard aan te bieden als een werkende interface waarop partijen kunnen aanhaken, in plaats van een tekst op een stuk papier. Peters: “Zonder een werkende interface met de juiste data waren er bijvoorbeeld geen parkeerapps geweest. Die namen een vlucht, omdat de machine achter de schermen al draaide. Kortom: houd het scherp, maak het makkelijk, tastbaar en nuttig. Dat zijn de pijlers waarop succesvolle standaarden leunen.”

‘Pas toe’ bij de Rijksoverheid

Niet alleen gemeenten volgen het 'pas toe of leg uit'-principe, ook de Belastingdienst en het ministerie van Justitie en Veiligheid doen dat.

De centrale inkoopeenheid van de Belastingdienst heeft in haar intakeformulier voor interne opdrachtgevers van ICT-projecten een vraag opgenomen over de open standaarden van de 'pas toe of leg uit'-lijst. In het formulier vraagt zij de inhoudelijke experts welke relevante standaarden van de lijst moeten worden uitgevraagd in de inkoop. Worden de standaarden om een geldige reden niet uitgevraagd, dan volgt meteen een verzoek om een ‘explain’-tekst voor in de jaarverantwoording.

Het ministerie van Justitie en Veiligheid ontwikkelde voor Europese aanbestedingen een document met invulvelden. Dit document bevat een tekst over open standaarden en de 'pas toe of leg uit'. Daarmee brengt het ministerie niet alleen het onderwerp onder de aandacht, het model verplicht gebruikers ook om de tekst actief te verwijderen als zij in de aanbesteding geen relevante standaarden willen uitvragen. Bovendien dwingt het bij afwijkingen verantwoording af.

The great Baltimore fire

Op zondagochtend 7 februari 1904 brak er brand uit in de binnenstad van Baltimore, in de Amerikaanse staat Maryland. Het vuur greep zo snel om zich heen dat de autoriteiten telegrafisch om hulp verzochten bij andere steden. Meer dan 1.200 brandweermannen uit de wijde omtrek rukten uit om de brand onder controle te krijgen. Ze kwamen uit nabijgelegen staten als New York, New Jersey, Virginia en Delaware. Hun inzet was tevergeefs. Velen konden niet helpen blussen, omdat de koppelingen van hun eigen brandweerslangen niet pasten op de waterpompen in Baltimore. Dit gebrek aan standaardisatie had dramatische gevolgen. Pas in de loop van maandag was de brand onder controle. Meer dan 1.500 gebouwen waren vernietigd, zo’n 35 duizend mensen raakten werkloos. Uit onderzoek na de brand bleek dat er alleen al in de VS zeshonderd verschillende maten en variaties in aansluitingen voorkwamen, hoewel er al vanaf 1870 werd geprobeerd om deze te standaardiseren. Uiteindelijk kwam onder grote politieke druk een nationale standaard tot stand.

7. Cybercrime aangepakt

7.1 ‘Digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen’

Het e-mailverkeer moet veiliger, en dat kan alleen met behulp van veiligheidsstandaarden. Om ervoor te zorgen dat deze standaarden een platform krijgen, richtten bedrijven, brancheorganisaties en de overheid begin 2017 de Veilige E-mail Coalitie op. “Het is nu zaak dat zoveel mogelijk partijen deze standaarden adopteren. Alleen dan zijn ze effectief”, aldus Maarten Aertsen van het Nationaal Cyber Security Centrum (NCSC).

“De digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen”, staat in het Cybersecuritybeeld Nederland 2017 van het NCSC. Het NCSC is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland en heeft als missie de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Om die reden is het NCSC ook een van de deelnemers van het Platform Internetstandaarden. Dat is initiatiefnemer van de site Internet.nl, waarop iedere burger of organisatie kan testen of zijn website, e-mail of internetverbinding modern en betrouwbaar is. “Overheid, bedrijfsleven en burgers investeren al behoorlijk in het vergroten van de cybersecurity. We zitten bepaald niet stil. Maar de dreiging van beroepscriminelen en statelijke actoren groeit harder dan de maatregelen die we met elkaar treffen”, vertelt Barend Sluijter, coördinerend senior beleidsmedewerker bij het NCSC. Het tempo waarin organisaties veiligheidsmaatregelen treffen, moet daarom worden opgeschroefd. Sluijter: “Er moet een tandje bij. Dat is ook de conclusie van het nieuwe kabinet. Daarom reserveert het structureel 95 miljoen euro voor het vergroten van de algehele digitale weerbaarheid van Nederland.”

Phishing en spoofing

Veiliger e-mailverkeer is daarvan een belangrijk onderdeel, omdat veel aanvallen beginnen met phishing. Hierbij sturen kwaadwillenden misleidende e-mails, waardoor internetgebruikers nietsvermoedend op valse websites inloggen die hun inlogcodes of creditcardgegevens afhandig maken. “Dit is vrij eenvoudig, omdat de standaarden voor communicatie tussen mailservers van origine zwak beveiligd zijn”, zegt Maarten Aertsen, senior adviseur informatie-

beveiliging van het NCSC. “E-mails versturen was aanvankelijk veilig. Dat is de aanname waarop veel systemen zijn gebouwd. Als gevolg hiervan zijn de beveiligingssystemen van veel e-mailproviders, overheidsorganisaties en bedrijven die geen moderne beveiligings-standaarden ondersteunen, niet sterk genoeg. ”Hierdoor krijgen hackers en cybercriminelen volop de kans om te phishen, te spoofen (e-mails versturen die afkomstige lijken vaneen bepaalde domeinnaam) of e-mails ‘af te luisteren’ (het bericht onderscheppen).Aertsen: “Een aanvaller kan, wanneer de e-mailserver niet goed is beveiligd, doen alsof hij mailt vanaf jouw domein. Met alle gevolgen van dien.” Dan kan het zomaar zijn dat een medewerker ogenschijnlijk een e-mail ontvangt van de eigen HR-afdeling, die hem vraagt om zijn inloggegevens te vernieuwen, of dat een internetgebruiker denkt zijn inloggegevens achter te laten opeen betrouwbare website van een bank of de overheid, terwijl deze in werkelijkheid in valse handen is.

Standaarden op de plank

E-mailfraude is helaas aan de orde van de dag. Bij de Fraudehelpdesk alleen al kwamen in 2016 meer dan een half miljoen meldingen binnen van Nederlanders die een valse e-mail hadden ontvangen. Dat worden er elke maand meer. “Die aantallen kunnen drastisch naar beneden,” zegt Aertsen, “mits partijen gebruik maken van internationale standaarden die misbruik van e-mail tegengaan. ”Het goede nieuws is dat de standaarden die het e-mailverkeer veiliger maken kant-en-klaar op de plank liggen. Er zijn verschillende internationale standaarden waarmee organisaties enorme veiligheidsslagen kunnen maken. Zo zijn er standaarden die het afluisteren van e-mail onmogelijk maken. Ze staan op de ‘pas toe of leg uit'-lijst van het Forum Standaardisatie en in combinatie versleutelen ze het e-mailverkeer op een solide manier. “Organisaties die deze standaarden adopteren, maken het voor aanvallers onmogelijk om e-mails af te luisteren of te manipuleren”, vertelt Aertsen. SPF, DKIM en DMARC. Om phishing en spoofing tegen te gaan, zijn er de standaarden SPF, DKIM en DMARC. Aertsen legt uit: “SPF staat voor Sender Policy Framework. Dit is een protocol waarmee je vaststelt wie gerechtigd is om mail namens jouw domein te verzenden. Een ontvangende server kan dan op basis van het SPF-record besluiten om de e-mail door te laten, te markeren als onveilig of te weigeren. SPF is relatief eenvoudig te installeren en voorkomt al veel fraude.”

Aldus Patricia Zorko, Directeur Cyber Security en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid.

Domain Keys Identified Mail (DKIM) kan een aanvulling zijn op SPF. Sluijter: “DKIM is een digitale handtekening onder een e-mail. Hiermee kan de ontvanger controleren of de e-mail zonder aanpassingen is verstuurd vanaf de vermoedelijke afzender. Voorwaardeis wel dat die controle echt plaatsvindt. De zender kan zo’n handtekening onder zijne-mail plaatsen, maar als de ontvanger hiergeen aandacht voor heeft, is deze maatregel alsnog zinloos.” Tot slot is er DMARC. Aertsen: “Dit is een overkoepelende standaard die aangeeft water precies moet gebeuren als SPF en DKIM melden dat een e-mail niet legitiem is. In feite bepaalt een organisatie met DMARC wat de bestemming is van zo’n foute e-mail: de prullenbak of spammap bijvoorbeeld.”

Veilige E-mail Coalitie

“Bovengenoemde standaarden vormen momenteel wereldwijd dé oplossing voor het verhelpen van onveilig e-mailverkeer. Organisaties hoeven ze alleen nog maarte adopteren”, vertelt Aertsen. Hoe eerder, hoe beter. Want hoe meer partijen deze standaarden gebruiken, des te beter het hele systeem werkt.” Aertsen: “Grote internationale e-mailproviders gebruiken deze standaarden vaak al jaren. Maar er zijn talloze organisaties, waaronder de overheid, die de slag nog geheel of gedeeltelijk moeten maken. Bijvoorbeeld door de standaarden ook toe te passen op domeinen van waaruit deze organisaties nooit mailen. ”Zo maakte onderzoekplatform Follow the Money eind 2017 nog bekend dat het vrij eenvoudig is om e-mails te vervalsen die afkomstig zijn van tweedekamer.nl, de Algemene Inlichtingen- en Veiligheidsdienst(AIVD) en zelfs het ministerie van Defensie. Hier waren SPF, DKIM en DMARC nog niet geïmplementeerd. Aertsen: “Wij adviseren daarom alle overheidsinstellingen haast te maken met het adopteren van de standaarden. Maar ook bedrijven moeten aan de bak. We hebben ons om die reden aangesloten bij de Veilige E-mail Coalitie. ”Aertsen doelt op het initiatief van bedrijven en brancheorganisaties die onder regie van het ministerie van Economische Zaken en Klimaat en Forum Standaardisatie begin 2017een coalitie startten om de adoptie van deze standaarden te stimuleren. In de coalitie hebben ook grote partijen de krachten gebundeld: PostNL, KPN, Betaalvereniging Nederland, Thuiswinkel.org, VNO-NCW en MKB-Nederland, maar ook de Dutch Hosting Provider Association (DHPA), het ministerie van Binnenlandse Zaken en Koninkrijksrelaties,de Belastingdienst, de Fraudehelpdesk en het NCSC.

Niemand is veilig

Aertsen: “Al deze partijen gebruiken de standaarden om het e-mailverkeer te beveiligen. Maar door het open karakter zijn ze voor alle organisaties beschikbaar. Ook als je niet bij de coalitie bent. Aertsen houdt een warm pleidooi voor het massaal adopteren van de standaarden voor het beveiligen van het e-mailverkeer. “Het is voor de grootste bedrijven een flinke en dure klus om de standaarden door te voeren. Toch hebben bedrijven als KPN en PostNL deze standaarden wel degelijk geïmplementeerd, omdat hiervoor een duidelijke business case was. Voor kleinere bedrijven is het een stuk eenvoudiger. Soms is een paar uur al genoeg om de juiste maatregelen treffen.”

Dit artikel kwam tot stand met medewerking van Maarten Aertsen, Senior adviseur informatiebeveiliging Nationaal Cyber Security Centrum.

Hoe dan ook, geen enkel bedrijf kan het zich volgens Aertsen vandaag de dag veroorloven om een adequate beveiliging van e-mail achterwege te laten. Ook bedrijven met domeinen van waaruit geen e-mail wordt gestuurd. Aertsen: “Een ondernemer die een domeinnaam uitsluitend gebruikt voor een evenement, denkt wellicht dat het niet nodig is om maatregelen te treffen tegen misbruik van e-mail. Maar criminelen kunnen zijn domeinnaam wel degelijk misbruiken voor het verzenden van valse e-mails. Niemand is veilig voor cybercriminaliteit. We moeten er met zijn allen de schouders onder zetten. Alleen dan zijn de maatregelen effectief.”

Aldus Hans de Vries, Hoofd Nationaal Cyber Security Centrum

8. Logistiek in de haven

8.1 ’Standaardisatie levert havencommunity enorme kostenbesparingen op’

Het bedrijf Portbase stroomlijnt informatie voor alle logistieke partijen in de Nederlandse havens. Directeur Iwan van der Wolf legt zijn klanten een klinkende businesscase voor. Standaardisatie van communicatiestromen levert jaarlijks besparingen op van honderden miljoenen euro’s.

Rederijen, binnenvaartoperators, cargadoors, douane, importeurs, exporteurs, terminals en wegvervoerders vormen slechts een greep uit de vele partijen die dagelijks betrokken zijn bij het transport door de Nederlandse havens. Al deze partijen moeten met elkaar communiceren en elkaar op de hoogte stellen van relevante informatie als de aankomsttijd van het schip, de bestemming, de lading, enzovoort. Met zo’n 40 duizend zeeschepen en meer dan 100 duizend binnenvaartschepen die jaarlijks de grootste Nederlandse havens aandoen, zijn de data- en informatiestromen die dagelijks tussen de partijen rondzoemen dan ook talloos.

Verbindingsofficier

Portbase kanaliseert als een verbindingsofficier deze informatiestromen voor alle partijen. Het stroomlijnen, sorteren en toegankelijk maken van data is de kerntaak van deze organisatie. Het gebruik van standaarden is hierbij sinds jaar en dag een onmisbaar gegeven. Portbase-directeur Iwan van der Wolf legt uit: “In de haven wordt van oudsher al met talloze nationale en internationale standaarden gewerkt. En er komen steeds nieuwe bij. Omdat de havens in de loop van de tijd zijn gegroeid en er meer behoefte is gekomen aan structuur en overzicht. En omdat de voortschrijdende technologie steeds meer mogelijk maakt. Neem bijvoorbeeld het Single Window voor Maritiem en Lucht. Elke Europese lidstaat is verplicht om één centraal punt voor alle maritiem- en luchtgerelateerde meldingen aan Douane, NCA-SafeSeaNet en Grensbewaking in te richten. Voor onze klanten hebben we 27 van onze diensten anders ingericht om de koppeling mogelijk te maken. Door deze investering hoeven community-leden geen grote wijzigingen door te voeren in hun eigen processen en systemen.”

Besparingen

Het invoeren van dergelijke standaarden levert aanzienlijke besparingen op. Het voorbeeld toont dat door een goede inrichting aan de achterkant, standaardisatie aan de voorkant loont. Van der Wolf: “Onze klanten hoeven hun gegevens maar één keer aan te leveren. De investering van Portbase ontzorgt havens, het havenbedrijfsleven en de overheden op zowel financieel als operationeel niveau. Standaarden zorgen bovendien voor minder fouten, omdat er eenvoudigweg minder handmatige acties hoeven te worden gedaan. Kortom: een proces wordt veel beter gestroomlijnd met een minimale kans op fouten.”

Businesscase

Om zicht te krijgen op de omvang van besparingen als gevolg van standaardisatie en interoperabiliteit (het vermogen van systemen om met elkaar te communiceren), heeft Portbase de businesscases van haar dienstverlening nauwgezet in beeld gebracht. Van der Wolf: “We doen ruim 82 miljoen transacties per jaar. Als we die door standaardisering efficiënter kunnen maken, winnen onze klanten daar veel mee. Maar hoeveel precies? Dat wilden we graag uitzoeken. Daarom hebben we voor al onze 43 diensten businesscases gemaakt. Daaruit blijkt dat onze services en het gebruik van standaarden onze klanten jaarlijks minstens 245 miljoen euro aan besparingen kunnen opleveren. En dat is nog gebaseerd op een zeer conservatieve berekening. Voordelen voor overheden en kwaliteitsverbeteringen in de logistieke ketens zijn bijvoorbeeld nog niet meegenomen in de berekening. Doen we dat wel, dan zou het bedrag weleens drie keer zo groot kunnen zijn.” Voorwaarde voor het creëren van een standaard is echter dat partijen samenwerken en in ieder geval een deel van hun data openstellen voor anderen. “Sommige partijen vinden dat lastig”, ervaart Van der Wolf. “Omdat ze hun informatie dan met concurrerende bedrijven delen, vragen ze zich af of dat wel veilig en verstandig is.” Portbase legt de verantwoordelijkheid voor het delen van data volledig bij de klant zelf neer. Die bepaalt zelf welke data hij openstelt voor anderen. Als het goed is, levert het uiteindelijk voor alle deelnemende partijen veel op. “Niemand kan om de businesscase heen.”

Nieuwe kansen

Naast het feit dat informatieoverdracht efficiënter en duurzamer is, biedt het ontsluiten van data afkomstig van verschillende partijen soms ook geheel nieuwe kansen. Van der Wolf: “Vanuit standaardisatie kunnen we veel initiatieven ontplooien die nodig zijn om Nederlandse havens slimmer te maken. Tal van partijen doen daar hun voordeel mee. Denk bijvoorbeeld aan het beter voorspellen van aankomst- en vertrektijden van schepen, het efficiënter stacken van containers en beter zicht op de verbinding met het achterland. Ineens vormt zo’n nieuwe informatie-uitwisseling en -standaard dan de basis voor nieuwe business.”

Duwen en trekken

Cruciaal voor het welslagen van een standaard is breed draagvlak. Van der Wolf: “In je eentje begin je niets. Een standaard wordt pas interessant als een grote groep deze draagt en naleeft. Alles staat of valt met de dekkingsgraad ervan. Gelukkig lukt het tot dusver goed om de havencommunity mee te krijgen. Maar het kan altijd beter. We blijven veel duwen en trekken en erop hameren dat standaardisatie enorme kostenbesparingen oplevert. Het feit dat de businesscase zo overtuigend is, helpt daarbij enorm.”

Renderende investering

Een klinkende businesscase op papier is één. Het doorvoeren van standaardisatie in de praktijk is een heel ander verhaal. “Invoering van een nieuwe standaard vraagt ook om veranderingen in de organisatie”, vertelt Van der Wolf. “Mensen en afdelingen moeten opeens anders gaan werken en dat vraagt niet zelden om een cultuuromslag. Het kost dus tijd, geld en inspanningen om een standaard operationeel te krijgen. Maar het rendement is hoog. Neem bijvoorbeeld de ontwikkeling van Maasvlakte II. De volledig geautomatiseerde terminals daar zijn alleen toegankelijk via Portbase. Een vrachtwagenchauffeur kan een container alleen ophalen na een melding. Anders blijven de geautomatiseerde poortjes dicht. Het mooie is dat deze standaard een wens was vanuit de terminals. Zij zagen Portbase als dé partij om dit voor hen te organiseren. Het proces betekende een andere manier van werken voor diverse partijen, maar de werkwijze werpt zeker zijn vruchten af.”

Dit artikel kwam tot stand met medewerking van Iwan van der Wolf, Directeur Portbase

Aldus Hans Rook, Voorzitter The International Port Community Systems Association

9. Veilig e-mailen

9.1 ‘Het was alle hens aan dek, maar nu zijn we koploper’

Er was een moment dat cybercriminelen kpn.com van alle corporate sites het vaakst misbruikten voor e-mailphishing. Dat moment was voor KPN aanleiding haast te maken met de adoptie van standaarden die het e-mailverkeer veiliger maken. “In negen maanden hebben we deze gigantische klus geklaard”, vertelt Michel Zoetebier. “Maar achteraf gezien hadden we er beter eerder mee kunnen beginnen.”

De naam KPN werd van alle bedrijfsnamen in Nederland het meest misbruikt voor nepmails, zo bleek eind 2016 uit een overzicht van de Fraudehelpdesk. Vooral de KPN-mailingdomeinen werden misbruikt voor phishing, waarbij mensen naar valse websites worden gelokt. Het was voor KPN hét moment om ingrijpende veiligheidsmaatregelen te treffen in de vorm van het adopteren van drie belangrijke standaarden: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting and Conformance (DMARC).“De implementatie van deze standaarden stond al lang op ons prioriteitenlijstje”, vertelt Zoetebier, security specialistbij KPN-CERT. “Uit naam van KPN worden namelijk al jarenlang geregeld phishingmails gestuurd. Maar het is voor een organisatie met de omvang als de onze een ingrijpende operatie om deze standaarden in te voeren. Dus werd de implementatie ervan steeds weer op de lange baan geschoven.”

Aan de slag

Een van de eerste stappen die de onderneming nam, was aansluiting zoeken bij de Veilige E-mail Coalitie. Dit is een initiatief van bedrijven en brancheorganisaties onder regie van het ministerie van Economische Zaken en Klimaat en Forum Standaardisatie, met als doel de standaarden SPF, DKIM en DMARC breed geadopteerd te krijgen. De deelnemers aan deze coalitie, waaronder PostNL, MKB-Nederland, VNO-NCW, de Fraudehelpdesk, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Belastingdienst, gaan binnen hun eigen organisatie aan de slag met het invoeren van maatregelen voor het beveiligen van het e-mailverkeer. “Met de adoptie van SPF, DKIM en DMARC is het voor cybercriminelen vrijwel onmogelijk om te spoofen (kenmerken van e-mails wijzigen om een valse identiteit aan te nemen) en te phishen. Ze voorkomen veel fraude”, vertelt Zoetebier. “We zijn vervolgens intern met een man of zestien dedicated aan de slag gegaan om vaart te zetten achter de implementatie en om de standaarden op het strakste niveau uit te rollen. We moesten daarvoor uitzoeken welke partijen vanuit ons domein mailen. Dat zijn niet alleen de eigen bedrijven en afdelingen, maar ook leveranciers, trainingsbureaus, marketingbureaus, enzovoorts. Het bleek om meer dan 20 duizend IP-adressen te gaan die uit naam van kpn.com mails stuurden. Dat in kaart brengen alleen al kostte de nodige tijd. Achter de schermen brachten we vervolgens al deze mailstromen bij elkaar en gaven we aan welke IP-adressen wel en niet namens ons mogen mailen. We moesten deze stuk voor stuk op basis van prioriteit omzetten naar nieuwe protocollen. Dat was een geweldig grote operatie. En alles moest foutloos blijven doorwerken. Ook de systemen van waaruit we automatisch facturen mailen naar klanten. We hebben nachtenlang getest of we de e-mails op de juiste manier konden verzenden en ontvangen. En we hadden haast.”

Meteen resultaat

Negen maanden later was het zover. Zoetebier: “Het heeft ons heel wat manuren en forse investeringen gekost om dit alles te realiseren. Maar we hebben de klus geklaard. Technisch gezien is het nu onmogelijk om een e-mail van kpn.com na te bootsen. Dat moment was een belangrijke mijlpaal voor ons. Wie nu een mail van kpn.com krijgt, weet vrijwel zeker dat die afkomstig is uit onze organisatie, omdat alleen wij nog kunnen mailen vanaf dit domein. Nu hopen we dat onze klanten langzaam maar zeker het vertrouwen in onze communicatie weer terugkrijgen. Dat kost tijd, maar dat gaat zeker gebeuren.” De implementatie van de standaarden wierp vrijwel direct zijn vruchten af. Zoetebier: “Dat is het mooie ervan. Ontvingen we voorheen honderden vragen en opmerkingen van klanten per week over misbruik van onze e-mails, vandaag de dag zijn dat er wekelijks nog maar een handjevol. Dat zijn phishingmails die er heel soms nog tussendoor glippen. We pluizen elke melding nu uit, zodat we weten waar deze vandaan komt en hoe we ons systeem nog beter kunnen beveiligen. En we leunen bepaald niet achterover in onze stoel. We zijn wakker en alert en blijven dat ook. E-mailbeveiliging is namelijk een continu proces, realiseren we ons. Zo zijn we nu bezig met de uitrol van S/MIME, oftewel Secure/Multipurpose Internet Mail Extensions, waarmee we een extra beveiligingslaag aanbrengen voor e-mailverkeer.”De vraag die zich opdringt is: wie zijn die cybercriminelen? Zijn dat enkelingen? Of is het georganiseerde criminaliteit? Zoetebier: “Vaak dat laatste. Uit onderzoeken is gebleken dat het bij phishing vaak om georganiseerde misdaad gaat. Het zijn digitale criminele bendes, die zich vaak niet eens in Nederland ophouden. We doen nu altijd aangifte van de enkele keer dat we nog met phishing worden geconfronteerd. We accepteren namelijk nooit dat cybercriminelen het KPN-domein misbruiken om klanten op te lichten en er zelf beter van te worden. ‘We komen achter je aan’, is de boodschap die we daarmee willen afgeven.”

Uitstel is geen afstel

Dat er druk op het traject zat, maakte het er niet eenvoudiger op. “Als we vijftien of twintig jaar geleden hadden geweten hoezeer cybercriminaliteit een vlucht zou nemen, hadden we toen al maatregelen kunnen treffen bij het bouwen van de systemen”, zegt Zoetebier. “Maar niemand wist dat. Wij ook niet. Dus hebben veel bedrijven vandaag de dag te maken met een e-mailsysteem waarvoor de basis gelegd is in een ander, veel veiliger internettijdperk. Dat maakt het adopteren van deze standaarden ook zo omvangrijk. Maar wanneer een bedrijf als KPN met deze schaalgrootte deze drie standaarden binnen negen maanden kan implementeren, dan kunnen andere bedrijven dat zeker zo snel. En het is belangrijk dat ze dat ook daadwerkelijk doen. Alle partijen in het mail-ecosysteem moeten meedoen voor een optimaal resultaat. Hoe meer deelnemers, hoe beter de beveiliging.” Achteraf, zo constateert Zoetebier, had KPN de standaarden al een paar jaar eerder moeten adopteren.

KPN de standaarden al een paar jaar eerder moeten adopteren. “Het was kinderlijk eenvoudig voor internetcriminelen om ons te imiteren, dat geven we ruiterlijk toe. Het advies aan andere bedrijven is dan ook: voer de standaarden nú in. Wacht er niet mee, want uitstel betekent in dit geval geen afstel. Bedrijven ontkomen er niet aan om SPF, DKIM en DMARC te adopteren. Als de nood écht aan de man is, zoals bij ons het geval was, dan moet je als bedrijf onder hoge druk een enorme operatie uitvoeren. Dat wil je liever niet. Dat is altijd kostbaarder dan wanneer je dit op een gecontroleerde manier doet. We hebben in totaal zestien mensen fulltime moeten vrijmaken en inhuren om de klus te klaren. Dat kan met minder als je er meer tijd voor neemt. En wat te denken van de reputatieschade die een bedrijf oploopt zolang het phishing doorgaat? Mensen vertrouwen de e-mailcommunicatie met je bedrijf niet meer en dat straalt af op je merk. Maar ook de kosten voor afhandeling van klachten als gevolg van phishingmails lopen in de papieren. Wij kregen zo’n tienduizend klachten per jaar binnen. Dat is jaarlijks al snel tienduizenden euro’s aan afhandelingskosten. Al de schade en kosten in acht nemend, is de businesscase voor een betere beveiliging kortom snel gemaakt.”

Stuivertje wisselen

Nu KPN de juiste veiligheidsmaatregelen heeft getroffen, kijkt de organisatie met een gerust hart uit naar de volgende ranglijst van bedrijven waarvan de domeinen het meest misbruikt worden voor nepmails. “Wij komen in de top van die ranglijsten niet meer voor”, zegt Zoetebier. “Dat is verleden tijd. KPN is nu zelfs een van de sterkst beveiligde bedrijven in Nederland tegen e-mailphishing en wordt nu vaak als voorbeeld aangehaald van hoe het kan en moet. Daar zijn we trots op, maar we vinden ook dat we onze klanten, leveranciers en medewerkers die veiligheid moeten garanderen. Het zijn andere bedrijven die die ranglijsten gaan aanvoeren. Wat dat betreft blijft het stuivertje wisselen zolang bedrijven de adoptie van deze standaarden uitstellen.”

Dit artikel kwam tot stand met medewerking van Michel Zoetebier, Security specialist KPN-CERT

Aldus Jaya Baloo,Chief InformationSecurity Officer KPN.

10. Mondiale bloemenhandel

10.1 ‘We willen regisseur worden van de digitale wereldhandel’

Floricode stelt zich op als internationale wegbereider van standaarden en codes voor de wereldwijde bloemen- en plantensector. “Geen land weet zo veel van bloemen en planten als Nederland. Die leidende rol willen we ook hebben als het gaat om digitale informatie-uitwisseling”, aldus directeur Henk Zwinkels.

“De Nederlandse tuinbouwsector wil regisseur worden van de digitale wereldhandel in tuinbouwproducten. Niet alleen kan dit bijdragen aan verbeterde producten en diensten van individuele ondernemers, maar het versterkt ook onze internationale concurrentiepositie”, zegt Henk Zwinkels, directeur bij Floricode. Deze organisatie richt zich samen met haar leden op het registreren, coderen, standaardiseren en distribueren van informatie in de sierteelt. Toonaangevend zijn in het beheer van informatiemanagement in de hele keten van teelt tot consument, zo luidt de ambitie van Tuinbouw Digitaal. Dit is een platform waarin Floricode en andere keteninformatieorganisaties, plus het ministerie van Landbouw, Natuur en Voedselkwaliteit en Wageningen University & Research de krachten hebben gebundeld. Zwinkels: “Dat betekent dat ook wij als Floricode, dat zich richt op de bloemen- en plantensector, leidend moeten worden op dit gebied.”

Lagere ketenkosten

Met een nog efficiënter logistiek proces is in de sector een besparing van 50 tot 150 miljoen euro haalbaar, mits goede digitale informatie beschikbaar is en mits deze informatie wordt toegepast”, vertelt Zwinkels. “Het gebruik van standaardberichten maakt deze digitale informatie-uitwisseling mogelijk tegen de laagst mogelijke ketenkosten.” Floricode is verre van debutant als het gaat om het doorvoeren van standaarden. “We houden ons daar al twee decennia mee bezig. De laatste jaren hebben we dat een stapje verder gebracht door ook op internationaal niveau het voortouw te nemen. Er zijn veel internationale standaarden bijgekomen. Daar blijven we druk mee bezig.”

Dezelfde taal spreken

Het belang van wereldwijde standaarden en codes neemt volgens Zwinkels alleen maar toe. Hij ziet een enorme versnelling in de digitalisering van de sierteeltsector. “Digitalisering is een strategie geworden”, legt hij uit. “Steeds meer grote spelers in de keten, zoals kwekers en handelsbedrijven, omarmen de platformgedachte, waarbij vraag en aanbod elkaar ontmoeten in een omgeving die je kunt vergelijken met een webshop. Een soort bol.com voor de sierteelt. Deze groeiende belangstelling is begrijpelijk. Internetplatforms vereenvoudigen het proces zowel voor de aanbieders als voor de vragers en maken het makkelijker om internationaal zaken te doen.” Voorwaarde voor succes is de creatie van uniforme standaarden en codes. “Alle ketenpartners overal ter wereld moeten dezelfde taal spreken.”

Internationaal geaccepteerd

Als basis voor het bouwen van nieuwe standaarden hanteert Floricode de bestaande standaarden van het United Nations Centre for Trade Facilitation and Electronic Business (UN/CEFACT). Zwinkels: “Dit zijn generieke wereldwijde standaarden voor het verbeteren van informatieprocessen voor handels-, overheids- en administratieve organisaties, zodat zij hun producten en diensten makkelijker kunnen uitwisselen. Floricode neemt deze standaarden als uitgangspunt en past ze zo nodig aan voor bedrijven in de wereldwijde sierteelt. We bouwen bewust niet zelf een nieuwe standaard, omdat deze bestaande al geaccepteerd worden als internationale standaard.”‘

Gemengde boeketten

’Een van de UN/CEFACT-standaarden die Floricode heeft aangepast, is die voor elektronisch factureren. Zwinkels: “De generieke standaard heeft niet de optie om ‘gemengde boeketten’ op te nemen. Maar een handelaar die boeketten exporteert naar het buitenland moet precies aangeven welke bloemen in dat boeket zitten. Dat willen de douane en de autoriteiten weten die controleren of zich schadelijke organismen bevinden in planten die over de grenzen gaan. De samenstelling van boeketten staat al jarenlang vermeld op paklijsten en dat moet nu ook elektronisch kunnen. Dat hebben we dus aangepast in deze standaard. Binnen UN/CEFACT werken we samen met de belangrijkste landen voor de land- en tuinbouw wereldwijd. Een EU-richtlijn bepaalt dat binnenkort alle aanbestedende overheidsdiensten in Europa elektronische facturen moeten kunnen ontvangen en verwerken. Daarbuiten hebben Nieuw-Zeeland en Australië al aangegeven dat ze deze standaard graag willen gebruiken. Dat geldt overigens niet alleen voor de bloemen- en plantensector. Ook andere tuinbouwsectoren kunnen deze standaard overnemen.”

Vraag en samenspel

Het maken van een standaard is één, het toegepast krijgen ervan is weer een ander verhaal, zo benadrukt Zwinkels. “Het introduceren van een standaard is vooral een kwestie van vraag en samenspel. Wij bedenken niet zelf dat er een standaard moet komen. Die vraag ontstaat vanuit de markt. Er is altijd sprake van een latente behoefte. En hoe groter en breder die behoefte, hoe sneller en makkelijker een standaard wordt overgenomen. Zo hebben wij in het begin van de jaren negentig een standaard ontwikkeld voor elektronische kloktransacties. Het merendeel van de snijbloemen wordt immers via het proces van de veilingklok verhandeld. Met deze standaard ontvangen de handelaren binnen een minuut na het kopen van een partij de gegevens ervan in hun mailbox. Dit bericht kan vervolgens automatisch worden ingelezen in hun softwarepakket. Het hele proces – van het bedenken en ontwerpen van de standaard tot en met de volledige implementatie ervan – duurde tien jaar, maar toen werd deze door nagenoeg 100 procent van de bedrijven in de sierteelt toegepast. Tegelijkertijd hebben we een standaard geïntroduceerd voor een elektronische aanvoerbrief waarmee de informatie van de kweker op een digitale manier terechtkomt bij de veiling. In één oogopslag is hiermee duidelijk over welke bloemen het gaat, hoeveel het er zijn, wat de kenmerken ervan zijn – inclusief een digitale foto – enzovoorts. Al deze informatie kan ook direct beschikbaar worden gemaakt voor webshops van exporteurs. Dit proces nam tien jaar in beslag en ook deze standaard wordt nu door iedereen toegepast.”

Snelle en brede acceptatie

Eén ding hadden deze standaarden gemeen. “De vraag naar een dergelijke oplossing zong al rond in de markt”, legt Zwinkels uit. “De meerwaarde ervan was voor alle betrokkenen dan ook meteen duidelijk. Men had er direct profijt van. De veilingen hadden er bovendien zelf belang bij en maakten er werk van om de standaarden te promoten. Aanvankelijk via een bonusregeling, in een later stadium via een malusregeling. Dat alles heeft meegewerkt om de standaard binnen korte tijd door een groot aantal partijen geaccepteerd te krijgen. ”Dat snelle en brede acceptatie niet vanzelfsprekend is, blijkt uit de ontwikkelingen rond een andere standaard. Zwinkels: “Zowel van de kant van Floricode als van de kant van de veilingen is in het verleden geprobeerd het bemiddelingsproces – het ‘handjeklap’ – tussen kwekers en handelaren te digitaliseren. Zij bellen, faxen en mailen veel heen en weer om tot afspraken te komen over de specificaties van de partij of om iets van de prijs af te krijgen. Er bestaat een standaard, maar die wordt door een beperkt deel van de markt gebruikt. Hij grijpt wel in op de dagelijkse werkprocessen. Dat heeft er bijvoorbeeld mee te maken dat de teler vaak in de kas is en het eenvoudiger vindt een telefoontje te plegen dan achter zijn computer te kruipen.”

Paperless trade

Dat veel internationale standaarden voor de bloemen- en plantensector gebaseerd op UN/CEFACT nu een gemeengoed zijn, komt volgens Zwinkels onder meer doordat het ministerie van LNV zitting heeft in een UN/CEFACT-commissie die hier over gaat. “Nederland zit erbovenop. Met het digitaliseren van alle documenten die nodig zijn voor bedrijven in deze wereldwijde sector die internationaal zakendoen, hebben we een belangrijke stap gezet naar de zogeheten paperless trade.” Binnen de EU komt dat doel al in zicht, vertelt Zwinkels. Maar in veel landen daarbuiten moet er op documenten nog altijd een ‘natte stempel’. “Als de internationale wetgeving op dit gebied sluitend is, kunnen bedrijven en overheden in onze sector overal ter wereld sneller en efficiënter zakendoen. Bovendien zijn ze dan voorbereid op klanten die van hun leveranciers eisen dat ze alle uitwisseling van data en informatie voortaan papierloos afhandelen. Want die vraag klinkt steeds luider.”

Dit artikel kwam tot stand met medewerking van Henk Zwinkels, Directeur Floricode 

Aldus Niek Jan van Kesteren, Voorzitter Greenport Holland.

11. Kadaster brengt data samen

11.1 ‘Als overheidsdata voor iedereen bruikbaar moeten zijn, is Linked Data de enige weg’

Om overheidsdata makkelijk toegankelijk te maken voor de buitenwereld, moet de overheid investeren in Linked Data, meent Erwin Folmer van het Kadaster. Zijn organisatie stapte twee jaar geleden over op Linked Data, een digitale methode om informatie uit verschillende bronnen samen te brengen en op een overzichtelijke en bruikbare manier te presenteren. Het Kadaster is daarmee voorloper.

“Openbaar tenzij”, zo luidt sinds enkele jaren het adagium van de Rijksoverheid als het aankomt op publieke informatie. De overheid maakt informatie steeds actiever openbaar voor iedereen. Dit opendata-beleid leidt ertoe dat steeds meer gegevens vindbaar en uitwisselbaar zijn en bovendien (gratis of tegen marginale kosten) beschikbaar worden gesteld. De Nederlandse overheid bezit een schat aan informatie waarmee burgers en andere stakeholders hun voordeel kunnen doen. Op het gebied van geo-informatie is bijvoorbeeld al veel open data beschikbaar. Er is echter één probleem. Veel van deze openbare informatie bevindt zich in de donkere spelonken van het web en is voor de gemiddelde gebruiker niet eenvoudig vindbaar en bruikbaar. Ook is de bron ervan vaak moeilijk toegankelijk, waardoor veel kopieën van data worden gemaakt door andere overheidsorganisaties. “Je zou kunnen stellen dat we in Nederland expert zijn in het publiceren van zogenaamde ‘datasilo’s’”, vertelt Erwin Folmer, senior adviseur bij het Kadaster. “De RDW heeft informatie over voertuigen in Nederland, het Kadaster over gebouwen, de Rijksdienst voor het Cultureel Erfgoed (RCE) over monumenten, en de Kamer van Koophandel weer over bedrijfsgegevens. In elke silo bevindt zich veel waardevolle informatie, maar die data worden niet in samenhang aangeboden.” Juist die combinatie van gegevens maakt dat de informatie sterk aan betekenis kan winnen. Folmer: “Hoe handig zou het zijn als we data over ruimtelijke plannen, milieu, monumenten, bedrijfslocatie of leegstand combineren en daarmee direct inzicht kunnen bieden in potentiële locaties voor een startende ondernemer.

Het presenteert alle data op gestandaardiseerde wijze, waardoor zij koppelbaar en opvraagbaar zijn op hetweb.” Linked Data is kort gezegd een manier om data én informatie over datasets te publiceren en zodoende datasets met elkaar te verbinden. Het is een wereldwijde gestandaardiseerde aanpak die is opgebouwd uit tientallen standaarden en vastgesteld door het World Wide Web Consortium (W3C), een ‘open standaardisatie-organisatie’ die ook de standaarden van het web beheert. Folmer: “Door data conform deze standaarden en aanpak op te slaan, wordt de data ook indexeerbaar voor zoekmachines en daarmee vindbaar op internet. In Nederland hebben we een perfecte uitgangsituatie voor het toepassen van Linked Data. Zo heeft de overheid de afgelopen jaren flink ingezet op het delen van geodata. Met behulp van Publieke Dienstverlening op de Kaart (PDOK) kunnen geodatasets van de overheid worden ontsloten en zijn ze voor iedereen gratis toegankelijk op pdok.nl.” Het is hierdoor bijvoorbeeld mogelijk om met één druk op de knop te zien waar in Nederland de mossel- en oesterhabitats, de fietsknooppunten of de no-flyzones voor drones zich bevinden. Om maar een paar van de meer dan honderd datasets te noemen.

Koploper

Folmer weet van de hoed en de rand als het gaat om Linked Data. Het Kadaster behoort tot de koplopers op dit gebied. “Wij hebben al veel data als Linked Data beschikbaar   1,3In de Basisregistraties Adressen en Gebouwen (BAG) stelt het Kadaster1,3 miljard databeschrijvingen beschikbaar van alle panden in Nederland. Het Kadaster registreert vastgoed- en geografische informatie. Deze wettelijke taak borgt de rechtszekerheid: wat is van wie, waar lopen de grenzen, zijn er hypotheken? Dat geldt voor vastgoed maar ook voor schepen, luchtvaartuigen en (ondergrondse) netwerken. Voor deze taken beheert het Kadaster onder andere de Basisregistratie Kadaster en Topografie, de Basisregistraties Adressen en Gebouwen, en de Basisregistratie Waarde Onroerende Zaken. Het Kadaster is opgericht in 1832 en sinds 1994 een zelfstandig bestuursorgaan. Het Kadaster: de organisatie gesteld. Zo hebben we de Basisregistraties Adressen en Gebouwen (BAG) beschikbaar gesteld, die gegevens bevatten van alle panden in Nederland. Deze zijn bovendien altijd actueel. De informatie betreft panden, verblijfsobjecten, nummeraanduidingen, openbare ruimtes en woonplaatsen, maar ook status, oppervlak, geometrie, x- en y-coördinaten, bouwjaar en gebruiksdoel. In totaal gaat het om zo’n 1,3 miljard samenhangende data. Wie nu geïnteresseerd is in een gebouw, kan hierover met één zoekopdracht gegevens opvragen en dit relateren aan andere Linked Databronnen zoals Dbpedia en Wikidata.”Nu is het de uitdaging om niet alleen de aanwezige gegevens binnen het Kadaster aan elkaar te linken, maar ze te combineren met die van andere overheidsorganisaties. “We staan aan de vooravond. En dan wordt het pas écht interessant”, zegt Folmer. “Stel dat we onze data kunnen koppelen aan die van het CBS, dan zou ineens duidelijk worden waar jongeren heentrekken, hoe buurten en wijken zich ontwikkelen, wat de krimpregio’s zijn en waar het beste nieuwbouw kan worden gepleegd. Zulke sociale en inrichtingsvraagstukken worden daarmee in één klap een stuk inzichtelijker.”

Geen alternatief

Een en ander betekent wel dat (semi-)overheidsorganisaties aan de slag moeten met Linked Data. Folmer: “Liever vandaag dan morgen.” Onvermijdelijk is het volgens Folmer in ieder geval. “Linked Data is dé manier om informatie toekomstbestendig te ontsluiten. We moeten wel. Er is geen concurrerend alternatief.” Afgezien van de mogelijkheid een veelheid aan verbonden informatie te ontsluiten, is er volgens Folmer nóg een belangrijke reden waarom gemeenten en overheidsorganisaties de overstap naar Linked Data moeten maken: “Je kunt data bij de bron opvragen. Er zijn talloze kopieën in omloop van overheidsdatasets, omdat de uiteindelijke bron ervan deze datasets maar beperkt bruikbaar aanbiedt. De inhoud ervan kan bij de bron inmiddels gewijzigd of achterhaald zijn, zonder dat de gebruiker van de kopie dit door heeft. Dat staat nog los van de kosten van licenties en beheer van al deze kopieën. Door data als Linked Data en met behulp van API’s (Application Programming Interface, red.) te publiceren, nemen we de redenen om data te kopiëren weg. Daardoor zullen gebruikers van datasets deze in de praktijk veel vaker bij de bron ophalen, waardoor kwaliteit en zekerheid van de informatie gegarandeerd zijn. En wat te denken van de semantiek? Zonder uitleg en duiding zijn data niet meer dan cijfers en letters. Linked Data biedt de mogelijkheid om een soort bijsluiter aan de data toe te voegen, net als bij medicijnen. Daarmee is betekenis onderdeel geworden van de data.”

Governance

Het omzetten van bestaande data naar Linked Data is technisch overigens niet erg ingewikkeld. “Zeker wanneer het relatief statische data betreft en de aanwezige data op orde zijn, is dat – afgezien van het ontwikkelen van een semantisch model – een vrij makkelijke exercitie”, vertelt Folmer. “De data en metadata moeten eenvoudigweg worden omgezet naar het juiste formaat conform het semantische model. In het geval van de BAG is het wel degelijk een huzarenstukje geweest, vanwege de omvang en omdat deze informatie dagelijks wordt geüpdatet. De data van veel overheidsorganisaties zijn echter relatief statisch. Het omzetten hiervan naar Linked Data is vrij eenvoudig.”Veel lastiger wordt het zodra het vraagstuk van governance om de hoek komt kijken. Folmer: “Als wij de gegevens van de BAG koppelen aan de monumentendataset van de RCE, wie is dan verantwoordelijk voor die koppeling? En wie beheert en betaalt die gecombineerde dataset? Daarover moeten we goede afspraken maken.”

Meeliften

Terugkijkend op de overstap naar Linked Data – die bij het Kadaster een kleine twee jaar aan de gang is – wil Folmer wel wat ervaringen delen. “Samenwerken is hiervoor essentieel”, benadrukt hij. “Wij hebben bijvoorbeeld nauw samengewerkt met het Platform Linked Data Nederland, waarin ook andere overheidsorganisaties participeren. Zo konden we de technische aanpak voor het omzetten van data met elkaar afstemmen. Maar we kunnen ook van elkaar leren en daartoe bestaat nog meer dan voldoende aanleiding op dit innovatieve gebied.” Voor andere overheidsorganisaties heeft Folmer een snelle oplossing. “Wij hebben zoals gezegd een compleet platform ontwikkeld om data mee te kunnen verwerken. Andere overheidsorganisaties kunnen bij ons meeliften op dit platform. Zij doen zelf de semantiek, wij bieden de techniek aan. Zodoende kunnen ze snel, met weinig zorgen en tegen lage kosten, aan de slag met Linked Data.”

Dit artikel kwam tot stand met medewerking van Erwin Folmer, Senior Adviseur Landelijke Voorzieningen bij Kadaster

Aldus Peter Hoogwerf, destijds Directeur Kadaster en voorzitter Geo-Informatie Nederland (GIN)

12.Webwinkels gebaat bij één standaard

12.1 ‘Eén standaard voor online identificatie’

Webwinkels zijn niet meer weg te denken uit onze maatschappij. De sector groeit dan ook nog steeds explosief. Standaardisering van bijvoorbeeld identificatiemethoden is echter een belangrijke randvoorwaarde. Maar de ontwikkeling daarvan stokt. Just Hasselaar, adviseur bij Thuiswinkel.org, vertelt over de belangrijkste uitdagingen binnen zijn branche.

Online bankzaken of verzekeringen regelen. Maar ook kleding, boeken of witgoed bestellen. Voor veel Nederlanders is thuiswinkelen vanachter de computer inmiddels een doodnormale gang van zaken. Nederland kent nu ongeveer 32 duizend webwinkels, die alleen al in de eerste helft van 2017 hun omzet met 13 procent zagen stijgen ten opzichte van het jaar ervoor. In 2017 zijn meer dan tweehonderd miljoen online aankopen gedaan. Goed voor een omzet van 22,6 miljard euro. De cijfers komen uit het halfjaarlijkse onderzoek naar online consumentenbestedingen van Thuiswinkel.org. “Nu de groei blijft doorzetten, blijkt dat een aspect als identificatie steeds belangrijker wordt”, zegt Just Hasselaar, policy adviser Digital Transactions bij Thuiswinkel.org.

Service

De branche is flink in beweging. Anders dan pure webwinkels, zoals bol.com, kiest een speler als Coolblue er juist voor om naast zijn online shop vestigingen in winkelstraten te openen. En naast klassieke toonbank-winkels gaan ook merken online en slaan daarmee de retailers juist weer over. De beleving van de klant, de customer journey, staat centraal; van de oriëntatie van de klant tot het selecteren en bezorgen van een product. Vanaf het begin zijn webwinkels onderscheidend geweest in het vergemakkelijken en optimaliseren van deze klantreis. “En in deze perfecte reis is de betaling opeens een harde knip”, aldus Hasselaar. “Stel, een klant koopt online een paar sokken. Dan moet hij zich omslachtig aanmelden en allerlei niet-relevante informatie prijsgeven. Ook de winkelier zit daar niet op te wachten, los van de privacygevoeligheid van de gegevens. De winkelier wil alleen weten of deze persoon werkelijk is wie hij zegt te zijn, of hij bevoegd is om de aanschaf te doen en of de adresgegevens kloppen.” De brancheorganisatie pleit daarom al jaren voor de invoering van een publiek-private e-ID. Het identificeren van kopers met één inlog via de browser maakt het aanmaken van talloze accounts en wachtwoorden overbodig. Eenvoudig en betrouwbaar online handelen, is de toekomst.

Vertrouwen In de beginjaren van de webwinkels was het betalen via internet voor veel klanten nog spannend. “Men wilde zeker weten dat de webwinkelier ook daadwerkelijk was wie hij beweerde te zijn”, legt Hasselaar uit. In 2011, een jaar na haar oprichting, kwam de belangenvereniging dan ook al met het kwaliteitskeurmerk Thuiswinkel Waarborg. “Onze leden worden jaarlijks gecertificeerd door de Stichting Certificering Thuiswinkel Waarborg. Maar daarmee is het veiligheidsvraagstuk niet opgelost. Certificering komt voornamelijk de klanten tegemoet, terwijl ook de webwinkeliers zekerheid willen over de identiteit van de klant. Ze willen zeker weten dat de afleveradressen kloppen, dat de betalingen correct en snel kunnen worden gedaan, enzovoorts.” En al wordt internet slimmer, fraudebestrijding is nog steeds een groot issue. “We schatten dat fraude zo’n 0,3 procent van de totale omzet betreft. Omdat fraude in veel vormen en methodes opduikt, weten we dit niet exact. Ook in dit opzicht zou de invoering van een e-ID veel oplossen.”

Handmatige oplossingen

Een paar jaar geleden ging de overheid voortvarend van start met de ontwikkeling van eHerkenning als opvolger van DigiD voor bedrijven. “Hiermee kunnen bedrijven zich digitaal identificeren wanneer ze zaken doen met de overheid, maar consumenten en zzp’ers vielen hier buiten”, zegt Hasselaar. De brancheorganisatie hoopte op doorontwikkeling naar consumentengebruik. “Maar het nieuwe stelsel, Idensys, komt nog niet echt van de grond. Het bankenstelsel iDIN werkt goed en heeft potentie. Het is belangrijk dat de overheid ook deze oplossing accepteert.” De overheid besloot afgelopen zomer de standaardisatie van online identificatie voorlopig alleen tot haar eigen domein te beperken. De gevolgen?

“Online retailers verzinnen handmatige oplossingen en omwegen, het fotograferen van paspoorten bijvoorbeeld. Partijen gaan soms gezamenlijk eigen oplossingen bedenken, wat alleen maar meer verwarring schept in de markt. Zolang niet duidelijk is wat de overkoepelende standaarden zullen worden, weten winkeliers niet bij welke standaard ze moeten aanhaken, omdat ze niet weten welke het zal redden.”

Overheid aan zet

Natuurlijk kunnen marktpartijen zelf tot oplossingen komen, stelt Hasselaar. “Maar de overheid is aan zet om het voortouw te nemen. Al zijn webwinkels belangrijke potentiële gebruikers van eHerkenning en Idensys, de reikwijdte gaat verder. Veel meer partijen zijn gebaat bij elektronische identificatie. Denk alleen al aan notarissen, makelaars en verzekeraars. Ook zij zijn gebaat bij een betrouwbaar en gebruiksvriendelijk systeem.” Bovendien stopt internethandel niet bij de grens. “Daarom is het goed dat we nu één grensoverschrijdend gezaghebbend stelsel hebben, eIDAS. Een standaard die veilig, eenvoudig in te voeren en betaalbaar is. Nederland loopt wereldwijd voorop als het gaat om online winkelen. Het ligt dus voor de hand dat ons land ook internationaal mee blijft doen en zo snel mogelijk een goed functionerend publiek-privaat e-ID-stelsel heeft.” De brancheorganisatie pleit voor een identificatiestelsel waarin overheid en marktpartijen in gezamenlijkheid standaarden hanteren. “Waarin burgers en bedrijven kunnen kiezen tussen publieke én private middelen, dus de keuze tussen inlog via DigiD of bankpas. Het is belangrijk dat het verschil tussen online en offline handelen zo snel mogelijk wordt opgeheven.”

Dit artikel kwam tot stand met medewerking van Just Hasselaar, Policy adviser Digital Transactions Thuiswinkel.org.

Online identificatie is een onmisbaar onderdeel van een veilige klantreis. Consumenten hebben behoefte aan een alternatief voor een gescand paspoort dat zij ook bij online retailers kunnen gebruiken. Retailers hebben dit nodig om de groei van het aanbod van online producten en diensten te faciliteren. Standaarden als eID en eIDAS bieden hiervoor een goede basis.

Aldus Wijnand Jongen, Directeur Thuiswinkel.org.

Colofon

Deze uitgave wordt u aangeboden door het Forum Standaardisatie. Het is een herdruk van een publicatie uit 2018, voorzien van een nieuw voorwoord door Larissa Zegveld.

Het Forum Standaardisatie staat voor het belang van open standaarden die diensten en processen digitaal verbinden. We willen onze kennis en ervaring op dit gebied graag met u delen. De businesscase voor standaardisatie is onweerlegbaar: standaardisatie levert geld, tempo en kwaliteit op. Maar hoe vanzelfsprekend standaardisatie in het dagelijks leven ook is – denk aan contactloos betalen of de streepjescode op supermarktartikelen – het gaat niet vanzelf. Standaardisatie vraagt om krachtenbundeling, inzet en doorzettingsvermogen van verschillende partijen in een keten. Daarom is het bij uitstek een thema dat bij bestuurders van organisaties uit alle sectoren op de agenda zou moeten staan. In deze publicatie laten we u graag zien hoe digitale standaardisatie in de praktijk werkt. We doen dit aan de hand van twaalf ‘standaardwerken’: succesverhalen waarin overheden en andere organisaties zelf uiteenzetten hoe zij tot standaardisatie zijn gekomen en vooral ook wat dit hen heeft opgeleverd. Hiermee hopen we u, bestuurlijk Nederland, te inspireren en te bewegen om digitale standaardisatie vaker op de agenda te zetten. Contactgegevens: info@ forumstandaardisatie.nl, (070) 888 77 76.

Dank aan

Hugo Aalders, Maarten Aertsen, Jelle Attema, Jaya Baloo, Frits van den Bos, Gijs Boudewijn, Mark Buitenhek, Marco Davids, Joppe Duindam, Nausikaä Efstratiades, Erwin Folmer, Just Hasselaar, Peter Hoogwerf, Wijnand Jongen, Niek Jan van Kesteren, Roelof Meijer, Theo Peters, Hans Rook, Dick Roozen, Maxime Verhagen, Hans de Vries, Iwan van der Wolf, Larissa Zegveld, Michel Zoetebier, Patricia Zorko en Henk Zwinkels.

Met bijdragen van

Belastingdienst, Betaalvereniging Nederland, Bouwend Nederland, Greenport Holland, GS1 Nederland, Floricode, Informatiebeveiligingsdienst voor Gemeenten, ING Bank, The International Port Community Systems Association, Kadaster, KPN-Cert, KPN, Ministerie van Justitie en Veiligheid, Nationaal Cyber Security Centrum (NCSC), Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), Portbase, SIDN Labs, Stichting Internet Domein Namen (SIDN), Superunie, Thuiswinkel.org, Vereniging van Nederlandse Gemeenten (VNG) en VNG Realisatie.

Uitgever

Forum Standaardisatie, Den Haag Annemieke Toersen

Concept en realisatie

Sabel Communicatie, Bilthoven

Teksten

Vincent Durivou, José Onderdenwijngaard, Irene Schoemakers

Beeld

Forum Standaardisatie, Ton Borsboom, Anke Bot, Bouwend Nederland, Greenport Holland, Jelmer de Haas, Kadaster, Bas Kijzers, VNG Realisatie, KPN, Libary of Congress, Nationale Beeldbank, Portbase, Rijksoverheid, Shutterstock, SIDN, Superunie, Stichting Floricode, Thuiswinkel.org, Cris Toala Olivares, VNG.

Ontwerp en vormgeving

De Vormgevers, Harmelen

Drukwerk

Xerox/OBT, Den Haag

ECP

ECP | Platform voor de InformatieSamenleving is het platform waar overheid, bedrijfsleven en maatschappelijke organisaties kennis uitwisselen en samenwerken om de ontwikkeling van de Nederlandse informatiesamenleving te bevorderen. Ruim 150 deelnemende organisaties (overheden, bedrijven en maatschappelijke instellingen) vormen het draagvlak van dit neutrale en gezaghebbende platform en werken samen om concrete resultaten te bereiken.www.ecp.nlinfo@ecp.nl

Forum Standaardisatie

Om de digitale samenwerking (interoperabiliteit) tussen overheid, bedrijfsleven en publiek te bevorderen, stelde het kabinet in 2006 het Forum Standaardisatie in. Het Forum Standaardisatie adviseert over de elektronische uitwisseling van informatie, digitale standaardisatie en het gebruik van open standaarden.

Standaard en standaardisatie

Een definitie

Een standaard of norm is een (technisch) document met erkende afspraken, specificaties of criteria over een product, dienst of methode. Standaarden dragen eraan bij dat processen op een afgesproken, veilige, betrouwbare en consistente manier uitgevoerd worden. Een (digitale) standaard vormt een op consensus gebaseerde gezamenlijke ‘taal’ die vlekkeloze verbinding tussen systemen mogelijk maakt. Als een standaard geen of zo weinig mogelijk barrières in het gebruik kent (gepubliceerd en toegankelijk voor iedereen, geen financiële drempels, geen beperkingen in het hergebruik) spreken we van een open standaard. Standaardisatie komt tot stand in samenwerking tussen zoveel mogelijk geïnteresseerde partijen – denk aan producenten, consumenten, overheden en instituten – op een bepaald terrein van productie of dienstverlening.