Notitie Duiding en maatregelen monitor Open standaarden 2022

Agendapunt 4A

Duiding en maatregelen monitor open standaarden 2022

Nummer: FS 20221207.4A1

Aan: Forum Standaardisatie

Van: Bureau Forum Standaardisatie

Datum: 24 november 2022

Versie: 1.0

Bijlage: Monitor Open Standaarden 2022

Ter bespreking en besluitvorming

Het Forum Standaardisatie wordt gevraagd om:

• de Monitor Open Standaarden 2022 vast te stellen;
• in te stemmen met de duiding van de Monitor Open Standaarden 2022 en met de voorgestelde maatregelen, zodat deze ter instemming kunnen worden doorgeleid naar het OBDO.

Duiding

De ambitie om publieke waarden te borgen in de digitale wereld kunnen overheidsorganisaties niet waarmaken zonder daarvoor óók de standaarden van de ‘pas toe of leg uit’- lijst toe te passen. Interoperabiliteit, leveranciersonafhankelijkheid, digitale soevereiniteit, innovatie, inclusie, veiligheid, vindbare en toegankelijke data, allemaal redenen om de publieke ruimte in de digitale wereld te verbeteren en om de standaarden die hiervoor zijn ook daadwerkelijk in te zetten. Daarom monitort Forum Standaardisatie jaarlijks het gebruik van de standaarden met de status ‘pas toe of leg uit’.

Ook in 2022 richtte het onderzoek zich op drie onderdelen:

1. De vraag naar open standaarden in openbare aanbestedingen en de uitleg in de jaarverslagen.
2. Het gebruik in voorzieningen van de Generieke Digitale Infrastructuur.
3. Overige gebruiksinformatie, waaronder de halfjaarlijkse IV-meting van de standaarden waarvoor streefbeelden zijn afgesproken in het OBDO.

Forum Standaardisatie duidt de resultaten van de Monitor Open Standaarden 2022 als volgt.

Ook in 2022 nog steeds te weinig toepassing van open standaarden in openbare aanbestedingen en geen uitleg in jaarverslagen.

Het resultaat van de Monitor Open Standaarden van 2022 laat – als het gaat om aanbestedingen en jaarverslagen gaat- hetzelfde beeld zien als in voorgaande jaren. Uit het onderzoek naar de vraag om de relevante open standaarden in aanbestedingen blijft het gebruik rond de 50% schommelen. Dat betekent, is een standaard relevant – en heel vaak betreft dit een veiligheidsstandaard- dan is de kans circa 50% dat de standaard ook daadwerkelijk gevraagd wordt in een publieke aanbesteding. Dat is te weinig, vooral gelet op de heersende veiligheidsrisico’s. Waarover hieronder meer bij de

Ook het onderzoek naar jaarverslagen levert het zelfde beeld op als in voorgaande jaren. Organisaties verantwoorden zich niet in het jaarverslag als zij standaarden niet toepassen, terwijl dat wel had gemoeten Dat betekent niet alleen dat het ‘pas toe of leg uit’- beleid hier slecht wordt nageleefd, maar dat geldt ook voor de rijksbegrotingsvoorschriften op dit punt (voor zover het Rijksorganisaties betreft).

Het Forum Standaardisatie vat deze resultaten op als een aanwijzing voor nog te onvolwassen ICT-opdrachtgeverschap in de publieke sector in het algemeen en bij overheidsorganisaties in het bijzonder. Daarnaast dat bestuurlijke sturing en toezicht op het gebruik van open standaarden ontbreekt en/of de werkvloer nog onvoldoende bereikt als het gaat om aanbestedingen.
Het zou helpen als besluiten van het OBDO openbaar gepubliceerd worden.
Daarnaast wordt uit het aanbestedingenonderzoek duidelijk dat dat organisaties in de loop der jaren steeds meer cloudoplossingen inzetten. Voor zover die oplossingen de open standaarden (nog) niet volgen, belemmert dat de adoptie. Daarnaast brengen cloudoplossingen nieuwe uitdagingen met zich mee, rond behoud van data, en exit-strategie.

Toch zijn er ook in 2022 weer enkele uitstekende aanbestedingen te vinden als het gaat om het correct vragen om open standaarden. Die zullen later als goede voorbeelden op de website van het Forum Standaardisatie gepubliceerd worden bij de uitstekende aanbestedingen van 2021 en 2020:

De best scorende aanbestedingen (Monitor 2021) | Forum Standaardisatie

De best scorende aanbestedingen van 2020 | Forum Standaardisatie

In overheidsbrede voorzieningen gaat het wél goed.

Beheerders van voorzieningen van de Generieke Digitale Infrastructuur laten een zonniger beeld zien. Hier is de toepassing van de relevante open standaarden wél goed vooruit gegaan in de loop der jaren en is inmiddels behoorlijk op peil. De voorzieningen die in 2022 onderzocht zijn, laten een percentage zien van 81%. Dat wil zeggen; is een standaard relevant voor een voorziening dan wordt die in 81 % van de gevallen ook daadwerkelijk toegepast. Daar komt bij, dat voor de nog ontbrekende standaarden vaak plannen bestaan om de ontbrekende standaarden alsnog toe te passen. Dat stemt optimistisch.

Het Forum Standaardisatie constateert dan ook dat het met het gebruik van open standaarden in generieke overheidsvoorzieningen vrij goed gaat. Het uitvoeren van het monitoronderzoek zélf, heeft daar waarschijnlijk ook een rol in gespeeld, doordat de onderzoekers regelmatig terug komen bij dezelfde groep mensen, die vaak ook het belang van het gebruik van open standaarden goed begrijpen. Het blijft ook hier wel een uitdaging om ook achterblijvende resterende procenten in te lopen.

De plannen voor de inrichting van de GDI zijn om in de toekomst minder op voorzieningen in te zetten en meer op afsprakenstelsels en standaarden. Hoewel het Forum Standaardisatie uiteraard meer inzet op standaarden toejuicht, kan het ook een risico voor verlies van centrale aanspreekpunten en daarmee structurele aandacht voor open standaarden binnen de GDI betekenen. Het is daarom extra belangrijk uitvoering te geven aan de maatregelen waar het OBDO op 7 april 2022 al mee ingestemd heeft en die hieronder zullen worden herhaald. Namelijk het structureel toewijzen van de verantwoordelijkheid en de aandacht hiervoor aan CIO’s, CTO’s en CISO’s. Meer hierover hieronder bij de maatregelen.

Vooral meer focus nodig op standaarden voor web en e-mailbeveiliging en voor IPv6

In de Monitor Open Standaarden 2022 is de laatste meting opgenomen van de informatie veiligheidsstandaarden waar het OBDO naast het ‘pas toe of leg uit’- beleid aanvullende streefbeeldafspraken voor heeft gemaakt. Naar aanleiding hiervan blijft het Forum Standaardisatie met klem waarschuwen voor beveiligingsrisico’s rond het nalaten van de toepassing van verplichte web- en e-mailstandaarden en IPv6.

De IV-meting van voorjaar 2022 laat zien dat bij 53% van de internetdomeinen alle verplichte websitestandaarden correct zijn toegepast. Het gaat om belangrijke beveiligingsstandaarden voor vertrouwelijk webverkeer, en IPv6 voor duurzame bereikbaarheid van online diensten.

Bij 44% van de internetdomeinen zijn alle verplichte e-mailstandaarden correct toegepast. Hier gaat het om belangrijke beveiligingsstandaarden om e-mailvervalsing uit naam van de overheid te voorkomen en het e-mailverkeer vertrouwelijk te houden, en ook IPv6 voor duurzame bereikbaarheid van online diensten.

Met de meting zijn in totaal 2584 overheidsdomeinen gecontroleerd. Dat is een uitbreiding ten opzichte van voorgaande metingen, in de voorgaande meting zijn 559 overheidsdomeinen gecontroleerd. De 2584 overheidsdomeinen zijn slechts een deelwaarneming van alle overheidsdomeinen, het totaalportfolio heeft vele duizenden meer domeinen. De overheid heeft als geheel geen zicht op het totaalportfolio. Dit rapport toont met diverse doorsnedes inzicht in de stand van zaken per overheidscategorie en per ministerie. De mate van adoptie kan gezien worden als een indicator voor de effectiviteit van sturing op kwaliteit van de informatievoorziening.

Zeven jaar na het maken van de eerste streefbeeldafspraak, en ruim twee jaar na het maken van de laatste, is geen van de streefbeelden voor de overheid als geheel gehaald. Het ontbreekt aan effectieve sturingsmechanismen om overheidsbrede afspraken eenduidig te laten landen en nageleefd te krijgen bij achterblijvende individuele overheidsorganisaties.

Zodra de Wet Digitale Overheid van kracht wordt kunnen standaarden wettelijk worden verplicht, zoals reeds is voorgenomen met HTTPS en HSTS. Ook hier speelt dan vervolgens de vraag hoe deze verdergaande verplichtingen de operationele werkvloer bereiken, en hoe vervolgens gestuurd wordt op naleving van de verplichtingen.

Maatregelen en adviezen

Gelet op bovenstaande duiding adviseert Forum Standaardisatie aan de bestuurders vertegenwoordigd in het OBDO om:

• Te communiceren over het belang van open standaarden naar aanleiding van de resultaten van de Monitor Open Standaarden en de IV-meting in uw organisatie. Doe dat minimaal één keer per jaar. Voor de veiligheidsstandaarden minimaal twee keer per jaar. Maak hiertoe ook de besluiten van het OBDO openbaar, ten minste die besluiten die genomen zijn naar aanleiding van de adviezen van het Forum Standaardisatie.
• Kennis te nemen van de ‘Meting Informatieveiligheidstandaarden voorjaar 2022’ en de CIO Rijk en de koepelorganisaties van de decentrale overheden te vragen om de rapportage en adviezen via de CISO- en de CIO-lijn actief onder de aandacht te brengen van individuele organisaties binnen hun achterban en hen op te roepen tot verbetering.
• Te verzoeken aan de CIO Rijk en de koepelorganisaties om te onderzoeken hoe zij richting hun achterban voor de opvolging van de adviezen een stimulerende en faciliterende rol kunnen vervullen en ook na te gaan welke (delen van de) adviezen overheidsbreed via de OBDO-lijn opgepakt zouden moeten worden (bijvoorbeeld via de lijn van de Architectuurraad).
• De aandacht voor verplichte open standaarden structureel in bestaande kaders te verweven, en het onderwerp te beleggen bij de functies van CIO, CISO en CTO.

1. Kaders rond i-Control & ICT-kwaliteitsaspecten (CIO’s)
2. Informatiebeveiliging (BIO) en bedrijfsvoering (CISO’s)
3. Aanschaf en inkoop (gebruik de Beslisboom Open Standaarden)
4. Architectuurkaders (zoals NORA, en Enterprise Architectuur Rijk)

• Toe te zien op correct uitleggen met een zwaarwegende reden in het jaarverslag bij het achterwege laten van relevante standaarden. In ieder geval als de organisatie onderwerp van onderzoek is geweest in de Monitor Open Standaarden en de IV-meting, zoals voor het Rijk is dit geregeld in de toelichting op de bedrijfsvoeringsparagraaf van de Rijksbegrotingsvoorschriften.

Deze maatregelen vullen de volgende meer specifieke vier adviezen aan, die eerder in 2022 naar aanleiding van de IV-meting van het voorjaar zijn gegeven en hier in het kader van de Monitor Open Standaarden 2022 worden herhaald.

Advies 1: Onderzoek welke sturingsmechanismen kunnen worden ingezet om overheidsbrede architectuurafspraken en kwaliteitseisen (beleid) – bijvoorbeeld in de vorm van gemeenschappelijke standaarden en streefbeeldafspraken – effectief te laten landen in de uitvoering bij de individuele overheidsorganisaties (implementatie).

Toelichting:
Positieve uitschieters binnen overheidscategorieën en tussen ministeries zijn vaak te verklaren vanuit proactieve sturing (regie) op de toepassing van standaarden, bijvoorbeeld vanuit een CIO- of CISO-office (voorbeelden: CIO BZK en CISO VWS).

Advies 2: Organiseer regie op internetdomeinen binnen ministeries en individuele overheidsorganisaties. Jaag dit initieel project- of programmamatig aan, en borg dit vervolgens in de lijnorganisatie.

Toelichting:
Proactieve sturing op de omvang en kwaliteitsaspecten van het internetdomeinportfolio is noodzakelijk om risico’s voor zowel organisaties als burgers te kunnen beheersen. Als handreiking heeft Forum Standaardisatie vijf basisprincipes voor regie op internetdomeinen op een rij gezet. Voor de Rijksoverheid heeft het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI), in samenwerking met Forum Standaardisatie, in 2021 de Handreiking Beheer Internetdomeinen Rijksoverheid gepubliceerd.

Advies 3: Verken of het centrale dienstverleningsconcept rond DNS-beheer van de rijksoverheid (let op: dit gaat over DNS incl. domeinnaamregistratie, niet over het eventueel invoeren van één domeinnaamextensie) ook kan worden ingezet bij decentrale overheden, bijvoorbeeld door samenwerkingsverbanden.

Het komt regelmatig voor dat websites of e-maildiensten decentraal ingekocht worden, terwijl er centrale (overheids)dienstverlening bestaat waarmee dezelfde diensten efficiënter geleverd kunnen worden. Dat geldt soms zelfs binnen organisaties.
Met regie op internetdomeinen kan er beter op gestuurd worden dat centrale dienstverlening ook wordt benut.

Toelichting:
(Gedeeltelijke) centralisering van dienstverlening heeft veelal een positief effect op de toepassing van standaarden. Wanneer een gemeenschappelijke dienstverlener een standaard consequent toepast heeft dit een hefboomeffect. Dit is zichtbaar bij diverse dienstverleningsconcepten; bijvoorbeeld de centrale registrarrol die de Dienst Publiek en Communicatie (AZ/DPC) vervult voor de Rijksoverheid, maar ook bij gemeenschappelijke dienstverleners voor web en e-maildiensten, zoals SSC-ICT, DICTU en diverse regionale dienstverleners.

Advies 4: Zorg ervoor dat naleving van IT-kwaliteitseisen – waaronder ondersteuning van verplichte open standaarden – onderdeel zijn van het leveranciersmanagement van individuele overheidsorganisaties. Vraag leveranciers periodiek naar de planning voor ondersteuning van standaarden. Overweeg om over te stappen als een leverancier onvoldoende meebeweegt.

Extra aandachtspunt daarbij is dat overheden hun e-mailvoorzieningen steeds vaker uit aan clouddienstverleners. Een aantal van dit soort dienstverleners ondersteunen niet alle verplichte standaarden. Conform het open standaardenbeleid zou formeel moeten worden gekozen voor dienstverlening die de standaarden wel ondersteunt. Indien hiervan is afgeweken is het belangrijk dat overheden hun dienstverleners alsnog blijven vragen om ondersteuning van verplichte standaarden. Diverse dienstverleners geven in informele gesprekken aan dat een gebrek aan klantvraag een reden is om niet te investeren in ondersteuning van de voor overheid verplichte standaarden.