5. Oplegnotitie Adoptie Open Standaarden

Samenvatting

I. Ter bespreking en besluitvorming

• A. Vertoning van video over document- data- en contentstandaarden
• B. Meting Informatieveiligheidstandaarden eind 2022
• C. Briefwisseling Microsoft over ondersteuning DANE en IPv6
• D. Agendering IV-meting en Monitor OS, sponsorschap door Forumleden, en aanwezigheid

II. Ter kennisname

• E. Kennisplatform API’s (voor betere, snellere gegevensuitwisseling)
• F. Review “Connectiviteitsdiensten Rijk 2023”
• G. Praktijkverhalen als inspiratie
• H. Verdieping semantiek
• I. Draagvlak via MCOIG
• J. Opdracht Monitor Open Standaarden 2023

I. Ter bespreking en besluitvorming

Ad A. Vertoning van video over document- data- en contentstandaarden

Het Forum Standaardisatie wordt gevraagd om:

1. kennis te nemen van de video over document- data- en contentstandaarden;
2. de video verder te verspreiden onder uw achterban.

Toelichting

BFS heeft een video over document- data- en contentstandaarden gepubliceerd. De hoofdboodschap van de video is: publiceer informatie van de overheid altijd in een digitaal toegankelijk, open format dat het beste aansluit bij de gebruiker. De video past in de serie video’s van het Forum Standaardisatie over de standaarden op de ‘pas toe of leg uit’ lijst.

Ad B. Meting Informatieveiligheidstandaarden begin 2023

[bijlagen: 5B1 en 5B2]

Het Forum Standaardisatie wordt gevraagd om:

1. kennis te nemen van de “Meting Informatieveiligheidsstandaarden overheid begin 2023” inclusief de bijlage met meetresultaten per internetdomein;
2. de rapportage en daarin opgenomen adviezen actief onder de aandacht te brengen van de eigen achterban.

Toelichting

De afgelopen maanden is er opnieuw een meting uitgevoerd op alle bekende overheidsdomeinen. Hiervan is een rapport opgesteld met gedetailleerde resultaten en adviezen om adoptie te verbeteren. Nieuw is dat de leveranciers van achterblijvende overheidsorganisaties in beeld zijn gebracht.

Er is over het geheel een verbetering te zien ten opzichte van de resultaten van mei 2022. Echter zijn nog steeds geen van de streefbeeldafspraken gehaald. Deze rapportage zal ook geagendeerd worden voor de vergadering van het OBDO op 25 mei 2023. De rapportage inclusief bijlage met meetresultaten per internetdomein vindt u in de bijlagen.

Forum Standaardisatie onderzoekt ieder half jaar op verzoek van OBDO met behulp van Internet.nl het gebruik van verplichte standaarden voor de beveiliging van websites en e-mail bij overheidsorganisaties, en bekijkt daarbij ook of deze via IPv6 bereikbaar zijn. Voor deze standaarden heeft het OBDO overheidsbrede streefbeeldafspraken met uiterste implementatiedata gemaakt.

Naar aanleiding van de vorige Meting Informatieveiligheidsstandaarden (voorjaar 2022) en de berichtgeving daarover in de media zijn eind november 2022 Kamervragen aan de Minister van JenV en aan de Staatssecretaris BZK gesteld. De Staatssecretaris BZK geeft in de antwoorden op deze Kamervragen onder andere aan dat ze “het onacceptabel [vindt] dat overheden dit niet op orde hebben en per brief, via de koepelorganisaties, alle overheden [zal] oproepen zo snel mogelijk de standaarden te implementeren.” De genoemde brief aan de koepelorganisaties is eind december door de Staatssecretaris verstuurd. Het eventuele effect van deze brief is nog niet zichtbaar in de resultaten van deze meting, doordat de meting kort na de brief, namelijk op 1 januari 2023, plaatsvond.

Ad C. Briefwisseling Microsoft over ondersteuning DANE

[bijlage: 5C]

Het Forum Standaardisatie wordt gevraagd om:

1. kennis te nemen van de briefwisseling met Microsoft, de stand van zaken, en het huidige advies met betrekking tot het gebruik van Exchange Online;
2. een en ander te verspreiden onder de eigen achterban.

Toelichting

DANE is een voor de overheid verplichte open standaard voor beveiligd mailtransport tussen mailservers. De standaard zorgt ervoor dat het veel moeilijker wordt voor kwaadwillenden om e-mailverkeer af te luisteren.

Microsoft ondersteunt sinds begin 2022 DANE (validatie) voor uitgaande mail. Dat is mede het resultaat van eerdere acties van Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie.

Voor inkomende mail heeft Microsoft de ondersteuning DANE in Exchange Online helaas nog niet op orde, ondanks een oorspronkelijk aankondiging dat dit eind 2021 ondersteund zou worden. De ontbrekende ondersteuning zien we terug in de Metingen Informatieveiligheidstandaarden en noemde de Staatssecretaris BZK ook in antwoord op recente Kamervragen.

Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie hebben Microsoft onlangs per brief aangesproken op de gebrekkige ondersteuning van DANE voor inkomende mail (en daarnaast op de niet-default ondersteuning van IPv6).

Ondertussen heeft Microsoft een antwoordbrief (zie bijlage) gestuurd. Daarnaast heeft Microsoft de geplande implementatiedatum voor DANE op inkomende mail opnieuw verschoven, nu van juli 2023 naar maart 2024. Een preview zou nu beschikbaar komen in december 2023. Strategisch Leveranciersmanagement Rijk (SLM Rijk) en Forum Standaardisatie werken in samenwerking met BZK op dit moment aan een reactie.

Het advies aan overheidsorganisaties is om:

1. als (potentiële) klant zelf ook een formeel verzoek bij Microsoft in te dienen voor de ondersteuning van DANE voor inkomende mail in Exchange Online;
2. als je nog geen gebruikmaakt van Exchange Online dit in ieder geval uit te stellen, totdat Microsoft de ondersteuning van DANE voor inkomende mail in Exchange Online op orde heeft;
3. als je desondanks al Exchange Online gebruikt of dit wel al wil gaan doen, dan gebruik te maken van een emailgateway die wel DANE (en de andere verplichte standaarden) ondersteunt, alhoewel dit aanvullende complexiteit en kosten met zich meebrengt.

Ad D. Agendering IV-meting en Monitor OS, sponsorschap door Forumleden, en aanwezigheid

[bijlage: 5D]

Vraag aan ieder Forum-lid om:

1. een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en van de IV-meting onder zijn/haar achterban;
2. een update te geven over hun sponsorschap;
3. kennis te nemen van het overzicht van de aanwezigheid.

Toelichting

1. In de bijlage treft u een overzicht aan van de huidige stand van zaken, voor zover bekend, met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).
   • De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.
     • Monitor 2022: voor verspreiding kunt u gebruikmaken van de laatste monitor en daarin opgenomen managementsamenvatting zoals beschikbaar op de pagina over de Monitor Open Standaarden op de website van Forum Standaardisatie.
     • IV-meting begin 2023: zie agendapunt 5B. Een nieuwsbericht zal volgen na behandeling van de meting in het OBDO.
   • Daarnaast hebben de leden van het OBDO op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component. Ook herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.
2. De Forum-leden zijn ook sponsor van een of meerdere Forum-onderwerpen. Dit is eveneens weergegeven in de bijlage.
3. Daarnaast is een overzicht bijgevoegd van de aanwezigheid van de Forum-leden bij Forum-vergaderingen sinds 13 juni 2018.

II. Ter kennisname

Ad E. Kennisplatform API’s (voor betere, snellere gegevensuitwisseling)

Op 3 februari 2023 organiseerde het Kennisplatform API’s een bijeenkomst. Tijdens deze bijeenkomst werden verschillende onderwerpen behandeld. Geonovum vertelde over de nieuwe modulaire opzet van de geo-extensie op de API-design rules. Aan de hand van de REST-API-design Rules kan de kwaliteit van een API beoordeeld worden. De geo-extensie beschrijft de specifieke API-regels voor het geodomein. Verder was er een sessie over extra design rules en hoe modulaire structuur van de API-design rules ervoor gaat zorgen dat ze zowel voor de technische als minder technische gebruiker bruikbaar zijn. In andere sessie werd ingegaan op de risico’s die ontstaan door het gebruiken van gevoelige data in URI’s en kwam samen met de deelnemers tot een mogelijke oplossingsrichting om uit te werken in de werkgroep beveiliging. Tot slot werd een nieuwe standaard geïntroduceerd voor het doen van metingen in het aquatische domein. Deze nieuwe standaard brengt niet alleen uniformiteit voor gebruikers, maar ook voor implementaties en betekenissen van metingen.

Werkgroep Strategie en Beleid en nieuwe functionaliteit developer.overheid.nl (DON)

Verder waren er verschillende parallelle sessies te volgen. In de eerste ronde nam de voorzitter van de werkgroep Strategie en Beleid, de aanwezigen mee in het proces richting een herziene visie van de API Strategie. Bureau Forum Standaardisatie (BFS) is trekker binnen het Kennisplatform API’s van de werkgroep Strategie en Beleid en neemt zitting in de stuurgroep van het kennisplatform. Sinds eind 2022 is de organisatie van de werkgroep Strategie en Beleid vanuit het actieplan “Data bij de Bron” versterkt zodat er ook een daadwerkelijke strategie en opgehaalde ideeën uitgewerkt kunnen worden. De werkgroep Strategie en Beleid is verder van plan de vorig jaar vastgestelde intentieovereenkomst tekstueel aan te passen om meer ondertekenaars aan te trekken. Ondertekenaars van deze overeenkomst willen dat de digitale overheid gegevens en data veiliger en efficiënter uitwisselt, door applicaties zoveel mogelijk te scheiden van de data en deze data bij de bron te bewaren. Zo krijgen burgers, bedrijven en ketenpartners van de overheid toegang tot consistente data, zonder zich zorgen te hoeven maken over de complexiteit van de achterliggende systemen. Om deze data-uitwisseling mogelijk te maken, zijn goede platformen, API’s en verplichte standaarden onmisbaar. De intentieovereenkomst is ondertekend door Forum Standaardisatie, Geonovum, Kadaster, Logius, RvIG, SVB en VNG. In 2023 komt daarbij in ieder geval ook het UWV bij. Namens Forum Standaardisatie tekende Larissa Zegveld de intentieovereenkomst en Rob van de Velde namens Geonovum.

In een andere sessie werd de nieuwe API Design Rules (ADR) Validator van het developer overheid portaal gepresenteerd. Deze validator test API’s aan de hand van een set design rules. Op basis van de test worden API’s beoordeeld. Hoe hoger de score, hoe hoger de kwaliteit van de API. De ADR Validator kan je ook al gebruiken in je eigen ontwikkelomgeving. Dit is een belangrijke stap voor het Forum Standaardisatie, omdat door de ADR validator beoordeelt of een API’s voldoet aan de open standaarden Rest API Design Rules en OAS, die beide op de ‘pas toe of leg uit’-lijst staan. Meer informatie over statistieken en scores kun je op developer.overheid.nl vinden.

Ad F. Review “Connectiviteitsdiensten Rijk 2023”

Rijkswaterstaat leidt de Rijksbrede aanbesteding “Connectiviteitsdiensten Rijk 2023” (CDR2023). Voor meer informatie zie: https://connectiviteitrijk.nl/. Het gaat om de vervanging van de contracten “ON2013 - Vaste dataverbindingen en internettoegang” (BT, KPN en T-Mobile/Tele2) en “IWR2017lMCD - Mobiele communicatiediensten [MCD]” (Vodafone). Bureau Forum Standaardisatie heeft op verzoek van Rijkswaterstaat een review uitgevoerd van het document met aanbestedingseisen en -wensen, zodat (verplichte) open standaarden, zoals IPv6 en RPKI, er op een goede manier in terugkomen.

Ad G. Praktijkverhalen als inspiratie

De afgelopen maanden zijn er op de website van Forum Standaardisatie weer verschillende nieuwe verhalen uit de praktijk van de CIO gepubliceerd. Het doel is om geleerde lessen en werkende aanpakken te documenteren om daarmee andere bestuurders te inspireren. Zo vertelt Magchiel van Meeteren (BZK) hoe je in vijf stappen naar veilige en toegankelijke sites gaat, Rob de Groot (SZW) over de inzet van een routekaart en Harry Roumen (Financiën) over het hameren op het gebruik van standaarden.

Af H. Verdieping semantiek

Op 13 februari lichtten we samen met SVB en Belastingdienst de praktijkcase ‘Partnerbegrip’ toe bij Ministerie van SZW. Met een 30-tal (senior)beleidsmedewerkers van de Directie Stelsel en Volksverzekeringen (SV), een onderdeel van het directoraat-generaal Sociale Zekerheid & Integratie, wisselden we kennis uit over de methodiek Wetsanalyse ICT. Zo creëren we draagvlak en halen we potentiële cases op voor de Hogeschool van Amsterdam, die de methodiek in het curriculum plaatst van de juridische opleiding.

Op 14 maart is gesproken met BZK, directie constitutionele zaken en wetgeving, over de kansen voor semantische standaardisatie. Dit betrof specifiek de aldaar in ontwikkeling zijn de handreiking voor de wetgevingsjurist, waarin multidisciplinair samenwerken en methoden als Wetsanalyse een plek krijgen. In dit gesprek is tevens besproken om deze handreiking en methoden als Wetsanalyse te positioneren in relatie tot het Beleidskompas en aanvullende methoden, waaronder de Handreiking Ketenbusinessalayse welke in ontwikkeling is bij J&V.

Op 15 maart is hier eveneens over gesproken met J&V, directie Informatievoorziening en Inkoop. Tevens is gesproken over de learning community welke vorm wordt gegeven door de UvA, Hanzehogeschool en RuG. En de beoogde doing community waarin ervaring uit praktijkprojecten met multidisciplinair samenwerken worden samengebracht. Voor de doing community wordt nader overleg gepland om te bezien welke actieve rol hierin door J&V kan worden vervuld.

Ad I. Draagvlak via MCOIG

Op 14 maart lichtten de trekkers van de zeven actielijnen van het programma Maatschappelijke Coalitie Over Informatie Gesproken (MCIOG) hun activiteiten toe. De coalitie zet zich voluit in voor een (digitale) samenleving waarin de burger centraal staat. Er zijn zeven zorgen op het gebied van de informatierelatie gedefinieerd in een manifest. De verbindingen met ons werkplan op al deze actielijnen zijn gedeeld:

• Lopende verkenningen op het gebied van Regie op Gegevens en Berichtenverkeer (actielijn 1) en de rol van open standaarden hierin;
• Openbaar en toegankelijkheid (actielijn 2);
• Betrouwbare digitale dienstverlening door gebruik van internetveiligheidstandaarden (actielijn 3);
• Eenduidige overheid met één domeinnaam extensie en domeinnaambeheer (actielijn 3);
• Veilige gegevensuitwisseling met het uitwisselingsfundament en betrouwbaarheidsniveaus;
• Metingen (Internetveiligheid en Monitor voor aanbestedingen) (actielijn 4);
• Semantische standaardisatie (een methodiek Wetsanalyse ICT ook voor de toekomstige ambtenaar (actielijn 6) en
• standaardisatie in het algemeen (conform ‘Pas toe of leg uit’-beleid).

Ad J. Opdracht Monitor Open Standaarden 2023

[bijlage: 5J]

Hierbij een samenvatting van het projectvoorstel van ICTU aan BFS voor de uitvoering van de Monitor Open Standaarden 2023. De grootste verandering ten opzichte van voorgaande jaren zit in het onderdeel dat beschreven wordt onder 3.2. Graag extra aandacht hiervoor.

In het verleden werd dit onderdeel van de Monitor het onderzoek naar overheidsbrede voorzieningen of voorzieningen van de GDI genoemd. Dit jaar wordt het anders ingevuld. Er wordt een beperkte set casussen onderzocht naar de toepassing van open standaarden in daadwerkelijk in de praktijk gerealiseerde ICT-systemen bij medeoverheden.

a. Tot nu toe werden elk jaar vooral centrale voorzieningen onderzocht (zoals GDI-voorzieningen), die breed in de publieke sector gebruikt worden. Sinds 2020 werden die 36 voorzieningen en websites in twee sets onderverdeeld (interactie met burgers, interactie tussen overheden) die om en om werden onderzocht. Er werd onderzocht welke open standaarden relevant waren, in hoeverre de voorziening daaraan op het moment voldeden en indien dat niet het geval was, of er expliciete plannen waren om daaraan op korte termijn wel te gaan voldoen. In 2023 onderzoeken we zoals aangegeven dit soort voorzieningen niet omdat het niveau van adoptie van open standaarden bij deze voorzieningen al gedurende lange tijd vrij hoog is. Of ze in de Monitor 2024 en/of 2025 wel worden onderzocht bespreken ICTU en BFS het najaar van 2023.

b. Om te beginnen wordt een tiental casussen geselecteerd van ICT-systemen van medeoverheden die nader bekeken worden. Deze selectie vindt plaats op basis van in voorgaande jaren onderzochte aanbestedingen en de laatste voorbeelden die Mathieu Paapst heeft gevonden voor de handreiking Vragen om open standaarden bij aanschaf van ICT. Er wordt bij voorkeur geselecteerd op brede en door medeoverheden veelgebruikte ICT-systemen. Bij de selectie van de casussen wordt bovendien rekening gehouden met het thema van de Monitor 2023: cloud oplossingen. Er worden minimaal 2 van dergelijke systemen geanalyseerd.