Verslag Forum Standaardisatie woensdag 25 juni 2025

Content

Vergadering: Forum Standaardisatie woensdag 24 september 2025 

Agendapunt: 1B

Documentnummer: FS-20251210.1B

Aan: Forum Standaardisatie

Van: Bureau Forum Standaardisatie

Bijlagen: geen

Rechten: CC0 publieke domeinverklaring

1. Opening, agenda, verslag

Opneming

Aanwezig: Larissa Zegveld (voorzitter), Lindy van de Westelaken (BZK-directie Digitale Overheid), Floor Jas (SURF), Maud Damme (NEN), Friso Penninga (Geonovum), Gino Laan (RINIS), Rudi Bekkers (TU Eindhoven), Geert-Jan van de Ven (CIP), Guido Bayens (Architectuurraad Digitale Overheid), Anton Grootendorst (IPO), Michiel Steltman (DINL)

Afwezig: Bert Voorbraak (plv. voorzitter en secretaris, Logius), Anke Sikkema (EZ-directie Digitale Economie), Fleur Ter Borg (CIO-Rijk), Isabel van der Leij (RDI), Marc van Hilvoorde (FIN), Mirjam Karmiggelt (GS1 Nederland), Renate de Vree (Betaalvereniging), Benno Overeinder (NLnet Labs), Theo Peters (VNG Realisatie), Peter den Held (gemeente Rotterdam/G4), Gertjan van den Akker (NEN), Gerard Smits (Waterschapshuis)

Overige aanwezigen: Anneke Spijker (BFS), Mathieu Paapst (BFS), Benjamin Boersma (BFS), Joram Verspaget (BFS), Ludwig Oberendorff (BFS) en Huib Snijders (BFS)

Te gast: Michael Stoelinga (BKZ/DS) bij agendapunt 3. Cloud. Ruud Hoogendoorn en Siewert de Groot (ICTU) bij agendapunt 5. Monitor Open Standaarden.

In verband met de NAVO-top te Den Haag is uitgeweken naar een vergaderlocatie in Utrecht. Beide heeft invloed gehad op de opkomst. Larissa Zegveld heet de aanwezigen des te meer welkom bij deze vergadering.

Mededelingen

Larissa bedankt Bert Voorbraak voor het voorzitten van de vorige vergadering. Ter informatie meldt Larissa dat de vergaderingen nu samen met Bert worden voorbereid om continuïteit te waarborgen.

De volgende vergadering zal plaatsvinden op 24 september bij NEN in Delft, een andere locatie dan gebruikelijk, waarbij een open uitnodiging aan andere leden om toekomstige vergaderingen te hosten.

Larissa complementeert het BFS voor de verhoogde zichtbaarheid van het Forum op externe podia, ondanks de beperkte bezetting van het bureau. Het 20-jarig jubileum van het Forum in 2026 zal feestelijk worden gevierd en in samenspraak met het Forum worden voorbereid.

Internationaal: Rudy Bekkers geeft een toelichting op de internationale stand van zaken betreffende standaardisatie. Hoewel een eerder rapport over Nederlandse participatie veel aanbevelingen bevatte, bleek een aanzienlijk deel al in uitvoering of reeds voltooid vóór de afronding van het onderzoek. Een belangrijke ontwikkeling is de deelname van een Nederlandse delegatie (NEN, RDI, BZK) aan een ISO 'Standardization and Policy Capacity Building Journey', wat bijdraagt aan capaciteitsopbouw. De cruciale link tussen de ISO AI-standaard en de Europese CEN/CENELEC-standaard voor Europese AI-wetgeving is benadrukt. Daarnaast geeft Guido Bayens aan langer stil te willen staan bij de door de stuurgroep geprioriteerde aanbeveling ten aanzien van implementatie/adoptie van internationale standaarden. Rudy Bekkers suggereert dat mee te nemen in de eerder afgesproken aparte ‘benen op tafel’ sessie over adoptie (actiepunt BFS).

Instellingsbesluit: Het instellingsbesluit van het Forum wordt vernieuwd. In het instellingsbesluit worden de ledenlijst geactualiseerd, evenals de hoogte van de onkostenvergoeding voor niet (rijks)ambtenaren. Verder wordt naar aanleiding van een verzoek Eva den Dunnen-Heijblom(DG DOO) het bestuurlijke gewicht van het besluit en het mandaat van het Forum verstevigd.

Ter besluitvorming

a. Agenda

Akkoord met de voorliggende agenda. De agenda bevat documenten ter besluitvorming en ter bespreking, waarbij documenten ter kennisname (voortgangsnotitie) als aparte bijlage zijn meegestuurd en in principe niet inhoudelijk worden besproken op de forumvergaderingen.

b. Verslag en actiepunten Forum Standaardisatie 16 april 2025

Akkoord. Geen verdere opmerkingen.

2. Staatssecretaris, Tweede Kamer, MIDO, OBDO en Forum Standaardisatie

Ter besluitvorming

a. N.v.t.

Ter bespreking

b. NDS en overige politieke ontwikkelingen

  • NDS: Lindy van de Westelaken licht toe dat de NDS naar verwachting begin juli 2025 in de ministerraad zal worden behandeld en direct daarna wordt gepubliceerd. De NDS bestempelt open software, open data en open standaarden als het cruciale fundament van moderne IT binnen de overheid.

    Een belangrijk speerpunt is de Nederlandse soevereine overheidscloud, waarvoor de ambitie is om binnen drie jaar resultaten te boeken. De NDS introduceert versnellers die zullen worden geïntegreerd in bestaande structuren om de opbouw van parallelle systemen te voorkomen.

    Aanjaagteam: Voor elk NDS-speerpunt komt een aanjaagteam, waarbij Lindy van de Westelaken de interimprogrammamanager is voor het Cloud-speerpunt. Het Forum Standaardisatie zal ook deelnemen in het aanjaagteam "Burger en Ondernemer Centraal".

  • Toezicht en handhaven van standaarden: Een essentieel punt van discussie betreft de terughoudendheid van de NDS met betrekking tot het inrichten van toezicht en handhaving van standaarden, wat door Forumleden als een gemiste kans wordt gezien. Er is herhaaldelijk gepleit voor opname van portabiliteit en redundantie in de NDS, gezien het belang voor digitale autonomie en weerbaarheid, die nu als te 'technisch' worden beschouwd voor de strategie zelf.

    Michiel Steltman vraagt aandacht voor het ontbreken van invulling van "het hoe" in de NDS, de onduidelijke regie en het gebrek aan verwijzingen naar architectuur, wat leidt tot het risico dat standaarden als extra eisen worden ervaren in plaats van basisprincipes.

c. Terugblik OBDO 3 juni ’25

Ludwig Oberendorff (BF) deelt het volgende mee:

  • Aanvullend monitor-onderzoek Forum Standaardisatie (besluitvorming): Akkoord met de uitbreiding van de toekomstige monitor (2026) met andere kaders zoals informatiebeveiliging en privacy, om de adoptie van deze standaarden in aanbestedingen te volgen.
  • Verkorten van toetsingsprocedure voor versiewijzigingen van standaarden (hamerstuk): Aangenomen.
  • Betere gegevensuitwisseling in de bouwsector: NLCS-versiewijziging naar 5.0 (ter informatie): Het predicaat 'Uitstekend beheer' aan NLCS is bekrachtigd.

Verder: De voortgang op een actiepunt van het OBDO over een plan van aanpak met deadlines voor achterblijvers op IV-standaarden blijft teleurstellend, met slechts één partij die een deadline heeft genoemd.

Over de effectiviteit van het huidige instrumentarium (met name de inkoopverplichting) voor de adoptie van standaarden vraagt het forum zich af of er niet tevens harder moet worden ingezet op nieuwe instrumenten en methoden die verder gaan dan de inkoopverplichting, gezien de stagnatie in implementatie.

Dit punt is genoteerd voor verdere uitwerking en bespreking in een Forumvergadering, met de nadruk op hetdaadwerkelijk uitvoeren van eerder gemaakte afspraken in het OBDO als een "Maatregel 0". De noodzaak van een handelingsperspectief en implementatieondersteuning (mogelijk via Geonovum) is met klem herhaald, met de nadruk op de grotere rol die CIO's hierin moeten spelen.

3. Presentatie Cloud

Ter besluitvorming

  • Michael Stoelinga (BZK/DS) presenteert, samen met forumleden Guido Bayens en Anton Grootendorst, de vervolginzet van het Forum op het dossier Cloud.

    Cloud gaat de volgende, fundamentele fase van digitalisering vertegenwoordigt, in waarbij datacenters gedigitaliseerd en meetbaar worden op het internet. Dit is vergelijkbaar met eerdere digitaliseringsgolven, zoals belastingaangiftes.

    De aanpak van het Forum op Cloudvraagstukken is direct gekoppeld aan de urgentie vanuit de NDS (soevereine Cloud) en EU-wetgeving zoals de EU-Data Act en EUCS, die cruciaal zijn voor dataportabiliteit, interoperabiliteit en leveranciersonafhankelijkheid.

De vier kernacties die zijn gedefinieerd voor de vervolginzet zijn:

  1. Identificeren en onderhouden van een overzicht van open standaarden rondom cloud: Met een initiële focus op IaaS. Dit omvat onderzoek naar relevante (inter)nationale standaarden (o.a. EU Data Act, EUCS, GDPR) en monitoring van initiatieven bij JTC25, Govstack, Eurostack, ETSI, ISO, NEN. Het doel is expliciete aandacht te vragen voor het verkrijgen van de juiste informatie voor digitale weerbaarheidsverantwoordelijkheden en afhankelijkheden in de keten. Daarnaast moet het onderzoek opleveren wat de stand van zaken is rond de ontwikkeling van dataportabiliteitstandaarden. Wordt er bijvoorbeeld gewerkt aan een geharmoniseerde standaard, en hoe verloopt dat (ook qua Nederlandse input). Het onderzoek hiervoor start in juni 2025 en een eerste versie wordt eind 2025 verwacht.
  2. Kennisdeling en communityvorming over cloudstandaarden: Het bevorderen van gezamenlijke keuzes en praktijkinzicht. De Dag van de Interoperabiliteit op 14 oktober 2025 met het thema 'digitale autonomie' zal als platform dienen.
  3. Betrekken van leveranciers bij cloudvraagstukken voor adoptie van open standaarden: Door actieve samenwerking tussen markt en overheid, inclusief het versterken van de opdrachtgevende rol van de overheid door markt- en ICT-toetsen en pilotprojecten met beheerders. Er is een sterke behoefte aan coördinatie en regie van een brede, neutrale publiek-private samenwerking (PPS) om dominante commerciële belangen te voorkomen.
  4. In kaart brengen van leveranciersafhankelijkheid bij de overheid via metingen: Dit gebeurt structureel met internet.nl voor DNS, e-mail en web, om trends inzichtelijk te maken.

Het Forum besluit dat de huidige metingen, hoewel nuttig voor een algemeen beeld (bijv. veel Microsoft-gebruik), nog onvoldoende zijn om direct aan de Tweede Kamer te sturen omdat belangrijke nuances ontbreken (zoals achterliggende open source componenten of geplande migraties). Het Forum onderstreept de behoefte aan structurele tooling om kritische afhankelijkheden doorlopend in beeld te krijgen, vooral vanuit een weerbaarheidsperspectief (NIS2).

4. Open standaarden, lijsten

Ter besluitvorming

Het Forum gaat akkoord met:

  1. ACME (Automatic Certificate Management Environment) verplichten aan de overheid, voor een veiliger internet (Forumadvies)
  • Het Forum is akkoord met ACME te verplichten ('Pas toe of leg uit') voor publiek vertrouwde TLS-certificaten en aan te bevelen voor niet-publiek vertrouwde certificaten.
  1. NL-SBB verplichten aan de overheid, voor meer toegang en openbaarheid (Forumadvies).
  • Het Forum is akkoord met NL-SBB te verplichten ('Pas toe of leg uit') en Geonovum het predicaat ‘Uitstekend beheer’ toe te kennen voor deze achterstand.
  1. SBOM verplichten aan de overheid, voor betere gegevensuitwisseling (Intakeadvies).
  • Het Forum is akkoord met het advies om SBOM (CycloneDX en SPDX) vooralsnog niet in procedure te nemen voor plaatsing op de 'Pas toe of leg uit'-lijst.

De voornaamste reden is dat de EC in het kader van de Europese Cyber Resilience Act (CRA), mogelijk rond juni 2026 een SBOM-standaard zal voorschrijven. Het risico bestaat daarmee dat een nationale verplichting wordt ingehaald door een andere Europese standaard.

Het Forum wordt geadviseerd het EU-proces actief te monitoren en Nederlandse belangen hierin via NCSC, EZ en NEN in te brengen. Het belang van het gebruik van een SBOM wordt erkend.

Ter bespreking

N.v.t.

5. Open standaarden, adoptie

Ter besluitvorming

a. Monitor Open Standaarden 2025

Het Forum is akkoord met de voorgestelde duiding en maatregelen voor doorsturing naar het OBDO en naar de Tweede Kamer, met de Monitor Open Standaarden. 

Ruud Hogendoorn van ICTU presenteert de resultaten van de Monitor Open Standaarden 2025.
Voorgestelde Maatregelen – De Weg Vooruit: Het Forum adviseert een reeks maatregelen om de adoptie te stimuleren:

  • Controle vooraf van aanbestedingsdocumenten om een zwaarwegend advies te kunnen geven over verplichte standaarden vóór de aanschaf of ontwikkeling van ICT-diensten.
  • Actualisering van de Instructie Rijksdienst bij aanschaf ICT-diensten of -producten (uit 2007). Deze moet de werking van streefbeeldafspraken opnemen en de mogelijkheid bieden om "Leg uit"-argumenten achteraf te benoemen in het monitoronderzoek.
  • Onderzoek naar wettelijke verankering van 'Pas toe of leg uit'-standaarden via Algemene Maatregel van Bestuur (AMvB), om meer duidelijkheid en zekerheid te bieden aan overheden en marktpartijen.
  • Prioriteit geven aan achterblijvende standaarden zoals DNSSEC, SPF, DKIM, IPv6, DMARC, STARTTLS en DANE, inclusief implementatiehulp en gebruikmaking van de Wet Digitale Overheid.
  • Inventarisatie van nog uit te voeren maatregelen uit voorgaande jaren.

b. Meting Informatieveiligheidstandaarden voorjaar 2025

Het Forum is akkoord met de resultaten en aanbevelingen van deze meting en stemt in met de doorgifte van de rapportage aan het OBDO.

Benjamin Boersma (BFS) presenteert de resultaten van de meting.

De meting (peildatum 31 maart) toont een zichtbare verbetering bij e-mailstandaarden (DANE, IPv6), grotendeels dankzij Microsoft Online Exchange die ondersteuning hiervoor heeft aangezet. Dit effect is groter bij decentrale overheden door het hogere marktaandeel van Microsoft daar. Over het algemeen voldoet ongeveer 60% van de e- mailstandaarden en 64% van de websites aan de norm (43% voor strengere WDDO- eisen). Nieuwe NCC-TLS-richtlijnen uit mei 2025 moeten nog worden geïmplementeerd, terwijl zelfs aan die van 2021 nog niet volledig wordt voldaan.

Ter bespreking

c. Update sponsorschap en verspreiding IV-meting en Monitor open standaarden

Vanuit het Sponsorschap zijn de volgende ontwikkelingen gaande:

  • De voorzitter benadrukt het belang van ondersteuning bij de verspreiding van de monitor en de IV-meting binnen de achterbannen, en vraagt om zichtbaarheid van de sponsoractiviteiten. De lijst met sponsoractiviteiten wordt aangevuld met concrete acties.

6. Rondvraag

Michael Stoelinga neemt afscheid als voorzitter van de Architectuurraad.

De volgende vergadering zal plaatsvinden op 24 september bij NEN. Maud Damme deelt mee dat er een korte inleiding door NEN verzorgd wordt. Er zal nog worden gekeken naar specifieke thema's of naar suggesties om op in te zoomen, zoals het kijken in de 'keuken van Europese normalisatie' en het verschil tussen geharmoniseerde normen en standaarden.

Tevens werd vermeld dat geharmoniseerde standaarden nu gratis toegankelijk zijn via NEN Connect voor burgers en overheidspersoneel.

7. Sluiting

De voorzitter sluit de vergadering om 12.00 uur.

Actiepunten

Openstaande actiepunten

# Actiepunt Wie Perdatum Status Werkplan 2024 / 2025
180 Adoptie van standaarden (achterblijvers): Quickscan meerwaarde van – op inkoopverplichting – aanvullende instrumenten of methoden. Een separate BOT sessie over standaarden (waaronder implementatie  internationale standaarden) BFS

25 jun

2025

 Een komende vergadering N.v.t.
174 Schriftelijke review metadateren enkele aanbevolen standaarden als ‘gangbaar’ (bij publicatie met legenda). BFS

28 feb

2024

 Loopt 2.2.2
164 Suggesties voorinvulling vrije plaatsen Forum Standaardisatie

13 dec

2023

 Loopt 8
156 NIS2 i.r.t. ontwikkelingen rond Agentschap Enisa BFS

27 sept

2023

 Volgt 4
153 Verkenning naar (benodigde) standaard waarmee een organisatie kan verklaren qua ICT in control te zijn BFS/Michiel Steltman

14 juni

2023

 Loopt 3.26.1
150 In FAQ nadere duiding (inzoomen) verplichting voor linked data (web API’s), endpoints, websites die ogen als apps, en apps (laatste vallen er niet onder) BFS via BZK

14 juni

2023

 volgt 2

Afgeronde actiepunten

Afgeronde actiepunten worden de volgende keer verwijderd.

86 Nieuwe updatesover WDO in Forum BZK

21 april

2021

 Doorlopend als er nieuws te meldenis
121

Bereikbaarheid 112 i.r.t. afschakeling 2G en 3G bespreken met ETSI en hierover in volgende Forum-

vergadering terugkoppelen.

 EZK (Alisa Heaver)

8 juni

2022

 Volgt
124 Afstemmen met Theo Peters over vertegenwoordiging waterschappen in Architectuurraad Gerard Smits 28 septs 124
143 Nader bespreken ontwikkelingen EU Internet Standards Deployment Monitoring Website Sponsorgroep Internationaal met Forum 7 dec 2022 Volgt
168 Nadere toelichting HLF en/of MSP en/of Rolling Plan Rudi Bekkers 13 dec 2023 Een komende vergadering

Documentatie-type

vergaderstuk