Monitor Het open standaardenbeleid in 2012
versie 1.0 dd. 19 december 2013
Auteur
Jaap Korpel
Documentnr Versie
1.0 / definitief
Datum
19-12-2013
Omvang
85 pagina's
Wilhelmina van Pruisenweg 104 2595 AN Den Haag | | Postbus 84011 2508 AA Den Haag |T| 070 888 77 77 |F| 070 888 78 88 |E|
[email protected] |W| www.ictu.nl IBI Rabobank nr. 32.31.64.641 I KVK 27198742
Documentbeheer Documenthistorie Datum
Versie
Auteur
Opmerking
7 okt 2013
v0.2
Jaap Korpel
concept onderzoeks-hoofdstukken
9 okt 2013
v0.3
Jaap Korpel
inclusief management-samenvatting
14 okt 2013
v0.4
Jaap Korpel
commentaar BFS / EZ verwerkt
16 okt 2013
v0.5
Jaap Korpel
aangevuld en commentaar verwerkt
30 okt 2013
v0.6
Jaap Korpel
eerste reactie Leo Geubbels verwerkt
12 nov 2013
v0.7
Jaap Korpel
tweede reeks reacties verwerkt
13 nov 2013
v0.8
Jaap Korpel
laatste reacties verwerkt
13 nov 2013
V0.81
BFS
Kleine aanpassing in par 2.2
18 dec 2013
v1.0
Jaap Korpel
definitieve cijfers van onderzoek van aanbestedingen verwerkt
19 dec 2013
v1.01
BFS
Kleine aanpassing in par 6.2
Wilhelmina van Pruisenweg 104 2595 AN Den Haag | | Postbus 84011 2508 AA Den Haag |T| 070 888 77 77 |F| 070 888 78 88 |E|
[email protected] |W| www.ictu.nl
Inhoudsopgave 1.
Managementsamenvatting......................................................................................5 1.1. Het open standaardenbeleid...............................................................................5 1.2. De monitor Open standaardenbeleid..................................................................6 1.3. Gebruiksgegevens: toepassing van twaalf open standaarden............................6 1.4. Open standaarden toepassen via generieke I-voorzieningen.............................8 1.4.1. Generieke I-voorzieningen en shared services rijksoverheid...........................8 1.4.2. Open standaarden en NUP-bouwstenen.........................................................9 1.5. Zelfrapportage: invoering en borging van het open standaardenbeleid............11 1.6. Open standaarden bij feitelijke aanbestedingen...............................................12
2.
Inleiding en beleidscontext...................................................................................15 2.1. Beleid open standaarden..................................................................................15 2.2. Monitor Open standaardenbeleid......................................................................16 2.3. Bronnen van de gepresenteerde gegevens......................................................17
3.
Gebruiksgegevens van een aantal open standaarden.......................................19 3.1. Aquo-standaard (uitwisseling gegevens waterbeheer).....................................20 3.2. Digikoppeling versie 1.0 (berichtenverkeer)......................................................22 3.3. DKIM versie RFC 6376 (email-authenticatie)....................................................23 3.4. DNSSEC (beveiliging domeinnamen)...............................................................25 3.5. IPv6 en IPv4 (internetnummers).......................................................................26 3.6. ODF en PDF (documentstandaarden)..............................................................28 3.7. SAML versie: 2.0 (uitwisseling identiteitsgegevens).........................................30 3.8. SIKB0101 versie 10 (gegevens bodembeheer)................................................31 3.9. Webrichtlijnen (toegankelijkheid websites).......................................................32 3.10. Overzicht onderzochte open standaarden......................................................33
4.
Toepassing open standaarden via generieke I-voorzieningen..........................35 4.1. Rijksoverheid: via generieke I-voorzieningen en shared services.....................35 4.1.1. Digitale werkomgeving Rijksdienst (DWR).....................................................36 4.1.2. Rijksportaal.................................................................................................... 37 4.1.3. Rijksoverheid.nl.............................................................................................. 38 4.1.4. Doc-Direkt...................................................................................................... 39 4.1.5. P-Direkt.......................................................................................................... 40 4.1.6. ON2013......................................................................................................... 41 4.1.7. Rijkspas......................................................................................................... 42 4.1.8. OT2010.......................................................................................................... 43 4.1.9. Overheid.nl.................................................................................................... 44 4.1.10. Algemene conclusies...................................................................................45 4.1.11. Overzicht: toegepaste standaarden in I-voorzieningen en shared services. 46 4.2. Rijk en mede-overheden: via NUP-bouwstenen...............................................49 4.2.1. Quickscan toepassing open standaarden in NUP-bouwstenen.....................49 4.2.2. Toepassing van open standaarden in NUP-bouwstenen...............................49 4.2.3. Gebruik van NUP-bouwstenen en toepassing open standaarden..................51
Pagina Datum
3/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
5.
Invoering open standaardenbeleid ('pas toe of leg uit').....................................54 5.1. Is het 'pas toe of leg uit'-principe ingevoerd?....................................................54 5.2. Borging van 'pas toe of leg uit' binnen de organisatie.......................................56 5.3. Toepassing open standaarden bij aanbestedingen - naar eigen zeggen..........57 5.4. Welke open standaarden worden toegepast - naar eigen zeggen....................59
6.
Open standaarden bij aanbestedingen ('pas toe' en 'leg uit')............................63 6.1. Onderzoek van feitelijke aanbestedingen.........................................................63 6.2. 'Pas toe of leg uit' bij feitelijke aanbestedingen in 2012....................................65 6.3. Welke open standaarden waren relevant bij feitelijke aanbestedingen.............69
Bijlage 1. 'Pas toe of leg uit' in het kort...............................................................................72 Bijlage 2. Quickscan rijksbrede I-voorzieningen................................................................73 Bijlage 3. Quickscan NUP-bouwstenen (2012)....................................................................75 Bijlage 4. Mini-survey: zelfrapportage open standaardenbeleid.......................................81 Bijlage 5. Onderzoek 'pas toe of leg uit' feitelijke aanbestedingen...................................83
Pagina Datum
4/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
1. Managementsamenvatting In opdracht van het Bureau Forum Standaardisatie en het ministerie van Economische Zaken voert ICTU jaarlijks de Monitor Open standaardenbeleid uit. Voor u ligt de rapportage die betrekking heeft op de stand van zaken in het jaar 2012 (invoering van het 'pas toe of leg uit'-beleid en de toepassing daarvan bij feitelijke aanbestedingen) en in het jaar 2013 (gebruiksgegevens van open standaarden en toepassing open standaarden via generieke voorzieningen). 1.1. Het open standaardenbeleid Het open standaardenbeleid is gericht op het vergroten van de interoperabiliteit en leveranciersonafhankelijkheid voor de publieke sector, waardoor een kwalitatief hoogwaardige en tegelijk kostenefficiënte informatie-uitwisseling mogelijk wordt gemaakt. Voor de Nederlandse overheid zijn open standaarden de norm: voor de gehele (semi-)publieke sector geldt sinds 2009 een 'pas toe of leg uit'-regime. Meer informatie over de beleidscontext is te vinden in hoofdstuk 2. Gangbare open standaarden Er zijn veel open standaarden en een groot deel daarvan wordt ook in de publieke sector breed toegepast. Het open standaardenbeleid gaat er van uit, dat overheden en andere organisaties in de publieke sector uit zichzelf in alle ICT-producten/diensten de 'gangbare' open standaarden toepassen die daarvoor relevant zijn. Het Bureau Forum Standaardisatie stimuleert dit onder andere door het publiceren1 van de 'lijst met gangbare open standaarden'. De toepassing van deze 'gangbare' open standaarden wordt voor deze monitor niet onderzocht. Open standaarden voor 'pas toe of leg uit' Voor een aantal open standaarden is een extra stimulans gerechtvaardigd: open standaarden die sterk bijdragen aan het vergroten van de interoperabiliteit en leveranciers-onafhankelijkheid voor de publieke sector en waarvoor breed draagvlak bestaat, maar die op dit moment nog niet breed geadopteerd zijn. Deze open standaarden worden, na een zorgvuldige toetsing, door het College en Forum Standaardisatie op de lijst voor 'pas toe of leg uit' geplaatst. Op deze open standaarden is het 'pas toe of leg uit'-regime van toepassing. 'Pas toe' In juni 2012 stonden er 27 open standaarden op de lijst voor 'pas toe of leg uit', elk met een eigen functioneel toepassingsgebied en organisatorisch werkingsgebied. Overheden en andere organisaties in de publieke sector moeten deze open standaarden, voorzover ze relevant zijn, toepassen bij het aanbesteden, inkopen of ontwikkelen van ICT-producten of -diensten van € 50.000 of meer. Of een open standaard voor een bepaalde aanbesteding relevant is, hangt (alleen) af van het toepassingsgebied en het werkingsgebied. Bij één aanbesteding kunnen één of meer open standaarden relevant zijn. Dan moet bij de aanbesteding expliciet om het toepassen van (elk van) die open standaard(en) worden gevraagd.
1
Zie: http://www.forumstandaardisatie.nl/open-standaarden/lijsten-met-open-standaarden.
Pagina Datum
5/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
'Leg uit' Alleen in uitzonderingsgevallen ("om redenen van bijzonder gewicht") mag hiervan afgeweken worden, en dan moet de afwijking gemotiveerd vastgelegd worden in de administratie en bovendien in het jaarverslag expliciet verantwoord worden. Het 'pas toe of leg uit'-regime is een middel waarmee geleidelijk, namelijk op het moment dat een onderdeel aan de informatiehuishouding wordt toegevoegd of wordt vervangen, over wordt gegaan op de relevante open standaarden. Het doel van het open standaardenbeleid is breder: het gaat om de interoperabiliteit in de gehele informatie-infrastructuur, door het daadwerkelijk gebruik (adoptie) van open standaarden. Naast de naleving van 'pas toe of leg uit' is voor deze monitor dus vooral de adoptie van open standaarden van belang. 1.2. De monitor Open standaardenbeleid De Monitor Open standaardenbeleid brengt jaarlijks voor de ministeries, uitvoeringsorganisaties van de Manifest-groep, gemeenten, provincies en waterschappen in kaart of het ‘pas toe of leg uit’-principe is ingevoerd en wordt nageleefd en in hoeverre de open standaarden van de lijst door overheidsorganisaties worden toegepast. Dit jaar zijn daarvoor vijf deelonderzoeken uitgevoerd, in hoofdstuk 3 tot en met 6 worden de uitkomsten van deze onderzoeken gepresenteerd. In deze managementsamenvatting worden de voornaamste bevindingen gepresenteerd. Het gaat achtereenvolgens om: • gebruiksgegevens van twaalf open standaarden waarvoor het voldoen aan de standaard kan worden vastgesteld met een webtool, of op basis van een openbaar register, of op basis van aansluitgegevens van de betreffende beheerorganisatie (gemeten in voorjaar en najaar 2013, zie hoofdstuk 3); • het toepassen van open standaarden via het gebruiken van generieke I-voorzieningen en shared services van de rijksoverheid (gemeten in 2013, zie paragraaf 4.1) • open standaarden toepassen via het gebruik van de NUP-bouwstenen (gegevens over het gebruik in 2013, zie paragraaf 4.2); • zelfrapportage van ministeries, grote uitvoeringsorganisaties, gemeenten, provincies en waterschappen over de invoering van het open standaardenbeleid (stand van zaken in 2012, zie hoofdstuk 5); • onderzoek naar de mate waarin om de relevante open standaarden is gevraagd bij feitelijke aanbestedingen door de rijksoverheid (periode januari-september 2012) en door de medeoverheden (periode januari-juni 2012) (zie hoofdstuk 6). 1.3. Gebruiksgegevens: toepassing van twaalf open standaarden Het uiteindelijk doel van het open standaardenbeleid is brede adoptie van de open standaarden van de lijst voor 'pas toe of leg uit' - daar waar deze van toepassing zijn - door alle overheden en andere organisaties in de publieke sector. Het is daarom interessant om te weten in welke mate deze open standaarden daadwerkelijk worden gebruikt. Dergelijke gebruiksgegevens zijn niet in alle gevallen eenvoudig te verzamelen. Voor twaalf open standaarden van de lijst is dat wèl mogelijk, op één van de volgende manieren:
Pagina Datum
6/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
• • • •
door met behulp van een webtool na te gaan in hoeverre domeinnamen van overheden aan de standaard voldoen: DKIM, DNSSEC en IPv6; door (met Google) na te gaan hoeveel ODF- en PDF-documenten2 op websites van overheden te vinden zijn; door gebruik te maken van een openbaar register: op de site van Stichting Waarmerk drempelvrij.nl staat een overzicht van alle websites die voldoen aan de Webrichtlijnen; door gebruiks- of aansluit-gegevens op te vragen bij de betreffende beheerorganisaties: Aquo, Digikoppeling, SAML en SIKB.
De gebruiksgegevens zijn verzameld in het voorjaar van 2013 en opnieuw in het najaar van 2013, met in grote lijnen de volgende uitkomsten. De (bodembeheer)standaard SIKB wordt volgens de beheerorganisatie door bijna alle relevante overheden toegepast. Het aantal aansluitingen Digikoppeling is groeiende, met name het aantal aansluitingen van gemeenten is gestegen en daardoor is nu 22% van de overheden aangesloten. Enkele tientallen websites voldoen aan Webrichtlijnen v1, en de eerste certificaten voor de nieuwe Webrichtlijnen versie 2 zijn verstrekt. Het gebruik van DNSSEC en van SAML is (nog) beperkt, maar duidelijk groeiend. De Aquo-standaard is breed bekend, maar de echte implementatie en het gebruik in de praktijk lijkt nog beperkt te zijn. De implementatie van IPv6 ligt bij overheden nog op een zeer laag niveau en verloopt traag. DKIM tenslotte is (medio 2013) nog bij geen enkele overheid geïmplementeerd. Bij wijze van 'proof of concept' is voor een beperkt aantal websites nagegaan hoeveel documenten daarop te vinden zijn in PDF-, ODF-en DOC-formaat. Het overgrote deel van de documenten blijkt in PDF-format, maar het is niet mogelijk om na te gaan hoeveel daarvan één van de drie PDF-versies van de lijst (PDF/A-1, PDF/A-2 en PDF1.7) betreffen. Tabel M1: Gebruiksgegevens van enkele open standaarden standaard
op lijst sinds
gebruik door overheden (%) totaal
ontwikkeling in gebruik
w.v. Rijk
Aquo-standaard
nov 2010 echte implementatie is (nog) beperkt
onbekend
Digikoppeling
mei 2009 juni 2013
22 %
3%
aantal aansluitingen gemeenten is gestegen
DKIM
juni 2012
0%
0%
n.v.t.
DNSSEC
juni 2012
10%
6%
duidelijke groei zichtbaar
IPv6 en IPv4
nov 2010
2%
5%
implementatie verloopt traag
ODF 1.2
PDF 1.7
juni 2012 geen overheidsbrede cijfers nov 2008 (enkele websites gechecked: daarop onbekend juni 2012 overwegend PDF-documenten, maar nov 2009 ook meer .doc dan .odt-documenten)
SAML (versie 2.0)
mei 2009 gebruik is (nog) beperkt
duidelijke groei zichtbaar
SIKB0101 (v. 10)
juni 2012 bijna 100% van (relevante) gebruikers
n.v.t.
Webrichtlijnen
mrt 2008 gedeeltelijk: enkele tientallen websites juni 2011 voldoen aan v1 / 3-ster
lijkt af te nemen (v1), eerste certificaten v2 behaald
PDF/A-1 PDF/A-2
2
Het is niet mogelijk om daarbij onderscheid te maken tussen PDF/A-1, PDF/A-2, PDF1.7 en andere versies.
Pagina Datum
7/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
1.4. Open standaarden toepassen via generieke I-voorzieningen Het toepassen van open standaarden is de verantwoordelijkheid van de afzonderlijke overheidsorganisaties. Maar voor een deel van hun informatiesystemen maken overheden gebruik van (rijks)overheidsbrede generieke I-voorzieningen en shared services, w.o de NUP-bouwstenen. Als daarin de relevante open standaarden zijn toegepast, leidt dat tot breder gebruik van open standaarden. 1.4.1. Generieke I-voorzieningen en shared services rijksoverheid Als de rijksoverheid gebruik maakt van rijksbrede I-voorzieningen of shared services die voldoen aan de relevante open standaarden, dan voldoet ze daarmee voor een deel van haar informatiehuishouding aan deze standaarden3. Daarom is dit jaar onderzocht in hoeverre de volgende negen rijksbrede I-voorzieningen en shared services voldoen aan de relevante open standaarden: Digitale Werkomgeving Rijksdienst (DWR), Rijksportaal, website Rijksoverheid.nl, Doc-Direkt, PDirekt, ON2013, Rijkspas, OT2010 en website Overheid.nl (deze website omvat naast informatie van de rijksoverheid ook informatie van andere overheden). Voor de negen onderzochte rijksbrede I-voorzieningen en shared services blijkt een flink aantal open standaarden relevant, gemiddeld bijna 6 open standaarden per I-voorziening. Van de 27 standaarden op de lijst voor 'pas toe of leg uit' zijn er 16 relevant voor één of meer generieke I-voorzieningen of shared services. In de meeste gevallen voldoen de dit jaar onderzochte I-voorzieningen aan (de meeste) daarvoor relevante open standaarden: aan 57% wordt voldaan, 32% voldoet deels of dit is gepland en in slechts 11% van de gevallen wordt niet voldaan aan een relevante open standaard. Van de onderzochte rijksbrede I-voorzieningen of shared services worden de meeste al breed gebruikt: Rijksoverheid.nl en Rijksportaal door de gehele rijksoverheid en Overheid.nl door alle overheden, P-Direct kent 120.000 gebruikers, er zijn 70.000 actieve Rijkspassen in omloop en DWR kent momenteel ongeveer 25.000 gebruikers.
3
De betreffende overheidsorganisatie hoeft zich daarvan overigens niet altijd bewust te zijn, dit is één van de verklaringen voor verschillen tussen deze gegevens en de uitkomsten o.b.v. zelf-rapportage (paragraaf 1.5).
Pagina Datum
8/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Doc-Direkt
P-Direct
Rijk
346
120.000
10
9
13
6
6
NEN-ISO\IEC 27001:2005nl
*)
*)
*)
*)
*)
NEN-ISO\IEC 27002:2007nl
*)
*)
*)
*)
*)
gepland voldoet niet
gebruik aantal relevante standaarden
OT2010
Rijksoverheid.nl
Rijk
voldoet deels
Rijkspas
Rijksportaal
25.000
voldoet
ON2013
DWR
n.v.t.
alle overheden
70.000
3
3
Overheid.nl
Tabel M2: Open standaarden toegepast in generieke I-voorzieningen en shared services
2
11
Webrichtlijnen
PNG JPEG (v)
PDF/A-1 ebMS/WUS/Digikoppeling SAML
(v)
PDF 1.7
(v)
IPv6 en IPv4
(v)
(v)
SEPA OWMS (v)
DNSSEC (v)
DKIM
(v)
ODF 1.2 (v)
PDF/A-2
(v)
*) Waarschijnlijk relevant, maar niet onderzocht of voorziening hieraan voldoet. (v) Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord.
Het onderzoek was alleen gericht op de beheerorganisaties van de I-voorzieningen en daarmee op de vraag of de I-voorziening zodanig is ingericht dat aan de relevante open standaarden voldaan kan worden. Dit is een noodzakelijke, maar niet altijd een voldoende voorwaarde. Vervolgens is het namelijk in een aantal gevallen afhankelijk van de afnemers, zoals de ministeries, of de standaard feitelijk geïmplementeerd en door gebruikers toegepast wordt. DWR ondersteunt bijvoorbeeld DNSSEC, maar de afnemende overheidsorganisatie besluit over het al dan niet gebruiken van DNSSEC. En Rijksoverheid.nl kan alleen (blijven) voldoen aan de webrichtlijnen als alle overheidsorganisaties hun content conform de richtlijnen aanleveren. 1.4.2. Open standaarden en NUP-bouwstenen Door na te gaan in hoeverre de NUP-bouwstenen voldoen aan de relevante open standaarden en vervolgens in kaart te brengen hoe breed de bouwstenen door overheden gebruikt worden, ontstaat een beeld van de toepassing van open standaarden - voor een (beperkt) deel van de informatiehuishouding binnen en (voor een belangrijk deel) tussen overheidsorganisaties. Vorig jaar is daarom onderzocht in hoeverre de NUP-bouwstenen (op dat moment) voldeden aan de relevante open standaarden. Van de (toen nog) 24 open standaarden van de lijst bleken er 14 relevant
Pagina Datum
9/85
Titel
19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
voor één of meer NUP-bouwstenen. De meeste NUP-bouwstenen bleken in veel gevallen te voldoen aan de relevante open standaarden, met als voornaamste uitzondering (op dat moment) IPv6/IPv4. Tabel M3: Gebruik van de NUP-bouwstenen (waarvoor open standaarden relevant zijn)
Basisregistraties (*)
Digikoppeling
Digilevering
Digimelding
aantal relevante standaarden
eHerkenning
voldoet niet
Antwoord voor bedrijven (2012)
gepland
DigiD Machtigen
voldoet
DigiD
n.v.t.
BSN
< 25% Toepassing van OSn:
Antwoord 14+ netnummer
25-50%
MijnOverheid
50-75%
Samenwerkende Catalogi
≥ 75%
Webrichtlijnen (cijfers 2012)
Gebruik van bouwsteen:
1
1
9
0
2
4
4
5
6
3
1
3
1
Gebruik
97%
12%
50%
96%
12%
97%
(Gebruik vorig jaar)
97 %
12 % 46 %
96 %
3%
94 % 48 %
Webrichtlijnen NEN-ISO\IEC 27001:2005nl NEN-ISO\IEC 27002:2007nl ODF PNG PDF/A StUF ebMS/WUS/Digikoppeling SAML WSRP PDF 1.7 IPv6 en IPv4 Geo−standaarden OWMS
71%
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a) Waarschijnlijk relevant, maar niet onderzocht of voorziening hieraan voldoet. (*) Basisregistraties: gemiddelde voor GBA, BAG, BRK, WOZ en BRV. Omdat de quick scan van de compliance van NUP-bouwstenen in 2012 plaatsvond, zijn standaarden die na 2011 op de lijst voor 'pas-toe-of-leg-uit' zijn geplaatst niet in dit overzicht opgenomen.
Deze informatie combineren we dit jaar met de actuele gegevens over het gebruik van deze NUPbouwstenen. Niet alle NUP-bouwstenen zijn al in gebruik en over enkele bouwstenen die wel in gebruik zijn waren geen gebruiksgegevens beschikbaar. Van zeven NUP-bouwstenen is bekend in hoeverre deze (2013) gebruikt worden: Webrichtlijnen, MijnOverheid, Antwoord 14+ netnummer, Antwoord voor bedrijven, eHerkenning, enkele Basisregistraties en Digikoppeling. Vier NUP-bouwstenen worden breed toegepast: de Webrichtlijnen, Antwoord voor Bedrijven, de vijf Basisregistraties die al in gebruik zijn (GBA, BAG, BRK, WOZ en BRV) en Digikoppeling. Daardoor worden de vijf daarin toegepaste open standaarden ook door veel overheden gebruikt (binnen het kader van de betreffende NUP-bouwstenen):
Pagina Datum
Titel
10/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
PDF/A (Antwoord voor Bedrijven), • StUF (Basisregistraties), • Geo-standaarden (Basisregistraties), • Digikoppeling (Antwoord voor Bedrijven, Basisregistraties en Digikoppeling), en • Webrichtlijnen (toepassing Webrichtlijnen en door Antwoord voor Bedrijven). Bovendien zouden IPv6/IPv4 en OWMS ook door veel overheden gebruikt worden, als deze standaarden wèl door Antwoord voor Bedrijven toegepast zouden worden. •
Het gebruik van Digikoppeling is flink gestegen, van 48% tot 71%. Ook eHerkenning wordt nu breder gebruikt dan een jaar geleden (gestegen van 3% naar 12%), waarmee de standaarden die daarin worden toegepast (Webrichtlijnen, NEN-27001, NEN-27002, SAML en PDF 1.7) breder worden toegepast. 1.5. Zelfrapportage: invoering en borging van het open standaardenbeleid In het kader van de iNUP- en Operatie NUP-monitoring wordt één keer per jaar een mini-survey onder alle overheden gehouden (ministeries, uitvoeringsorganisaties van de Manifestgroep 4, gemeenten, provincies en waterschappen). Dit mini-survey omvat vijf vragen, waarvan vier over het open standaardenbeleid. In deze monitor-rapportage zijn de uitkomsten opgenomen van het mini-survey waarvoor de gegevensverzameling begin 2013 plaatsvond. De antwoorden hebben dus betrekking op het jaar 2012. De respons was dit keer redelijk (34%), maar neemt sinds 2010 wel af. De respons was het laagst onder de ministeries en de uitvoeringsorganisaties (beide 36%) en onder de gemeenten (33%). Dit betekent ook, dat de samenstelling van de responsgroep van jaar tot jaar enigszins verschilt (71% van de respondenten van dit jaar heeft de vragen ook vorig jaar beantwoord). Het percentage overheidsorganisaties dat het 'pas toe of leg uit'-principe ingevoerd heeft is gestegen van 54% naar 59% en het aantal overheden dat een besluit in voorbereiding heeft daalde van 20% naar 9%. Net als vorig jaar is ongeveer een kwart van de overheden hier in het geheel nog niet mee bezig. Vooral de gemeenten blijven nog achter (55% heeft het 'pas toe of leg uit'-principe ingevoerd), maar dat is wel een toename vergeleken met 2012 (46%). Bij 10% is een besluit daarover in voorbereiding (in 2012: 24%). Van de gemeenten groter dan 50.000 inwoners heeft naar eigen zeggen 84% het 'pas toe of leg uit'-principe ingevoerd en bij 4% is een besluit daarover in voorbereiding, samen is dat 88% (iets meer dan in 2011: 83%). Deze cijfers worden mogelijk beïnvloed door de veranderende samenstelling van de responsgroep. Kijken we alleen naar de 87 overheden die zowel in 2012 als in 2011 als in 2010 de vragenlijst hebben beantwoord, dan is het beeld positiever: het totaal-percentage dat het 'pas toe of leg uit'-principe ingevoerd heeft is gestaag toegenomen van 56% in 2010, via 60% in 2011 tot 64% in 2012. In diezelfde periode daalde het aantal overheden dat een besluit in voorbereiding heeft van 17% (in 2010) naar 13 % (in 2011 en 2012).
4
Benaderd zijn: Belastingdienst, BKWI, CBS, CVZ, DUO, IND, Kadaster, RDW, SVB, UWV en KvK.
Pagina Datum
Titel
11/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Figuur M4: Borging van het openstandaardenbeleid binnen de organisatie
gebruik OS is opgenomen in informatiserings- of automatiseringsplan gebruik OS is opgenomen in enterprise-architectuur inkoop-medewerkers zijn goed op de hoogte en weten hoe toe te passen procedure 'pas toe of leg uit' is operationeel, en 'leg uit' wordt bijgehouden gebruik OS wordt als eis gesteld bij budget-allocatie voor ICT-projecten
54% 50% 0%
31% 31% 0%
27% 35% 0%
2012 21%
2011
19%
2010
0%
16% 15% 0%
30%
is op dit moment nog niet in de praktijk geborgd
28% 32%
0
0,25
0,5
0,75
1
Alleen gemeenten (34%, voornamelijk kleinere gemeenten) en waterschappen (21%) hebben het gebruik van open standaarden nog niet binnen de eigen organisatie geborgd. De andere overheidsorganisaties hebben het gebruik van open standaarden, meestal op meer dan één manier, binnen de organisatie geborgd. De meest voorkomende manier is het opnemen in het informatiserings- of automatiseringsplan (54%). Daarnaast hebben ook veel organisaties dit opgenomen in hun enterprise-architectuur (31%) en hebben de inkoop-medewerkers hierover goed geïnformeerd (27%). Bij 21% van de organisaties is een procedure voor 'pas toe of leg uit' bij ICTinkopen en -aanbestedingen operationeel. Tenslotte wordt bij 16% van de organisaties het gebruik van open standaarden als eis gesteld bij budget-allocatie voor ICT-projecten. In hoeverre passen overheden bij aanbestedingen de relevante standaarden van de lijst toe? Dit jaar zegt 28% van de overheden (minder dan in 2010 en 2011) alle relevante standaarden van de lijst toe te passen, en 58% (meer dan in 2010 en 2011) zegt een deel van de relevante open standaarden toe te passen. Het percentage overheden dat zegt geen open standaarden van de lijst toe te passen is dit jaar verder afgenomen tot 14%. Tenslotte is in de mini-survey gevraagd welke open standaarden van de lijst voor ‘pas toe of leg uit’ bij aanbestedingen en aanschaf van ICT-producten en –diensten in 2012 werden toegepast, per standaard kon daarop met 'Ja' of 'Nee' worden geantwoord. Deze zelf-rapportage levert veel hogere percentages per open standaard op dan gevonden zijn in het onderzoek naar feitelijke aanbestedingen (zie paragraaf 1.6). Van alle respondenten zegt bijvoorbeeld meer dan 60% dat zij Webrichtlijnen, PDF/1-A en StUF bij aanbestedingen uitvragen. 1.6. Open standaarden bij feitelijke aanbestedingen Het 'pas toe of leg uit'-principe is een centraal beleidsinstrument binnen het open standaarden-beleid: overheden moeten bij ICT-aanbestedingen van € 50.000 of meer de relevante open standaarden van
Pagina Datum
Titel
12/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
de lijst toepassen, of verantwoording afleggen in hun jaarverslag. Dat blijkt in de praktijk minder eenvoudig dan het op het eerste gezicht lijkt. Veel (vooral kleine) overheden doen maar één keer per jaar of zelfs nog minder vaak (bij gemeenten bijvoorbeeld eens in de zes à zeven jaar) een aanbesteding waarvoor één of meer open standaarden relevant zijn. En òf een open standaard voor die aanbesteding relevant is spreekt niet vanzelf: dat hangt (per standaard) af van het toepassingsgebied en organisatorisch werkgebied. Die informatie is voor elk van de (op dit moment oktober 2013) 30 standaarden van de lijst voor 'pas toe of leg uit' te vinden op de website van het Bureau Standaardisatie. 'Pas toe' bij feitelijke aanbestedingen Voor de monitor is dit jaar, net als vorig jaar, een groot aantal aanbestedingen onderzocht. Dit keer bleken voor 21 aanbestedingen van de rijksoverheid (inclusief uitvoeringsorganisaties) uit de periode januari-september 2012 en 43 aanbestedingen van mede-overheden uit de periode januari-juni 2012 open standaarden relevant te zijn, in totaal 64 aanbestedingen. Bij deze 64 aanbestedingen waren 19 standaarden één of meer keren relevant. Net als in 2011 was ook dit jaar vooral IPv6/IPv4 (53%) voor veel aanbestedingen relevant, gevolgd door PDF/A-1 en PDF1.7 (33%)5 en ODF (28%). Bij de beoordeling zijn dit jaar (i.t.t. vorig jaar) de Webrichtlijnen alleen relevant geacht voor externe webapplicaties, en niet (meer) voor interne webapplicaties. Mede daardoor waren de Webrichtlijnen dit jaar relevant voor 19% van de aanbestedingen (vorig jaar: 44%). De (beveiligings)standaarden NEN-ISO\IEC 27001:2005nl en NEN-ISO\IEC 27002:2007nl waren voor respectievelijk 31% en 23% van de aanbestedingen relevant, en ook JPEG (20%) en PNG (17%) waren redelijk vaak relevant. De resterende 10 standaarden waren slechts voor enkele aanbestedingen relevant: StUF, Digikoppeling, SAML, XBRL, OAI-PMH, de Geo-standaarden, SEPA, STOSAG, DNSSEC en DKIM. De meeste standaarden bleken overigens vaker relevant voor aanbestedingen door mede-overheden dan voor aanbestedingen door de ministeries en uitvoeringsorganisaties. Voor de feitelijke adoptie is uiteraard niet alleen van belang hoe vaak de standaard relevant bleek te zijn, maar vooral hoe vaak er daadwerkelijk om is gevraagd. Net als vorig jaar blijkt er in aanbestedingen nog weinig om de relevante standaarden gevraagd te worden: in totaal was 191 keer een open standaard relevant, maar werd er 57 keer om die open standaard gevraagd. Zes aanbestedingen voldeden helemaal aan het open standaardenbeleid: om alle relevante open standaarden werd daadwerkelijk gevraagd. Dit zijn twee aanbestedingen door de rijksoverheid (Ministerie van Algemene Zaken en Ministerie van Veiligheid en Justitie) en vier van mede-overheden (Bureau Inkoop en Aanbestedingen Zuidoost-Brabant, Gemeente Dordrecht, Gemeente Steenwijkerland en Provincie Gelderland). Bij deze zes aanbestedingen werd in totaal 22 keer om een standaard van de lijst gevraagd. Daarnaast voldeden 20 aanbestedingen gedeeltelijk aan het open standaardenbeleid: een deel van de relevante open standaarden werd gevraagd. In totaal was bij deze 20 aanbestedingen 81 keer een open standaard relevant en werd 35 keer om een open standaard gevraagd (43%). Niet alle relevante open standaarden zijn voor een aanbesteding (even) cruciaal. Van de in totaal 49 keer dat een relevante standaard ook cruciaal was werden daar 32 keer om gevraagd (65%). 5
Overal waar PDF/A relevant was, is steeds ook PDF1.7 relevant verondersteld.
Pagina Datum
Titel
13/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Onderverdeeld naar de mate waarin de 64 onderzochte aanbestedingen voldoen aan het open standaardenbeleid (in acht categorieën) is het beeld alsvolgt: • er is om alle relevante open standaarden gevraagd (9%), • er is om een deel van de relevante open standaarden gevraagd (31%), onderverdeeld in: – er is om de cruciale open standaarden gevraagd (20%), – er is om open standaarden gevraagd, maar om één of meer cruciale niet (11%), • er zijn geen relevante open standaarden gevraagd (59%), onder te verdelen in: – er wordt alleen verwezen naar architectuur-kaders (11%), – er wordt in algemene zin aandacht besteed aan open standaardenbeleid (3%), – er is helemaal geen aandacht voor het open standaardenbeleid (44%), – de aanbesteding is strijdig met het open standaardenbeleid (2%). De mede-overheden scoorden iets beter dan de rijksoverheid: bij 9% van de aanbestedingen (Rijk: 10%) werd om alle relevante standaarden gevraagd en bij 33% (Rijk: 27%) om een deel. Vergeleken met vorig jaar is de mate waarin de onderzochte aanbestedingen voldoen aan het open standaardenbeleid iets teruggelopen: toen werd in 12% van de aanbestedingen om alle relevante open standaarden gevraagd, bij 31% werd om een deel van de open standaarden gevraagd en bij 58% werd om geen enkele relevante open standaard gevraagd. Als we de onderzochte aanbestedingen beschouwen als een steekproef die een schatting moet opleveren voor alle aanbestedingen in het gehele jaar 2012, dan is er sprake van een nauwkeurigheidsmarge van ongeveer (plus of min) 7%. De veranderingen ten opzichte van 2011 vallen binnen die nauwkeurigheidsmarge en kunnen dus op toeval berusten. 'Leg uit' in jaarverslagen Bij 6 van de 64 onderzochte aanbestedingen is om alle relevante standaarden gevraagd en bij 13 andere is wèl om de (voor die aanbesteding) cruciale relevante open standaarden gevraagd (en is alleen niet gevraagd om enkele minder cruciale open standaarden). Voor de resterende 45 aanbestedingen (door 36 overheidsorganisaties) was 'Leg uit' zonder twijfel vereist, omdat hierbij niet gevraagd werd om één of meer cruciale open standaarden (7 aanbestedingen) of om geen enkele relevante standaard gevraagd is (38 aanbestedingen). Van 'Leg uit' was in de jaarverslagen van deze 36 overheidsorganisaties echter geen sprake: in geen van de jaarverslagen wordt een concrete aanbesteding genoemd waarbij van de lijst voor 'pas toe of leg uit' werd afgeweken. De mate waarin 'Leg uit' heeft plaatsgevonden is daarmee in 2012 gelijk aan 2011. Bijna alle ministeries hebben wèl in het jaarverslag over 2012 een verantwoording over het open standaardenbeleid opgenomen: vaak alleen de verklaring dat niet was afgeweken van de Instructie Rijksdienst en enkele ministeries zijn in algemene bewoordingen ingegaan op het open standaardenbeleid en de wijze waarop zij daar invulling aan geven. Het ministerie van BZK vermeld expliciet enkele open standaarden en enkele toepassingen waarbij afgeweken is van de lijst voor 'pas toe of leg uit'. De ministeries van I&M en Financiën tenslotte vermelden dat (nog) niet alle websites voldoen aan de Webrichtlijnen 6 . 6
Dit is niet per definitie in strijd met het 'pas toe of leg uit'-principe, dat immers alleen vereist dat de relevante open standaarden bij nieuwe aanbestedingen geëist worden.
Pagina Datum
Titel
14/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
2. Inleiding en beleidscontext 2.1. Beleid open standaarden Voor de Nederlandse overheid zijn open standaarden de norm 7: voor de (semi-)publieke sector geldt sinds 2009 een 'pas toe of leg uit'-regime. Pas toe: Overheden zijn verplicht om bij de aanbesteding, inkoop of ontwikkeling van ICT-systemen en -diensten de relevante standaarden te eisen van de 'pas toe of leg uit'-lijst van het College Standaardisatie. Voor iedere open standaard is in deze lijst een functioneel toepassingsgebied en een organisatorisch werkingsgebied bepaald, aan de hand waarvan de overheidsorganisatie kan bepalen of de open standaard in een specifiek aanschaftraject relevant is. Leg uit: Overheden mogen alleen afwijken (d.w.z. 'niet toepassen') ingeval van redenen van bijzonder gewicht. Overheden zijn verplicht om afwijkingen gemotiveerd vast te leggen in de administratie en zijn verplicht om zich over de mate van naleving te verantwoorden in het jaarverslag. Eind 2011 kondigde het kabinet aan dat het 'pas toe of leg uit'-regime minder vrijblijvend wordt. Eén van de maatregelen om dat te bereiken is het opnemen van de 'leg uit'-verplichting in de Rijksbegrotingsvoorschriften. Welke verplichtingen en afspraken gelden nu precies voor welke overheidsorganisaties? Ministeries en uitvoeringsorganisaties: Rijksinstructie en Rijksbegrotingsvoorschriften Voor de rijksoverheid (zowel ministeries als uitvoeringsorganisaties) is sinds november 2008 de Rijksinstructie8 van kracht: Bij de aanschaf van een ICT-dienst of ICT-product voor een toepassingsgebied dat voorkomt op de lijst die op de website www.forumstandaardisatie.nl is gepubliceerd, wordt gekozen voor een ICT-dienst of een ICT-product dat gebruikt maakt van een bij het desbetreffende toepassingsgebied vermelde open standaard. Deze verplichting geldt voor de aanbesteding, inkoop of ontwikkeling van ICT-producten en -diensten ter waarde van € 50.000 en meer. Niet alleen voor nieuwe producten of diensten, maar ook als het gaat om aanpassing van bestaande producten of diensten. In Bijlage 2 is een schema opgenomen waarin het 'pas toe of leg uit'-principe in het kort wordt toegelicht. Een open standaard van de lijst is altijd relevant als het betreffende ICT-product of -dienst valt binnen het functionele toepassingsgebied van die open standaard, als de organisatie bovendien valt binnen het organisatorische werkingsgebied van de betreffende standaard. 9 Er kunnen redenen zijn om de open standaard toch niet toe te passen. De aanbesteder kan echter niet zelf besluiten dat een open
7 8 9
Zie onder andere de Digitale Agenda.nl en het i-NUP. Besluit van de staatssecretaris van Economische Zaken van 8 november 2008 tot vaststelling van de Instructie rijksdienst inzake aanschaf ICT-diensten en ICT-producten (artikel 3, lid 1). Het functionele toepassingsgebied en het organisatorische werkingsgebied van elke standaard zijn vermeld in de lijst voor 'pas toe of leg uit'.
Pagina Datum
Titel
15/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
standaard 'in dit geval niet relevant is': of een standaard relevant is, hangt uitsluitend af van functioneel toepassingsgebied en organisatorisch werkingsgebied. Wanneer besloten wordt om niet te vragen om één of meer open standaarden die wèl van toepassing zijn, dan moet dit worden vastgelegd in de administratie en moet hierover bovendien verantwoording afgelegd worden in het jaarverslag. Afwijkingen zijn overigens alleen mogelijk bij redenen van bijzonder gewicht (zie daarover ook de toelichting van de Instructie rijksdienst). Daarnaast is in de RijksBegrotingsVoorschriften 2013 (m.b.t. de verslaggeving over 2012) 10 een nieuwe bepaling opgenomen m.b.t. de bedrijfsvoeringparagraaf (pag. 269): 4. In het onderdeel financieel en materieel beheer wordt vermeld als is afgeweken (het 'comply of explain’-beginsel) van artikel 3, eerste lid van de Instructie rijksdienst (https://zoek.officielebekendmakingen.nl/stcrt-2008-837.html) bij aanschaf ICT-diensten of ICT-producten. De Tweede Kamer wil dat de overheid meer gebruik maakt van open standaarden en open source software. De Instructie rijksdienst schrijft voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het College Standaardisatie. Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst. Als er sprake is van afwijking van de Instructie Rijksdienst dan wordt dit gemotiveerd aangegeven. Mede-overheden: iNUP-Resultaatafspraak 20 en Richtlijnen commissie BBV In de iNUP-bestuursakkoorden is als Resultaatafspraak 20 opgenomen, voorzover het open standaarden bestreft: Gemeenten maken gebruik van de open standaarden zoals vastgesteld door het College standaardisatie en werken hierbij volgens het principe “pas toe of leg uit”. Deze resultaatafspraak is van toepassing op gemeenten, provincies en waterschappen. Daarnaast is - voor gemeenten en provincies - recent in de Richtlijnen van de commissie BBV (Besluit begroting en verantwoording provincies en gemeenten) de aanbeveling opgenomen: 5a. De commissie BBV doet de aanbeveling om in de paragraaf bedrijfsvoering verantwoording af te leggen over het gebruik van open standaarden. 2.2. Monitor Open standaardenbeleid Forum en College Standaardisatie beheren de lijst met verplichte open standaarden die gelden voor de (semi-)publieke sector en stimuleren de adoptie van deze standaarden. Op deze wijze bevorderen zij de interoperabiliteit van de overheid. Het ministerie van EZ en Bureau Forum Standaardisatie hebben ICTU gevraagd om jaarlijks, gebruikmakend van verschillende bronnen, een integrale beleidsgerichte rapportage te verzorgen. Die moet inzicht geven in de vorderingen van het open standaarden-beleid en de voortgang in de adoptie van de standaarden op de lijst voor 'pas toe of leg uit'. De Monitor Open standaardenbeleid brengt voor de ministeries, uitvoeringsorganisaties van de Manifest-groep, gemeenten, provincies en waterschappen in kaart: 10
De Rijksbegrotingsvoorschriften zijn opgesteld door het Ministerie van Financiën en bevatten de voorschriften voor de verantwoording over de begroting, de uitvoering van de begroting en de begroting.
Pagina Datum
Titel
16/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
• of het ‘pas toe of leg uit’-principe door overheidsorganisaties is ingevoerd en wordt nageleefd, • in hoeverre de open standaarden van de lijst door overheidsorganisaties worden toegepast, • en wat de verdere adoptie van deze standaarden eventueel nog in de weg staat.
2.3. Bronnen van de gepresenteerde gegevens In deze rapportage worden gegevens gepresenteerd die afkomstig zijn uit een aantal bronnen: • onderzoek open standaarden en rijksbrede I-voorzieningen en shared services, • onderzoek open standaarden en NUP-bouwstenen, • onderzoek gebruiksgegevens van enkele open standaarden, • mini-survey (vier vragen) onder overheidsorganisaties, • onderzoek van feitelijke aanbestedingen in 2012. Onderzoek open standaarden en rijksbrede I-voorzieningen en shared services In de zomer is een quick scan uitgevoerd naar de mate waarin negen rijksbrede I-voorzieningen en shared services voldoen aan de open standaarden die daarvoor relevant zijn. Hiervoor zijn de betreffende beheerorganisaties benaderd. Daarbij is tevens in kaart gebracht hoeveel van deze Ivoorzieningen - voorzover bekend - gebruik wordt gemaakt. Onderzoek open standaarden en NUP-bouwstenen In een (eenmalige) quickscan11 van de NUP-bouwstenen is vorig jaar nagegaan in hoeverre elk van de NUP-bouwstenen voldoet aan de relevante open standaarden van de ‘pas toe of leg uit’-lijst. Daarnaast verzamelt ICTU elk halfjaar informatie over het gebruik van de NUP-bouwstenen, in het kader van de monitoring van Operatie NUP (KING)12. Door jaarlijks de gegevens over het gebruik van de NUP-bouwstenen te leggen naast de daarin toegepaste standaarden ontstaat een beeld van de interoperabiliteit en de toepassing van open standaarden in een genriek deel van de informatiesystemen van de mede-overheden. Onderzoek gebruiksgegevens van twaalf open standaarden Om na te gaan in welke mate open standaarden daadwerkelijk worden toegepast zijn voor twaalf open standaarden gebruiksgegevens verzameld. Deels (voor DKIM, DNSSEC en IPv6) door met behulp van een webtool na te gaan in hoeverre domeinnamen van overheden aan de standaard voldoen. Deels door (met Google) na te gaan hoeveel ODF- en PDF-documenten op websites van overheden te vinden zijn. Deels door gebruik te maken van een openbaar register: op de site van Stichting Waarmerk drempelvrij.nl staat een overzicht van alle websites die aan de Webrichtlijnen voldoen. En deels (voor Aquo, Digikoppeling, SAML en SIKB) door gebruiks- of aansluit-gegevens op te vragen bij de betreffende beheerorganisaties. Mini-survey (begin 2013) Een deel van de gegevens is begin 2013 verzameld in een aparte mini-survey (onderdeel van de iNUP-monitor) onder overheidsorganisaties. Aan ministeries, uitvoeringsorganisaties van de Manifestgroep, gemeenten, provincies en waterschappen zijn vier vragen gesteld: hoever zij zijn gevorderd met het invoeren en met het borgen in de dagelijkse praktijk van het ‘pas toe of leg uit’-principe, in 11 12
Quickscan open standaarden i-NUP, VKA/Piet Hein Minnecré, 4 september 2012. Stuurinformatie Programmaraad Stelsel van Basisregistraties, Editie 03, 31-08-12, en Stuurinformatie Programmaraad e-Overheid voor Burgers, Editie 03, 31-08-12.
Pagina Datum
Titel
17/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
hoeverre zij vragen om open standaarden bij inkopen en aanbestedingen, en om welke open standaarden zij daarbij hebben gevraagd. De antwoorden hebben betrekking op het jaar 2012. Onderzoek feitelijke aanbestedingen in 2012 Dit jaar zijn de aanbestedingen onderzocht van de rijksoverheid (en uitvoerings-organisaties) uit de periode januari-september 2012 en van mede-overheden uit de periode januari-juni 2012. Per aanbesteding is vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om werd gevraagd ('pas toe'). Vervolgens is nagegaan in hoeverre overheden in hun jaarverslag ook verantwoording hebben afgelegd, wanneer bij aanbestedingen van de lijst werd afgeweken ('leg uit'). Het onderzoek toetst (op basis van openbaar beschikbare documenten) in hoeverre de aanbestedingen voldoen aan het 'pas toe of leg uit'-beginsel, zoals dat (voor het Rijk) is vastgelegd in de Instructie Rijksdienst en de RijksBegrotingsVoorschriften. Andere (beleids)overwegingen en argumenten, die mogelijk op de aanbestedingen van invloed zijn geweest, vallen buiten de scope van dit onderzoek. Leeswijzer In deze rapportage wordt achtereenvolgens behandeld: • in hoofdstuk 3 de feitelijke toepassing (gebruiksgegevens) van enkele open standaarden; • in hoofdstuk 4 de toepassing van open standaarden via rijksbrede I-voorzieningen en via het gebruik van NUP-bouwstenen; • in hoofdstuk 5 de invoering en borging van het open standaardenbeleid, op basis van zelfrapportage (mini-survey); • en in hoofdstuk 6 de toepassing van open standaarden bij feitelijke aanbestedingen.
Pagina Datum
Titel
18/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
3. Gebruiksgegevens van een aantal open standaarden Vanaf dit jaar besteedt de Monitor Open standaardenbeleid uitgebreid aandacht aan gegevens over het feitelijk gebruik door overheden van standaarden van de lijst voor 'pas toe of leg uit'. Deze gegevens zijn relatief objectief en geven een goede indicatie van de huidige technische adoptie van standaarden. In dit hoofdstuk worden deze gegevens gepresenteerd. Het 'pas toe of leg uit'-regime is gericht op aanbestedingen, en daarmee op het toepassen van open standaarden bij afzonderlijke toevoegingen aan en vernieuwing van het ICT-systeem van overheden. Gegevens over het feitelijk gebruik geven een beeld voor het gehele ICT-systeem. Bovendien gaat het bij het 'pas toe of leg uit'-regime om het vragen om open standaarden, en wordt niet gemeten in hoeverre het gevraagde ook (volledig) is geleverd. Tenslotte kunnen overheden open standaarden ook toepassen, mogelijk zelfs zonder zich daarvan bewust te zijn, doordat zij voorzieningen of producten gebruiken waarin deze open standaarden toegepast zijn. Voor een vollediger beeld is het feitelijk gebruik dus een interessante indicator. Helaas is het niet altijd even eenvoudig (voor alle open standaarden) om vast te stellen in welke mate die feitelijk gebruikt worden. Geautomatiseerd checken (met webtools) Dit jaar hebben wij ons geconcentreerd op 8 standaarden die geautomatiseerd met een webtool gechecked kunnen worden, danwel waarvoor een openbaar gebruikersregister beschikbaar is. Bij de geautomatiseerde toetsen wordt enkel de 'publicatie' getoetst en niet of de organisatie ook als 'gebruiker' de standaard kan accepteren. Voor enkele van de open standaarden van de lijst is het mogelijk om met behulp van een webtool na te gaan in hoeverre aan de standaard wordt voldaan: • voor DKIM kan per domeinnaam gechecked worden of door een overheid verstuurde email voorzien is van DKIM (met de Phishing scorecard van Measuremail); • voor DNSSEC kunnen beheerde domeinnamen gechecked worden op het publiceren via de standaard, met de DNSSEC Portfolio Checker van SIDN Labs; • voor IPv6 kan de geschiktheid van domeinnamen met behulp van de IPv6 domain readiness tester gechecked worden; hierbij wordt de toegankelijkheid van websites en ontvangende mailservers getest (maar niet het verzenden van email en het bezoeken van websites vanuit de organsatie); de resultaten zijn te vinden op de website ip6.nl. Voor de Webrichtlijnen is er een officieel waarmerk, dat verleend wordt door een geaccrediteerde inspectie-instelling. Op de website van Stichting Waarmerk drempelvrij.nl staat het overzicht van alle websites die voldoen aan de Webrichtlijnen, danwel aan de lagere niveaus van toegankelijkheid. Ook voor de vier open documentstandaarden (ODF, PDF/A-1, PDF/A-2 en PDF1.7) is - tot op zekere hoogte - een test mogelijk, namelijk door na te gaan hoeveel ODF- en PDF-documenten 13 op websites van overheden te vinden zijn, in vergelijking met het aantal .doc-bestanden. Voor deze meting is bij wijze van pilot volstaan met een kleine steekproef: de websites van de rijksoverheid (rijksoverheid.nl), van de G4 (de vier grote gemeenten), van twee provincies en van Forum Standaardisatie en ICTU.
13
Het is niet mogelijk om daarbij onderscheid te maken tussen PDF/A-1, PDF/A-2, PDF1.7 en andere versies.
Pagina Datum
Titel
19/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Gebruiks- of aansluitgegevens van beheerorganisaties Daarnaast hebben wij de beheer-organisaties benaderd van 8 open standaarden die binnen door het Forum gekozen focusthema’s 'informatiebeveiliging en identitymanagement' en ‘stelselstandaarden’ vallen. De lijst voor 'pas toe of leg uit' bevatte in het voorjaar van 2013 nog 13 andere open standaarden, waaronder een aantal sector-specifieke zoals IFC en VISI (bouw) en STOSAG (afval) en enkele onderwijs- en informatie-gerelateerde standaarden (E-portfolio, NL-LOM, OAI-PMH, OWMS). Het feitelijk gebruik van deze standaarden is voor deze meting niet onderzocht. Van vier beheer-organisaties hebben wij bruikbare informatie ontvangen over gebruiks- of aansluitgegevens, namelijk voor de open standaarden: • Aquo; • Digikoppeling; • SAML; • SIKB. De andere benaderde organisaties (Geonovum voor de Geo-standaarden, BZK/DGOBR voor NENISO\IEC 27001 & NEN-ISO\IEC 27002 en KING voor StUF) konden helaas niet de door ons gewenste informatie aanleveren. In deze paragraaf worden de gebruiksgegevens (met als peildata voorjaar 2013 en najaar 2013) van de 12 genoemde standaarden (in alfabetische volgorde) gepresenteerd. 3.1. Aquo-standaard (uitwisseling gegevens waterbeheer) De Aquo-standaard (versie: IMWA 2008, UM Aquo 2008, Aquo-domeintabellen, Aquo-lex v7) maakt het mogelijk om op een uniforme manier gegevens uit te wisselen tussen partijen die betrokken zijn bij het waterbeheer en draagt daarmee bij aan een kwaliteitsverbetering van het waterbeheer. Het eenvoudig en eenduidig delen van informatie levert tijd- en geldwinst op. standaard
op lijst
gebruik door overheden (%)
ontwikkeling in gebruik
sinds nov 2010 echte implementatie beperkt onbekend
Aquo-standaard
Beheerorganisatie: Informatiehuis Water
Toepassingsgebied: Gegevensverzameling, -vastlegging en -uitwisseling voor het beheer van waterkeringen, oppervlaktewater en afvalwaterzuivering Onderzoek VKA naar implementatie Aquo-standaard Naar het gebruik van de Aquo-standaard heeft het Informatiehuis Water recent onderzoek laten doen14. Het onderzoek - op basis van ongeveer 20 interviews - was gericht op inzicht in de voortgang van de implementatie van de Aquo-standaard, maar niet op een exact kwantitatief beeld van de toepassing door alle (relevante) overheden. In de rapportage worden de volgende conclusies getrokken: 14
Rapportage Nulmeting Aquo, Piet Hein Minnecré, Dave Oberweis, VKA, 21 maart 2013.
Pagina Datum
Titel
20/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
“Bijna alle organisaties waarmee gesproken is, zijn bekend met de Aquo-standaard. Ook geven ze aan dat Aquo van belang is voor de waterbeheersector, en dat ze voorstander zijn van het gebruik ervan. De standaardisatieactiviteiten en de inzet, betrokkenheid en kwaliteit van de medewerkers van het IHW wordt door meerdere partijen geprezen. Daarnaast blijkt uit de nulmeting dat alle partijen de standaard op een of andere manier gebruiken. Er zijn echter grote verschillen in waarvoor en hoe de standaard wordt toegepast. Dit is vooral duidelijk bij de groep overheden die gegevens uitwisselen. De waterschappen vinden het vaak lastig aan te geven waarvoor ze Aquo zouden moeten gebruiken en waarvoor ze dat doen. De verschillen in waarvoor en hoe Aquo gebruikt wordt zijn groot. Waar Aquo gebruikt wordt, betreft het vaak slechts onderdelen van de standaard. Daarbij is meestal onduidelijk of deze up-to-date zijn en daadwerkelijk conform de standaard zijn geïmplementeerd. Provincies hebben een beperkt aantal taken waarvoor Aquo van toepassing is. De in het kader van dit onderzoek bevraagde provincies waren goed op de hoogte van Aquo en ze passen de standaard ook toe voor hun watertaken. Gemeenten lijken niet of nauwelijks bekend met de standaard, waarschijnlijk omdat zij zich voor de waterbeheertaken richten op RIONED. Partijen die zelf geen gegevens uitwisselen zoals UvW, IPO, VNG, KING maken helemaal geen gebruik van Aquo. Als ze de standaard al kennen dan wordt doorverwezen naar partijen als HWH of IHW. Bij de leveranciers van softwaresystemen ontstaat een beeld dat sterk vergelijkbaar is met het beeld bij de waterschappen. De meeste leveranciers maken gebruik van Aquo maar het is lastig helder te krijgen of alle relevante onderdelen gehanteerd worden en of deze up-to-date of conform de standaard zijn. Rijkswaterstaat wisselt niet alleen gegevens uit maar is ook leverancier van systemen voor waterbeheer. RWS zet Aquo breed in en participeert in de doorontwikkeling maar geeft ook aan dat Aquo niet overal wordt ingezet. Zo is op er op het gebied van waterkwantiteit nog behoefte aan doorontwikkeling en staat de standaard soms op gespannen voet met internationale en nationale ontwikkelingen (bv het Bouwwerk informatie model). Er kan dus niet gezegd worden dat gebruik van Aquo de usance is in de praktijk van het Nederlandse waterbeheer. Dat beeld wordt versterkt door de antwoorden van zowat alle partijen wanneer ze gevraagd worden naar factoren die het gebruik van Aquo kunnen beïnvloeden. Zo is Aquo niet ingebed in de normale werkwijze en processen van de organisaties, een enkele uitzondering daargelaten (een waterschap, Het Waterschapshuis en Rijkswaterstaat). Inkoop noch andere afdelingen kennen vastgesteld beleid ten aanzien van het gebruik van de standaard en dat komt ook terug in het gebrek aan de vraag naar Aquo in aanbestedingen. Typerend is dat Aquo gezien wordt als een onderwerp voor gegevens- en applicatiebeheerders, terwijl bijvoorbeeld Aquo-lex ook van toepassing is voor meer beleidsmatig werk en samenwerking door standaardisering overal op de agenda staat. Het gebruik van Aquo binnen de organisaties lijkt sterk afhankelijk van individuen die bekend zijn met Aquo en het gebruiken voor hun eigen werkzaamheden. Daarnaast worden de bekende systemen en portalen (IRIS, KRW-portaal, Aquo-kit) gehanteerd waardoor in ieder geval deels conform Aquo gewerkt wordt. Maar ook bij individueel gebruik en gebruik via de gedeelde systemen en portalen is Aquo niet altijd leidend. Het is in sommige gevallen het vertrekpunt maar de standaard is zeker niet heilig. Dat leidt is veel gevallen tot selectieve toepassing, waarbij op pragmatische wijze gekeken wordt naar welke onderdelen wel handig zijn, en welke niet. Partijen geven aan het lastig te vinden om te gaan met (wijzigingen) in de standaard. Het geheel van systemen bij waterbeherende partijen is complex en de wijze waarop de systemen in elkaar grijpen is vaak lastig te overzien. Dit leidt ertoe dat wijzigingen in de standaard vaak lastig door te voeren zijn in de bestaande processen en systemen. Daarnaast geven partijen aan dat het lastig is te bepalen hoe en waarvoor de standaard gebruikt moet worden. In samenhang met het feit dat de standaard niet overal (correct) is ingevoerd vormt dit een stevige drempel voor
Pagina Datum
Titel
21/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
verdere implementatie. Daarbij komt dat weliswaar het nut van Aquo (en van gestandaardiseerde gegevensuitwisseling in meer algemene zin) voor velen overduidelijk is op de lange termijn, maar dat de voordelen zich lastig verhouden tot de nadelen en de vereiste inspanning op de korte termijn. Zoals duidelijk werd aangegeven door één partij staat de invoering van Aquo niet hoog op de prioriteitenlijst maar vaak ver onder de zaken die meer directe aandacht vergen en waarvan de effecten ook sneller te merken zijn. Het niet gebruiken van de standaard doet geen pijn.”
Conclusie: De Aquo-standaard heeft een specifiek toepassingsgebied, de relevante organisaties zijn bekend met de standaard, onderschrijven het belang ervan en gebruiken de standaard op een of andere manier. In de praktijk zijn er echter grote verschillen in waarvoor en hoe de Aquo-standaard wordt toegepast en wordt de standaard (nog?) maar beperkt toegepast op de manier waarvoor de standaard bedoeld is. 3.2. Digikoppeling versie 1.0 (berichtenverkeer) Digikoppeling (voorheen ebMS en WUS conform OSB) is een standaard gerelateerd aan de Overheidsservicebus (OSB), de afspraken voor de digitale 'postbode' voor de overheid. OSB bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties. De OSB onderkent twee hoofdvormen van berichtenverkeer: • Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden. • Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden. standaard
op lijst
Digikoppeling
gebruik door overheden (%)
sinds
totaal
w.v. Rijk
mei 2009 juni 2013
22 %
3%
ontwikkeling in gebruik aantal aansluitingen gemeenten is gestegen
Beheerorganisatie: Logius
Toepassingsgebied: • OSB-ebMS standaard voor meldingen tussen informatiesystemen, • OSB-WUS standaard voor de (geautomatiseerde) bevraging van informatiesystemen. Logius heeft een lijst aangeleverd (op 14 maart en 5 augustus 2013) met 464 (onderdelen van) overheden en uitvoeringsorganisaties die zeggen op Digikoppeling aangesloten te zijn. Voor Digikoppeling hebben de onderzoekers de (vertrouwelijke) lijst met aansluitgegevens van Logius 'gematched' met de organisaties in de basislijst die voor dit onderzoek is opgesteld in overleg met Bureau Forum Standaardisatie. Dit leverde de volgende resultaten op:
Pagina Datum
Titel
22/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 1: Overheden aangesloten op Digikoppeling
en 5 augustus 2013 (najaar)
Totaal
14 maart 2013 (voorjaar)
Provincies
gechecked op
Gemeenten
Rijk + Uitvoeringsorganisaties / ZBO's + OOV + eOverheid
Digikoppeling (versie 1.0)
Waterschappen
(Bron: opgave Logius)
voorvoorvoorvoorvoornajaar najaar najaar najaar jaar jaar jaar jaar jaar
aangesloten op Digikoppeling
najaar
5
0
129 173
1
2
4
4
139
22%
179
29%
niet aangesloten
13
8
279 237
11
11
22
22
325
52%
278
45%
komt niet voor in lijst Logius
151 161
1
0
3
3
158
25%
165
27%
totaal
169 169 411 411
13
13
29
29
3
1
622 100% 622 100%
Conclusie: Een deel van de overheden is op Digikoppeling aangesloten. Vooral gemeenten hebben het afgelopen half jaar een flinke slag gemaakt, waarschijnlijk mede door de aansluit-ondersteuning van Logius in het kader van het Stelsel van Basisregistraties en de komende voorzieningen als LV-WOZ die Digikoppeling vereisen. Rijk, provincies en waterschappen zijn op dit moment nog beperkt aangesloten. 3.3. DKIM versie RFC 6376 (email-authenticatie) DKIM koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. Het stelt de ontvanger in staat om te bepalen welke domeinnaam (en daarmee welke achterliggende organisatie) verantwoordelijk is voor het zenden van de e-mail. Daardoor kunnen spam- en phishing-mails beter worden gefilterd. standaard
op lijst
DKIM
gebruik door overheden (%)
sinds
totaal
w.v. Rijk
juni 2012
0%
0%
ontwikkeling in gebruik n.v.t.
Toepassingsgebied: Het faciliteren van het vaststellen van organisatorische herkomst voor e-mail afkomstig van overheidsdomeinen, als deze over een onbeveiligde, publieke internet-verbinding wordt verstuurd wanneer verdere authenticatie ontbreekt. Op 27 maart 2013 is een lijst met 660 domeinnamen van overheden en uitvoeringsorganisaties met behulp van de Phishing scorecard (van Measuremail) gechecked 15. Measuremail stuurt deze overheden een verzoek om terug te mailen, waarna wordt gecontroleerd of die email aan DKIM voldoet. Hiermee wordt het signeren met DKIM gechecked (maar niet het valideren op DKIM).
15
Zie: http://phishingscorecard.com/nl/overheid.php. Wij hebben in overleg met Bureau Forum Standaardisatie een lijst opgesteld met overheidsorganisaties en hun domeinnamen/mailadressen, ingedeeld in sectoren.
Pagina Datum
Titel
23/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 2: Websites die aan DKIM voldoen
voorjaar
voldoet aan DKIM
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
Totaal
Waterschappen
en op 16 augustus 2013 (najaar)
Provincies
gechecked op 27 april 2013 (voorjaar)
Gemeenten
DKIM (versie: RFC 6376)
Rijk + Uitvoeringsorganisaties / ZBO's + OOV + eOverheid
(Bron: Phishing scorecard van Measuremail)
najaar
voorjaar
najaar
0
0
0
0
0
0
0
0
0
0
voldoet niet aan DKIM
185
185
428
428
16
16
31
31
660
660
(voldoet wel aan SPF)
(34)
(34)
(53)
(69)
(3)
(3)
(8)
(8)
(98) (114)
totaal
185
185
428
428
16
16
31
31
660
660
Tot op heden heeft nog geen overheid een DKIM-ondersteunende mail gestuurd. In ieder geval Mijn Overheid, het Ministerie van Veiligheid en Justitie en het Ministerie van Algemene Zaken (met Rijksoverheid.nl, minaz.nl en Koninklijkhuis.nl) zijn volgens de informatie van Measuremail wel van plan om DKIM te implementeren. De standaard SPF is beperkter in functionaliteit dan DKIM, maar eenvoudiger om in te voeren. Het College Standaardisatie beveelt aan om SPF in combinatie met DKIM in te voeren. SPF wordt, zo blijkt uit de website van Measuremail, door een klein deel van de overheden wèl toegepast: in totaal bij 114 domeinen uit de lijst met 660 domeinnamen. Adoptie van DKIM in andere sectoren Daarmee loopt de overheid achter op bij voorbeeld de bankensector in Nederland: ABN-AMRO, ING en Rabobank hebben (deels) DKIM geïmplementeerd naast SPF. De Open Trust Alliance rapporteert dat 18% van de federale overheid in de USA minstens één DKIM-implementatie had in 2012 16. In een internationale vergelijking van DKIM èn de voorloper DomainKeys 17, lijkt de USA koploper met 43% adoptie van één van deze standaarden bij domeinen van grote websites, en scoort Duitsland 22%.
Conclusie: DKIM staat nog relatief kort op de lijst (sinds juni 2012) en is door overheden nog niet geïmplementeerd, terwijl de adoptie van de standaard in andere sectoren (en in het buitenland) al wel een heel eind is gevorderd.
16
Zie https://otalliance.org/resources/2012HonorRoll/2012_OTA_HonorRoll.pdf, en voor de methodologie: https://otalliance.org/resources/2012HonorRoll/2012HonorRollMethodology.html. 17 Gegevens van http://eggert.org/meter/dkim . Deze meter maakt gebruik van Alexa's ranking van populaire websites; vermoedelijk zijn grotere dot-com organisaties sneller in adoptie van technieken als DKIM.
Pagina Datum
Titel
24/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
3.4. DNSSEC (beveiliging domeinnamen) Het Domain Name System (DNS) is kwetsbaar, waardoor kwaadwillenden een domeinnaam kunnen koppelen aan een ander IP-adres ('DNS spoofing'). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op. standaard
op lijst
DNSSEC
gebruik door overheden (%)
sinds
totaal
w.v. Rijk
juni 2012
10%
6%
ontwikkeling in gebruik duidelijke groei zichtbaar
Toepassingsgebied: • Het registreren en in DNS publiceren van internet-domeinnamen (‘signing’). De registratieverplichting geldt alleen indien 'signed domain names' bij een registerhouder van een top-level domein (zoals SIDN voor .NL) geautomatiseerd aangevraagd kunnen worden. • Het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’). Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients/werkplekken binnen een LAN en interne DNS-systemen). Op 6 februari 2013 en op 26 augustus 2013 is een lijst met 660 domeinnamen van overheden en uitvoeringsorganisaties met behulp van de DNSSEC Portfolio Checker (van SIDN Labs) gechecked 18. Dit leverde de volgende resultaten op: Tabel 3: Websites die voldoen aan DNSSEC
voorjaar
voldoet aan DNSSEC voldoet niet aan DNSSEC niet controleerbaar totaal
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
Totaal
Waterschappen
en 26 augustus 2013 (najaar)
Provincies
gechecked op 6 februari 2013 (voorjaar)
Gemeenten
DNSSEC
Rijk + Uitvoeringsorganisaties / ZBO's + OOV + eOverheid
(Bron: DNSSEC Portfolio Checker (van SIDN Labs)
najaar
9
12
22
49
0
0
1
2
175
172
406
379
16
16
30
29
1
1
185
185
428
428
16
16
31
31
voorjaar
najaar
32 63 (5%) (10%) 627 596 (95%) (90%) 1 1 660
660
Adoptie van DNSSEC in andere sectoren In Nederland zijn 1.518.571 domeinnamen met DNSSEC beveiligd, dat is 29% van het totaal aantal Nederlandse domeinnamen19. Het is niet bekend hoeveel overheden middels DNSSEC de domeinnamen die zij opvragen valideren. 18
Wij hanteren een basislijst met overheidsorganisaties en hun domeinnamen/mailadressen, opgesteld in overleg met Bureau Forum Standaardisatie, die is ingedeeld in sectoren. 19 Statistieken SIDN, over juli 2013: https://www.sidn.nl/kennisbank/statistieken.
Pagina Datum
Titel
25/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Conclusie: DNSSEC staat nog relatief kort op de lijst (sinds juni 2012). Een beperkt aantal websites van overheden voldoet aan DNSSEC, maar het aantal is groeiende. De overheden lopen hiermee achter op het landelijk gemiddelde. 3.5. IPv6 en IPv4 (internetnummers) Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals internet, mogelijk. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IP-adres) heeft. De belangrijkste motivatie voor de ontwikkeling van IPv6 was het vergroten van de hoeveelheid beschikbare adressen ten opzichte van de tegenwoordig gangbare voorganger IPv4. De ambitie van het kabinet is, om websites en email van de overheid per 2014 toegankelijk te hebben via IPv6. Om interoperabiliteit maximaal te waarborgen heeft het College Standaardisatie 'pas toe of leg uit' van toepassing verklaard op de combinatie van IPv4 en IPv6. Een organisatie moet dus beide versies vragen bij de aanschaf van een ICT-product of -dienst. standaard
op lijst
IPv6 en IPv4
gebruik door overheden (%) (4 of 5 sterren)
sinds
totaal
w.v. Rijk
nov 2010
2%
5%
ontwikkeling in gebruik
implementatie verloopt traag
Toepassingsgebied: Communicatie op netwerkniveau over organisatiegrenzen heen tussen organisaties, individuele eindgebruikers, apparaten, diensten en sensoren. Meting met de IPv6 domain readiness tester De onderstaande gegevens zijn afkomstig van de website Ip6.nl (op 15 maart 2013 en op 19 september 2013), voor de 660 domeinnamen van overheden die met behulp van de IPv6 domain readiness tester zijn gechecked20. Dit leverde de volgende resultaten op: Tabel 4: Websites die voldoen aan IPv6
Totaal
Waterschappen
en op 19 september 2013 (najaar)
Provincies
gechecked op 15 maart 2013 (voorjaar)
Gemeenten
IPv6
Rijk + Uitvoeringsorganisaties / ZBO's + OOV + eOverheid
(Bron: IPv6 domain readiness tester)
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
5 sterren
4
4
1
1
0
0
0
0
5
5
4 sterren
5
5
3
4
0
1
0
0
8
10
najaar
0,5 t/m 3 sterren
42
42
144
137
5
4
4
5
195
186
0 sterren
132
134
280
286
11
11
27
26
450
459
2
0
0
0
0
0
0
0
2
0
185
185
428
428
16
16
31
31
660
660
niet controleerbaar totaal 20
Wij hanteren een basislijst met overheidsorganisaties en hun domeinnamen/mailadressen, opgesteld in overleg met Bureau Forum Standaardisatie, die is ingedeeld in sectoren.
Pagina Datum
Titel
26/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Getest wordt op vijf functionaliteiten van domeinnaamservers op het ondersteunen van IPv6. Er wordt gecontroleerd of de DNS via een enkel-IPv6-netwerk is op te bevragen en of er IPv6-adressen gegeven worden voor DNS-servers (SOA-record), mail (MX-record), web en de 'root' van het domein. Er wordt niet getest of de diensten achter de DNS werkelijk via IPv6 benaderbaar zijn. Verder wordt hierbij wel getest of websites en ontvangende mailservers van overheden een IPv6-adres hebben (maar bijvoorbeeld niet het verzenden van email en het bezoeken van externe websites vanuit de organisatie). Een ster staat voor één van de vijf aspecten van de internetverbinding, drie sterren voor de ene domeinnaam kunnen dus betrekking hebben op andere aspecten dan drie sterren voor een andere domeinnaam. Een halve ster betekent, dat de internetverbinding voor één van de aspecten nog maar gedeeltelijk gereed is voor IPv6. Een score van 3 sterren of minder is beslist onvoldoende voor implementatie van IPv6. Ook in andere sectoren verloopt de implementatie overigens traag. Een test van de websites van acht grote nederlandse banken wijst uit, dat slechts twee daarvan beperkt IPv6 hebben geïmplementeerd (2 ster) en de rest niet (0 ster). Bevindingen van de IPv6-monitor (TNO) Een andere bron van informatie over het gebruik van IPv6 (en de voorbereiding daarop) is de IPv6monitor van TNO21. In de meest recente meting (eind 2012) wordt geconcludeerd: “De introductie van IPv6 bij Nederlandse overheden verloopt erg langzaam. Er worden wel kleine stappen gezet door het eisen van IPv6 bij aanschaf van nieuwe ICT producten en door in de organisatie verkennende IPv6 activiteiten op te starten. Ten opzichte van 2010 en 2011 hebben er weinig nieuwe IPv6 implementaties plaatsgevonden bij de overheid. Een significant deel van de Nederlandse overheden is wel van plan hun webdiensten naar burgers en bedrijven binnen 1 á 2 jaar bereikbaar te maken over IPv6. De belangrijkste website van de Rijksoverheid (www.rijksoverheid.nl) was in 2010 al bereikbaar over IPv6. IPv6 krijgt bij de meeste overheidsorganisaties een lage prioriteit. Dit vormt het grootste knelpunt bij de introductie van IPv6. Het belangrijkste technisch-inhoudelijk knelpunt is het gebrek aan kennis en ervaring met IPv6 bij overheden. Overheidsorganisaties geven aan dat ze de invloed van de huidige IPv6 maatregelen vanuit de rijksoverheid beperkt ervaren. Dat IPv6 onderdeel is van pas-toe-of-leg-uit-lijst van het Forum Standaardisatie en de doelstellingen van de Digitale Agenda NL, is bij de helft van de respondenten bekend. Toch wordt aangegeven dat dergelijke activiteiten vanuit de overheid, waaronder ook de agendering bij het ICCIO, helpen bij het agenderen van IPv6 in de eigen organisatie. Druk, zowel van interne als externe bron, om iets met IPv6 te doen wordt vrijwel niet gevoeld. Volgens de huidige plannen worden de IPv6 doelstellingen in de Digitale Agenda om emailadressen en webpagina’s uiterlijk in 2013 bereikbaar te maken op IPv6 door ongeveer één derde van de respondenten 21
IPv6 Monitoring in Nederland: De Vijfde Meting, TNO, 12 november 2012 (in het bijzonder hoofstuk 5).
Pagina Datum
Titel
27/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
gehaald. Hierbij dient te worden opgemerkt dat uit de eerdere IPv6 metingen in 2010 en 2011 naar voren kwam dat plannen door organisaties vaak sneller werden ingeschat dan dat zij uiteindelijk werden uitgevoerd. Het opnemen van IPv6 als eis bij de aanschaf van nieuwe ICT-producten en –diensten wordt door meer dan 40% van de respondenten gedaan. Binnen een jaar zal dit voor bijna 75% van de deelnemers aan dit onderzoek gelden.“
Conclusie: De implementatie van IPv6 door overheden verloopt traag, slechts enkele procenten van de overheidsdomeinnamen voldoen voor websites en email op dit moment aan de standaard. De doelstelling om per 2014 IPv6 volledig te implementeren zal bij het huidige tempo zeker niet gehaald worden. 3.6. ODF en PDF (documentstandaarden) De lijst voor 'pas toe of leg uit' telt op dit moment vier open document-standaarden: • ODF 1.2 (versie: 1.2): open standaard voor office-documenten. (Toepassingsgebied: uitwisseling van reviseerbare documenten; beheerorganisatie: OASIS) • PDF/A-1 (versie: NEN-ISO 19005-1:2005): dit deel van ISO 19005 specificeert hoe Portable Document Format (PDF) 1.4 voor lange termijn archivering van elektronische documenten dient te worden gebruikt. Het heeft betrekking op documenten die combinaties van data in de vorm van karakters, rasters en vectoren. (Toepassingsgebied: lange termijn archivering van documenten. PDF/A-1 mag naast ODF gehanteerd worden voor de lange termijn archivering, specifiek voor niet-reviseerbare documenten. Beheerorganisatie: NEN) • PDF/A-2 (versie: ISO 19005-2): slaat de brug tussen PDF/A-1 en PDF 1.7 waarbij PDF/A-2 een betere geschiktheid heeft voor langdurig archiveren van documenten waar “elementen” inzitten die niet door PDF/A-1 worden ondersteund en waarbij PDF 1.7 kan worden gebruikt voor “elementen” die niet door PDF/A-2 ondersteund worden. (Toepassingsgebied: lange termijn archivering van documenten, in situaties waarin de PDF/A-1 standaard niet voldoet. PDF/A-2 mag naast ODF gehanteerd worden voor de lange termijn archivering, specifiek voor niet-reviseerbare documenten. Beheer-organisatie: ISO) • PDF 1.7 (versie: ISO 32000-1:2008): specificeert een bestandsformaat voor het weergeven van elektronische documenten. Het uitgangspunt van de standaard is dat het gebruikers mogelijk wordt gemaakt documenten uit te wisselen en te bekijken, zowel onafhankelijk van de omgeving waarin ze zijn gecreëerd, alsook de omgeving waarin ze worden uitgeprint of bekeken. Elk PDF v1.7 document bevat een complete beschrijving van een document, inclusief tekst, font objects (embedded of met typeface beschrijving), afbeeldingen, audio, video, en 2D/3D graphics. (Toepassingsgebied: het uitwisselen en publiceren van niet- of beperkt-reviseerbare documenten, waarbij duiding van oorsprong of functierijkheid onderdeel zijn van het document en waarbij PDF/A-1 als standaard niet kan worden ingezet. Beheerorganisatie: ISO) standaard
op lijst sinds
ODF 1.2
totaal
ontwikkeling in gebruik
w.v. Rijk
juni 2012 geen overheidsbrede cijfers nov 2008 (enkele websites gechecked: daarop onbekend juni 2012 overwegend PDF-documenten, maar nov 2009 ook meer .doc dan .odt-documenten)
PDF/A-1 PDF/A-2 PDF 1.7
Pagina Datum
gebruik door overheden (%)
Titel
28/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bij wijze van 'proof of concept' hebben wij met behulp van Google het aantal documenten bepaald met de extensie .pdf, met de extensies .odf/.odt/.odp en met de extensies .doc/.docx/.xls/.xlsx/.ppt/.pptx op 9 verschillende websites. De extensie .pdf op zichzelf geeft geen uitsluitsel over de PDF-versie, zodat op deze manier niet nagegaan kan worden hoeveel bestanden voldoen aan PDF/A-1, PDF/A-2 of PDF 1.7 en hoeveel aan een andere PDF-variant. Voor de rijksoverheid (alle ministeries zijn ondergebracht op www.rijksoverheid.nl) blijkt het overgrote deel van alle bestanden op de website in een PDF-format te zijn. Hetzelfde geldt voor de andere websites. ODF (en/of .odt en/of .odp) treft Google alleen aan op www.rijksoverheid.nl en op de websites van het Forum Standaardisatie en van ICTU. Het aantal .doc-bestanden (plus aanverwanten) is beperkt, behalve bij de site van de gemeente Amsterdam. Het aantal .doc-bestanden (en aanverwanten) is bij deze drie websites wel groter dan het aantal .odt-bestanden (en aanverwanten). Tabel 5: PDF-, ODT- en DOC-bestanden op enkele websites (Bron: Google) .pdf (inclusief andere pdf-versies)
.odt / .ods / .odp
.doc / .docx .pdf + .odf verhouding .xls / .xlsx als % van .odt etc .ppt / .pptx alle bestanden / .doc etc
najaar
voorjaar
najaar
voorjaar
najaar
101.000
76.600
279
345
380
501
46.600
50.600
0
0
denhaag.nl
1.060
1.350
0
0
0
0
rotterdam.nl
34.100
21.400
0
0
331
utrecht.nl
59.000
70.300
0
0
drenthe.nl
4.050
4.700
0
zuid-holland.nl
1.640
1.880
forumstandaardisatie.nl
1.110
voor-jaar
rijksoverheid.nl
amsterdam.nl
ictu.nl totaal
voorjaar
najaar
99,6 % 99,4 % 0,73
0,69
4.200 4.420 91,7 % 92,0 % 0,00
0,00
voor-jaar
najaar
100 % 100 %
n.v.t.
n.v.t.
343
99,0 % 98,4 % 0,00
0,00
772
773
98,7 % 98,9 % 0,00
0,00
0
36
53
99,1 % 98,9 % 0,00
0,00
0
0
109
130
93,8 % 93,5 % 0,00
0,00
1.100
10
15
13
18
98,9 % 98,4 % 0,77
0,83
863
863
41
36
49
49
94,9 % 94,8 % 0,84
0,73
249.423
228.793
330
396
5.890 6.287 97,7 % 97,3 %
Bij deze cijfers moeten wel enkele kanttekeningen geplaatst worden: • het aantal bestanden op de website zegt nog niets over het gebruik van deze bestandsformaten binnen de organisatie en/of in directe (andere) contacten met burgers en bedrijven;
Pagina Datum
Titel
29/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
•
•
•
de aantallen bestanden die Google bij deze zoekopdrachten vermeldt zijn niet exact: bij grote aantallen wordt het aantal geschat, en dezelfde zoekopdracht levert niet altijd (ongeveer) het zelfde aantal op (dit kan per Google-server tot wel 15% verschillen); deze zoekopdrachten geven alleen een totaal aantal bestanden met pdf-extensie, daardoor bieden deze zoekopdrachten geen uitsluitsel over de verschillende PDF-standaarden (PDF/A1, PDF/A-2 en PDF 1.7) en evenmin over de vraag of deze in de goede gevallen zijn toegepast; door de configuratie van sommige websites kan Google het document-type niet herkennen, waardoor deze niet geteld worden.
Conclusie: Op enkele belangrijke overheidswebsites is het overgrote deel van de bestanden in een PDFformat (maar niet noodzakelijkerwijs één van de PDF-formats van de lijst voor 'pas toe of leg uit'). Bestanden in ODF-format zijn bij de negen onderzochte websites alleen bij rijksoverheid.nl, forumstandaardisatie.nl en ictu.nl aangetroffen. Ook op die websites is overigens het aantal DOC-bestanden groter dan het aantal ODF-bestanden. 3.7. SAML versie: 2.0 (uitwisseling identiteitsgegevens) De Security Assertion Markup Language (SAML) is een XML-gebaseerd raamwerk voor het communiceren van gebruikers authenticatie, rechten, en attribuut informatie. SAML biedt organisatie entiteiten de mogelijkheid om claims te maken over de identiteit, attributen en rechten van een subject (een entiteit welke vaak een menselijke gebruiker is) aan andere entiteiten zoals Internet applicaties of diensten. standaard
op lijst sinds
SAML (versie 2.0)
gebruik door overheden (%) totaal
mei 2009 nog beperkt
ontwikkeling in gebruik
w.v. Rijk nog beperkt
duidelijke groei zichtbaar
Beheerorganisatie: OASIS
Toepassingsgebied: Federatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen. Twee belangrijke toepassingen van SAML in Nederland zijn eHerkenning en DigiD, waarmee bedrijven respectievelijk burgers zich kunnen authenticeren en identificeren bij overheden. Beide kennen hun eigen toepassingsprofiel ('verbijzondering') van SAML. Daarnaast kunnen overheden intern SAML toepassen, bij voorbeeld voor authenticatie van personeel binnen het eigen applicatielandschap. Logius heeft inzicht in de aansluitingen op eHerkenning en DigiD. Dit zijn functionerende koppelingen van overheid naar Logius. Vanuit eHerkenning loopt de koppeling op basis van SAML naar aanbieders van authenticatie voor bedrijven. In het geval van eHerkenning lopen aansluitingen exclusief via SAML, bij DigiD is SAML recent ingevoerd als alternatief voor twee andere koppelvlakken. Bij DigiD wordt verwacht dat het aantal aansluitingen via SAML in 2013 snel zal groeien.
Pagina Datum
Titel
30/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 6: Aansluitingen bij eHerkenning en DigiD, gebaseerd op SAML
Totaal
en op 19 aug. + 1 sept. 2013 (najaar)
Waterschappen
gechecked op 7 + 14 maart 2013 (voorjaar)
Provincies
(aansluitingen, gebaseerd op SAML)
Gemeenten
SAML (versie 2.0)
Rijk + Uitvoeringsorganisaties / ZBO's + OOV + eOverheid
(Bron: opgave Logius)
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
SAML bij eHerkenning
15
-
37
-
2
-
0
-
54
71
SAML bij DigiD
1
-
1
-
0
-
0
-
2
32
16
-
38
-
2
-
0
-
56
103
totaal
- voor najaar 2013 heeft Logius alleen totaal-cijfers aangeleverd
Voor DigiD zijn tot augustus 31 nieuwe organisaties in productie aangesloten, terwijl er nog 51 organisaties in pre-productie hun koppeling implementeerden. Dit bij elkaar maakt dat 14% van de organisaties die op DigiD zijn aangesloten SAML gebruiken; de andere organisaties maken gebruik van het A-select protocol. Bij eHerkenning zijn alle aansluitingen via SAML. Conclusie: De implementatie van SAML is nog beperkt, maar groeit. Logius verwacht dat het aantal aansluitingen bij DigiD in 2013 sterk zal groeien. 3.8. SIKB0101 versie 10 (gegevens bodembeheer) Uitwisselen kwaliteitsgegevens van de bodem, inclusief geografische en administratieve gegevens. standaard
op lijst sinds juni 2012
SIKB0101 (v. 10)
gebruik door overheden (%) totaal
ontwikkeling in gebruik
w.v. Rijk
bijna 100% van de (relevante) gebruikers
n.v.t.
Beheerorganisatie: Stichting Infrastructuur Kwaliteitsborging Bodembeheer
Toepassingsgebied: Uitwisselen van onderzoeksgegevens over de milieuhygiënische kwaliteit van de bodem en de specifieke gegevens die direct voortkomen uit (of vooruitlopen op) de besluiten die het bevoegd gezag naar aanleiding daarvan heeft genomen De SIKB meldt desgevraagd, dat nagenoeg 100% van de voor deze standaard relevante gebruikers, zoals Rijkswaterstaat, waterschappen en RIVM, de standaard SIKB0101 gebruikt. Conclusie: De implementatie van SIKB bij de relevante organisaties lijkt vrijwel volledig, terwijl de standaard toch nog maar kort op de lijst (sinds juni 2012).
Pagina Datum
Titel
31/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
3.9. Webrichtlijnen (toegankelijkheid websites) De Webrichtlijnen bevatten richtlijnen en principes voor het toegankelijk maken van webcontent die onder uiteenlopende situaties te gebruiken moet zijn, uitwisselbaar en duurzaam is. Het volgen van deze richtlijnen en principes maakt content optimaal bruikbaar en toegankelijk voor mensen en systemen, waaronder gebruikers van uiteenlopende webapparaten, besturingssystemen en hulptechnologieën. De Webrichtlijnen versie 2 biedt een technologie-onafhankelijke standaard die toepassing van verschillende technologieën toestaat en is voorbereid op toekomstige technologieën. standaard
op lijst
gebruik door overheden (%)
sinds
totaal
ontwikkeling in gebruik
w.v. Rijk
mrt 2008 gedeeltelijk: enkele tientallen lijkt af te nemen (v1), juni 2011 websites voldoen aan v1 / 3* eerste certificaten v2 behaald
Webrichtlijnen
Toepassingsgebied: Webgebaseerde informatie-, interactie-, transactie- en participatiediensten Voor de Webrichtlijnen is het overzicht van waarmerkdragers op de website van de Stichting Waarmerk drempelvrij.nl (www.drempelvrij.nl/waarmerkdragers/waarmerk-behaald) de betrouwbare bron. Sinds april 2013 (dat is na de voorjaars-meting) kan voor Webrichtlijnen versie 2 een waarmerk worden behaald. Van de 660 domeinnamen22 is nagegaan welke daarvan waarmerkdrager zijn. De eerste website met Webrichtlijnen versie 2 is dit jaar gecertificeerd met het Waarmerk Drempelvrij: de website van de gemeente Bronckhorst. Buiten de gemonitorde websites en/of na het tijdstip van de najaars-meting zijn ook www.asten.nl, gorinchem.digigids.eu, www.someren.nl en forms.overijssel.nl met succes getoetst23 op Webrichtlijnen versie 2. Tabel 7: Websites met Waarmerk Drempelvrij (Webrichtlijnen)
Totaal
en op 2 september 2013 (najaar)
Waterschappen
stand op 15 maart 2013 (voorjaar)
Provincies
(bron: Waarmerk drempelvrij.nl)
Gemeenten
Webrichtlijnen
Rijk + Uitvoeringsorganisaties / ZBO's + OOV + eOverheid
(Bron: Waarmerk drempelvrij.nl)
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
najaar
voorjaar
Webrichtlijnen v2 / volledig (3 ster)
0
0
0
1
0
0
0
0
0
1
Webrichtlijnen v1 / volledig (95 ptn = 3 ster)
18
7
31
29
1
3
3
1
53
40
Toegankelijkheid / prio 1+2 (≥ 46 ptn = 2 ster)
3
0
10
9
0
0
0
0
13
9
Toegankelijkheid / prio 1 (≥ 16 ptn = geen)
12
8
49
48
3
0
1
1
65
57
'Goed op weg' (12-15 ptn = oranje)
11
0
21
4
1
0
3
2
36
6
subtotaal
44
15
111
91
5
3
7
4
167
113
Voldoen niet, of zijn (nog) niet getoetst
141
170
317
337
11
13
24
27
493
547
totaal
185
185
428
428
16
16
31
31
660
660
22 23
Exclusief de 19 sub-domeinnamen in het bestand, deze kunnen niet worden gechecked. Zie: http://www.webrichtlijnen.nl/actueel/overzicht-van-overheden-die-pas-toe-kunnen-aantonen, bijgewerkt op 17 september 2013.
Pagina Datum
Titel
32/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
najaar
Het waarmerken is altijd een momentopname en op basis van een steekproef van willekeurige pagina's op de website, en de voorpagina. Wanneer nieuwe content toegevoegd wordt, kan het zijn dat deze niet conform de toegankelijkheidseisen is. Daarnaast kunnen websites in zijn geheel vervangen of aangepast worden waarbij het waarmerk gedateerd raakt. Tenslotte kan een website in principe ook aan de Webrichtlijnen voldoen zonder dat deze getoetst is voor het Waarmerk Drempelvrij. Conclusie: Het aantal 'waarmerkdragers' van Webrichtlijnen versie 1 lijkt af te nemen. Inmiddels zijn de eerste websites gecertificeerd met Webrichtlijnen versie 2. Webrichtlijnen: op basis van zelfrapportage Een andere bron van gegevens is het Websiteregister Rijksoverheid, waarin - op basis van zelfrapportage - websites van de rijksoverheid worden opgenomen, met informatie over het al dan niet voldoen aan de Webrichtlijnen. Uit controle door de beheerders van de Webrichtlijnen blijkt, dat sites die geen waarmerk hebben behaald maar wèl claimen dat zij (toch) aan de Webrichtlijnen voldoen eigenlijk nooit aan de Webrichtlijnen blijken te voldoen. Desondanks hieronder voor de volledigheid de gegevens o.b.v. het Websiteregister Rijksoverheid. Tabel 8: Websites die voldoen aan Webrichtlijnen (zelfrapportage) (Bron: Websiteregister Rijksoverheid) Webrichtlijnen (o.b.v. zelfrapportage) (bron: Websiteregister Rijksoverheid)
Totaal
stand op 6 februari 2013 (voorjaar) en op 23 augustus 2013 (najaar) voorjaar
najaar
Webrichtlijnen versie 2 / volledig
15
9
Webrichtlijnen versie 2 / deels
3
3
Webrichtlijnen v1 / volledig
27
63
Webrichtlijnen v1 / deels
104
95
Webrichtlijnen v1 / minder dan 47 v.d. 125 richtlijnen
182
162
(331)
(332)
812
578
1143
910
(subtotaal) voldoen niet, niet bekend, of niet getoetst totaal
3.10. Overzicht onderzochte open standaarden In maart 2013 stonden er 29 standaarden op de lijst voor 'pas toe of leg uit'. Voor 16 daarvan hebben wij het gebruik onderzocht, deels met behulp van webtools en deels op basis van informatie van beheer-organisaties. Van 4 beheer-organisaties hebben wij geen informatie kunnen krijgen, zodat in deze rapportage gebruiksgegevens verwerkt zijn van 12 standaarden, zie Tabel 9.
Pagina Datum
Titel
33/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 9: Onderzochte open standaarden Op de lijst sinds Aquo-standaard
Openbaar, gechecked met webtool of registratie
nov 2010
Digikoppeling (ebMS/WUS conform OSB) DKIM
Aansluit-gegevens beheer-organisatie beperkt
2009 / 2013
Ja
juni 2012
Ja
DNSSEC
juni 2012
Ja
E-portfolio NL
mei 2010
Geo-standaarden
mrt 2011
IFC
nov 2011
IPv6 en IPv4
nov 2010
JPEG
mei 2008
NEN-ISO/IEC 27001: 2005.nl
mei 2008
geen informatie
NEN-ISO/IEC 27002: 2007.nl
mei 2008
geen informatie
NL LOM
juni 2011
NTA 9040 (ihkv. Ondernemingsdossier)
nov 2012
geen informatie Ja
OAI-PMH
dec 2010
ODF 1.2
2008 / 2012
OWMS
nov 2011
PDF 1.7
nov 2009
beperkt
PDF/A-1
nov 2008
beperkt
PDF/A-2
juni 2012
beperkt
PNG
mei 2008
SAML
mei 2009
SEPA-standaarden
juni 2011
SETU-standaard
mei 2009
SIKB0101
juni 2012
STOSAG
nov 2011
StUF
Ja
Ja
nov 2008
Webrichtlijnen (v2)
2008 / 2011
XBRL en Dimensions
Pagina Datum
beperkt
geen informatie Ja
apr 2010
Titel
34/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
4. Toepassing open standaarden via generieke I-voorzieningen 4.1. Rijksoverheid: via generieke I-voorzieningen en shared services Als de rijksoverheid gebruik maakt van rijksbrede I-voorzieningen of shared services die voldoen aan de relevante open standaarden, dan voldoet ze daarmee voor een belangrijk deel van haar informatiehuishouding aan deze standaarden24. Daarom is dit jaar onderzocht25 in hoeverre negen generieke I-voorzieningen en shared services voldoen aan de relevante open standaarden. Het gaat om de volgende rijksbrede I-voorzieningen en shared services: • Digitale Werkomgeving Rijksdienst (DWR) • Rijksportaal • Rijksoverheid.nl • Doc-Direkt • P-Direkt • ON2013 • Rijkspas • OT2010 • Overheid.nl 26 Deze I-voorzieningen vallen bestuurlijk onder BZK/DGOBR, met uitzondering van Overheid.nl. Het beheer en de ontwikkeling zijn meestal belegd bij uitvoeringsorganisaties zoals SSC-ICT. De quick scan was alleen gericht op de beheerorganisaties van deze I-voorzieningen en shared services, waardoor vooral de vraag beantwoord kan worden of de beheerorganisatie er voor heeft gezorgd dat de I-voorziening zodanig is ingericht dat aan de relevante open standaarden voldaan kan worden. Dit is een noodzakelijke, maar niet altijd een voldoende voorwaarde. Vervolgens is het namelijk in een aantal gevallen afhankelijk van de afnemers, zoals de ministeries, of de standaard feitelijk geïmplementeerd en door gebruikers toegepast wordt. DWR ondersteunt bijvoorbeeld DNSSEC, maar de afnemende overheidsorganisatie besluit over het al dan niet gebruiken van DNSSEC. En Rijksoverheid.nl kan alleen (blijven) voldoen aan de webrichtlijnen als alle overheidsorganisaties hun content conform de richtlijnen aanleveren. In paragraaf 4.1.1 tot en met 4.1.9 wordt per generieke I-voorziening of shared service aangegeven welke open standaarden van de 'pas-toe-of-leg-uit'-lijst relevant zijn en in hoeverre de I-voorziening daar aan voldoet27. Tevens wordt informatie gegeven over de achtergrond, het aantal gebruikers en de toekomstplannen. Van elke I-voorziening is een korte beschrijving opgenomen, zie voor meer informatie de websites van de betreffende I-voorzieningen.
24
De betreffende overheidsorganisatie hoeft zich daarvan overigens niet altijd bewust te zijn, dit is één van de verklaringen voor verschillen tussen deze gegevens en de uitkomsten o.b.v. zelf-rapportage (hoofdstuk 5). 25 Door Piet Hein Minnecré en Huub Koninkx van VKA, in opdracht van ICTU. Ten opzichte van hun rapportage zijn in dit hoofdstuk op basis van aanvullende informatie enkele bevindingen aangepast en/of toegevoegd. 26 De website Overheid.nl omvat naast informatie van de rijksoverheid ook informatie van andere overheden. 27 Na de gegevensverzameling hebben wij geconstateerd, dat de beveiligingsstandaarden ISO 27001:2005nl en ISO 27002:2007nl, die voor alle voorzieningen relevant zijn, helaas ten onrechte maar beperkt onderzocht zijn. Daarom ontbreekt in de meeste gevallen de informatie of de voorzieningen hieraan voldoen.
Pagina Datum
Titel
35/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
4.1.1. Digitale werkomgeving Rijksdienst (DWR) Digitale Werkomgeving Rijksdienst (DWR) is de ICT werkplek voor rijksambtenaren. Deze werkplek wordt ondermeer technisch beheerd door SSC-ICT – Ministerie van Binnenlandse Zaken. Het Tactisch Beraad Generieke ICT (TBGI)heeft de regierol voor het optimaliseren van vraag en aanbod. DWR kent momenteel ongeveer 25.000 gebruikers. Bij DWR en Rijksportaal zijn meerdere organisatie eenheden betrokken die elk een eigen rol hebben bij de toepassing van open standaarden bij I-voorzieningen. TBGI (afstemming) zegt over deze twee voorzieningen het volgende: In al onze offerte aanvragen wordt standaard gevraagd om compliance met geldende standaarden: “Realiseer de functionaliteit door gebruik te maken van open standaarden: •
Bij de aanschaf van een ICT-dienst of ICT-product voor een toepassingsgebied dat voorkomt op de lijst die op de website www.forumstandaardisatie.nl is gepubliceerd, wordt gekozen voor een bij het desbetreffende toepassingsgebied vermelde open standaard.
•
Hiervan kan worden afgeweken indien een dergelijke dienst of product naar verwachting in onvoldoende mate wordt aangeboden, onvoldoende veilig of zeker functioneert, of om andere redenen van bijzonder gewicht.
•
Afwijkingen worden gemotiveerd vastgelegd in aanbieding.”
We hebben in de opdrachten SWF en Rijksportaal (richting SSC) geen gemotiveerde afwijkingen ontvangen en gaan er derhalve als opdrachtgever van uit dat deze voorzieningen voldoen aan geldende standaarden.
De volgende tabel bevat vooral input van SSC, vanuit de rol van technisch beheerder met commentaar van de experts. Relevante standaarden
Status
Opmerkingen
SAML2.0
Ja
SAML wordt door DWR ondersteund, in het bijzonder SAML 2.0. Deze dienst wordt aangeboden, maar nog niet iedereen maakt hiervan gebruik.
ODF (PNG, JPEG)
Ja
DWR voldoet aan ODF: DWR ondersteunt het openen, opslaan en lezen van ODFbestanden door het leveren van het Openoffice.org pakket. Daarbij moet aangetekend worden dat nieuwere versies van het openoffice pakket de standaard beter ondersteunen.
PDF/A-1
Deels
Op de werkplek zijn standaard twee office pakketten: OpenOffice.org biedt volledige ondersteuning voor PDF/A-1, MS Office 2007 biedt alleen ondersteuning voor PDF/A-1b en geen ondersteuning voor PDF/A-1a. Daarnaast zijn alle PDF-vormen te lezen door gebruik van Adobe Reader, en te maken door gebruik van Adobe Acrobat Professional. Dat laatste pakket wordt echter niet standaard geïmplementeerd maar slechts op verzoek van de afnemer. De meeste afnemers doen dat niet omdat het gebruik relatief duur is.
PDF/A-2
Deels
DWR biedt ook de mogelijkheid voor PDF/A-2 via Adobe Acrobat Professional, zie ook de opmerking hierboven.
PDF 1.7
Deels
DWR biedt ook de mogelijkheid voor PDF 1.7 via Adobe Acrobat Professional, zie ook de opmerking hierboven.
DNSSEC
Deels
SSC-ICT geeft aan dat de cliënt DNSSEC ondersteunt, en dat RijksDNS DNSSEC ondersteunt. SSC geeft aan, dat op het moment DNSSEC niet overal is aangezet omdat gebruikers/afnemers het niet gebruiken. NB. Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn. Zie conclusies.
NEN 27001 + NEN 27002
Niet bekend
Niet onderzocht.
DKIM
Gepland
DKIM staat pas sinds juli 2012 op de lijst voor 'pas toe of leg uit'. De huidige versie van het mail-platform (Exchange) kan DKIM nog niet ondersteunen. SSC-ICT heeft aangegeven dat op basis van het lifecycle proces van Exchange, dat is gekoppeld aan de
Pagina Datum
Titel
36/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
aangeschafte licentiestructuur, toekomstige versies en/of updates van het gebruikte mail platform geïmplementeerd worden. Hierbij is de ondersteuning van DKIM in de toekomst voorzien. Vervroegde upgrading zou leiden tot extra investeringskosten. Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord. IPv4 & IPv6
Gepland
IPv4 is in gebruik. De gebruikte technische componenten van DWR ondersteunen wel IPv6. Toepassing in de praktijk vraagt om nadere afspraken tussen departement over de wijze van implementatie en de te gebruiken IPv6 nummerreeksen. SSC geeft aan, dat DWR een interne infrastructuur aangelegenheid is, en daarom compliancy op dit moment niet de eerste prioriteit heeft. Het plan van SSC is om een logisch moment te kiezen voor de overgang. IPv6 is meegenomen in aanbesteding ON2013. Zie toelichting hieronder.
Webrichtlijnen
n.v.t.
Voor interne (web)toepassingen zijn de Webrichtlijnen niet verplicht. Op de werkplekken zijn twee browsers geïnstalleerd, IE v8 en Firefox 17.4. Die laatste ondersteunt de technische eisen die opgenomen zijn in de webrichtlijnen. IE v8 doet dat in mindere mate, maar is nodig omdat de webinterfaces van verschillende bedrijfsvoeringssystemen nog geen andere modernere browsers ondersteunen.
Conclusies • IPv4 / IPv6: Er is dus een verschil tussen een standaard ondersteunen, zoals DWR met IPv6 doet, en de standaard te (kunnen) gebruiken. Onderliggende netwerken moeten hierop worden ingericht of overgezet28. Dit kan worden gerealiseerd wanneer ON2013 (zie paragraaf 4.1.6) aanbesteed en geïmplementeerd is en indien daarin Ipv6 wordt ondersteund. • Intern of niet: Over het functioneel toepassingsgebied zegt de standaard: Communicatie op netwerkniveau over organisatiegrenzen heen tussen organisaties, individuele eindgebruikers, apparaten, diensten en sensoren. • DNSSEC: Het gaat ook om signing, bijv. t.b.v. uitgaande email. Veel departementale domeinnamen zijn nog niet gesigneerd. De werkende validatie is (nog) niet vast te stellen op DWR-clients bij Logius. • DKIM: Experts voegen toe dat met 3rd party software DKIM prima te regelen is. Het vereist dus geen nieuw mailplatform. Wel zijn daarmee investeringskosten gemoeid.
4.1.2. Rijksportaal Het Rijksportaal vervangt de oorspronkelijke intranetten van departementen. Het is één ingang naar informatie en diensten. Vanuit het Rijksportaal is het bijvoorbeeld mogelijk ook het nieuws te volgen van andere ministeries, personeelszaken te regelen of een zaal te reserveren. SSC-ICT beheert technisch naast het Rijksportaal ook de e-mail die hieraan is gekoppeld. Verder valt het Rijksportaal onder (DPC van) AZ. Relevante standaarden
Status
Opmerkingen
SAML2.0
Ja
SAML wordt door het Rijksportaal ondersteund.
ODF (PNG, JPEG)
Ja
ODF wordt ondersteund. Het kan geupload en gedownload worden. Wel is het zo dat voor MS documenten uitgebreidere ondersteuning wordt geboden zoals zoeken. Zoek-optie ODF ontbreekt in het Rijksportaal; dit is wel beschikbaar voor MS-Office formaat.
28
Bij de opname van IPv6/IPv4 op de lijst deed het College Standaardisatie een oproep aan: "het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties om er voor te zorgen dat de standaarden worden opgenomen in de interne netwerk- en systeeminfrastructuur van de overheid en in voorzieningen van de e-Overheid."
Pagina Datum
Titel
37/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
PDF/A-1
Ja
Het lezen wordt ondersteund middels Adobe Acrobat Reader; de ondersteuning zit strikt genomen in DWR.
PDF/A-2
Ja
Zie PDF/A-1.
PDF 1.7
Ja
Zie PDF/A-1.
NEN 27001 + NEN 27002
Niet bekend
Niet onderzocht.
IPv4 & IPv6
Gepland
Het Rijksportaal is nu alleen ingericht voor IPv4. Het netwerk ondersteunt nog geen IPv6. SSC heeft aangegeven dat het ontbreekt een uitdaging daarbij is de veelheid aan betrokken partijen en dat daarnaast de overgangskosten momenteel hoog zijn zonder duidelijk rendement. IPv6 is meegenomen in aanbesteding ON2013.
OWMS
Nee
Wordt op dit moment niet gebruikt.
Webrichtlijnen
n.v.t.
Voor interne (web)toepassingen zijn de Webrichtlijnen niet verplicht. Rijksportaal voldoet aan de technische eisen uit de Webrichtlijnen, maar er zijn afwijkingen ten aanzien van de eisen die gaan over de toegankelijkheid. SSC-ICT geeft hierover aan dat zij niet over de redactie gaan. Die verantwoordelijkheid ligt bij de gebruikers van het Rijksportaal.
DNSSEC
n.v.t.
Rijksportaal is een interne website, dus strikt genomen volgens SSC is er geen reden voor DNSSEC. Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients /werkplekken binnen een LAN en interne DNS-systemen). Zie conclusies onder deze tabel.
DKIM
n.v.t.
Rijksportaal is een interne website, dus strikt genomen is er geen reden voor DKIM. (NB: zie voor e-mail bij DWR.)
Conclusies • Voor de conclusie over IPv6 zie DWR (paragraaf 4.1.1) en ON2013 (paragraaf 4.1.6). • Rijksportaal is een platform waarop een groot aantal verschillende gebruikers stukken publiceren en is daarmee afhankelijk van het formaat waarin gebruikers die stukken publiceren. In de redactierichtlijnen wordt bijvoorbeeld het gebruik van ODF wel aanbevolen maar het wordt niet afgedwongen bij plaatsing van een stuk of automatisch geconverteerd voor gebruikers. Iets vergelijkbaars geldt voor het gebruik van de verschillende PDF formaten en ook het ondersteunen van de niet-technische eisen uit de webrichtlijnen. Het gebruik van standaarden is dus niet alleen afhankelijk van de I-voorziening zelf maar ook van de gebruiker van de I-voorziening. • Daarnaast hoeft Rijksportaal niet te voldoen aan bijvoorbeeld DKIM en DNSSEC aangezien het interne uitwisseling van gegevens betreft. Derhalve is ‘n.v.t.’ ingevuld. 4.1.3. Rijksoverheid.nl De website Rijksoverheid.nl is de externe website met informatie van en over alle ministeries. Dienst Publiek en Communicatie (DPC) is een baten-lastendienst en biedt shared service-diensten aan de rijksoverheid, waaronder domeinnaambeheerder van Rijksoverheid.nl.
Relevante standaarden
Status
Opmerkingen
IPv4 & IPv6
Ja
DPC geeft aan dat beide standaarden vrijwel volledig worden toegepast; behalve gerelateerde twee domeinen, welke NIET daadwerkelijk in bezit van Rijksoverheid.nl zijn, maar waar zij wel gebruik van maakt. DPC heeft aangegeven deze domeinen erop aan te spreken. Zij zien dit niet als vrijblijvend, en beroepen zich hierbij op de Baseline Informatie-beveiliging Rijksdienst (BIR). IPv6 biedt meer mogelijkheden tot beveiliging.
Pagina Datum
Titel
38/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
NEN 27001
Ja
Rijksoverheid.nl voldoet volgens opgave van DPC aan deze richtlijn conform de BIR.
NEN 27002
Ja
Zie NEN 27001.
DNSSEC
Ja
DNSSec is geïmplementeerd op 1 extern e-mailadres na welke NIET in bezit van Rijksoverheid.nl is, maar waar zij wel gebruik van maakt. Actie is in gang gezet om ook hier DNSSec in te voeren.
OWMS
Ja
Rijksoverheid.nl voldoet aan OWMS. Zie hun eigen Informatie Publicatie Model (IPM).
ODF (PNG, JPEG)
Ja
Niet alle bewerkbare documenten op Rijksoverheid.nl zijn beschikbaar als ODF. Er zijn 532 MS-Office documenten, en 357 ODF-documenten. (d.d. 12 augustus 2013). Er zijn geen plannen om documenten met terugwerkende kracht over te zetten naar ODF formaat. Qua afbeeldingen wordt alleen gebruik gemaakt van png (8bit) en jpeg .
Webrichtlijnen
Deels
Grotendeels voldoet Rijksoverheid.nl aan de Webrichtlijnen. Zie rijksoverheid.nl/toegankelijkheid. Qua toegankelijkheid wordt in het kader van ‘pas toe en leg uit’ beleid toegelicht hoe Rijksoverheid.nl met de open standaarden omgaat. Samengevat komt het erop neer, dat normen zijn afgesproken voor de aanlevering van pdf door redacteuren (zie pdf) en dat bij actuele informatie eerst snelheid van publicatie wordt betracht (video), om na een aantal dagen wel te voldoen aan de standaard.
DKIM
Gepland
Momenteel wordt DKIM niet ondersteund. DPC heeft een traject opgestart voor de invoering van DKIM, te beginnen met monitoring. Implementatie wordt verwacht begin 2014. Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord.
PDF/A-1 PDF/A-2 PDF 1.7
Nee
Op de website staan 79.600 PDF-documenten (d.d. 12 augustus 2013). Deze zijn in veel gevallen niet als PDF/A-1, PDF/-A-2 of PDF 1.7 beschikbaar. Echter, de pdf’s worden grotendeels aangeleverd door de 11 ministeries.
SAML2.0
n.v.t.
SAML is niet van toepassing omdat geen inlog plaatsvindt vanaf deze site.
Conclusies • IPv4 / IPv6: DPC spreekt over twee (gerelateerde) domeinen. Deze vallen striktgenomen buiten de scope van de voorziening Rijksoverheid.nl. Daarom is de status gezet op ‘Ja’. • ODF/PDF: DPC is afhankelijk van de partijen die documenten aanleveren, grotendeels door de 11 ministeries. Dit betreft in de veel gevallen niet een standaard formaat. De opmerking in de tabel hierboven bij webrichtlijnen maakt duidelijk dat eigen normen zijn vastgesteld. Zie ook de opmerking bij Webrichtlijnen over toegankelijkheid. Op deze manier is Rijksoverheid.nl transparant over de toepassing van open standaarden. 4.1.4. Doc-Direkt Doc-Direkt beheert en bewerkt archieven voor een toegankelijke, tijdige en transparante informatievoorziening van de rijksoverheid. De organisatie is samengesteld uit de archiefdiensten van de ministeries, het semi-statisch archief van de Belastingdienst en de Centrale Archief Selectiedienst (CAS). Doc-Direkt zorgt ervoor dat de rijksoverheid op het vlak van documentaire informatiehuishouding op orde is. Doc-Direkt ondersteunt departementen en taak- en uitvoeringsorganisaties van het Rijk bij de inrichting van hun informatie-huishouding (op papier en digitaal), bij de overgang van een papieren naar een digitale informatie-huishouding en bij het goed bewaren, archiveren en eventueel op termijn vernietigen van informatie volgens de daarvoor geldende regels. Slechts een beperkt aantal medewerkers van de departementen heeft toegang tot Doc-Direkt via de softwareapplicaties binnen de DWR omgeving, naar schatting gaat het om 346 geautoriseerde gebruikers.
Pagina Datum
Titel
39/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Relevante standaarden
Status
Opmerkingen
ODF (PNG, JPEG)
Ja
In het bewerken van concept documenten of het uitwisselen van definitieve documenten kunnen zowel ODF als PDF worden gebruikt voor de document gerelateerde taken. Aangezien Doc-Direkt vooral een archieffunctie heeft, wordt heel weinig gebruik gemaakt van deze formaten. Er wordt vooral gebruikt gemaakt van PDF, zie hieronder.
PDF/A-1
Ja
Doc-Direkt gebruikt PDF/A-1 en PDF1.7 lange termijn archivering. Welk formaat gebruikt wordt is afhankelijk van het type document en van de afspraken met de gebruiker.
PDF 1.7
Ja
Zie PDF/A-1.
PDF/A-2
Nee
Het gaat om de (definitief/rechtsgeldige) documenten binnen de digitale informatiehuishouding: PDF/A1.
NEN 27001 + NEN 27002
Niet bekend
Niet onderzocht.
Webrichtlijnen
n.v.t.
Voor interne (web)toepassingen zijn de Webrichtlijnen niet verplicht. Doc-Direkt heeft geen openbare website (internet). Wel intranet website, benaderbaar via portal. Op deze website staat slechts zeer beperkte informatie over wat Doc-Direkt doet. De website biedt geen toegang tot het archief.
Conclusies • Webrichtlijnen: De toegang tot de Doc-Direct voorzieningen verloopt niet via de eigen website maar via het Rijksportaal. Derhalve is deze standaard n.v.t. • PDF: voor de primaire taak (vooral archieffunctie) past Doc-Direkt de hiervoor geldende standaarden toe: PDF/A1 en PDF/1.7 (beperkt-, niet reviseerbare documenten). 4.1.5. P-Direkt P-Direkt is de HR-dienstverlener van en voor ministeries. De diverse applicaties staan op verschillende (sub)domeinen. Eén applicatie staat bijvoorbeeld op subdomein https://sap-portal.pdirekt.rijksweb.nl, terwijl Salarisadministratie en Personeelsdossiers elders staan. Op dit moment kent P-Direkt ongeveer 120.000 gebruikers, inclusief medewerkers van Buitenlandse Zaken. Defensie is (als enige) departement niet aangesloten.
Relevante standaarden
Status
Opmerkingen
SEPA
Ja
SEPA voor giraal betalingsverkeer binnen Europa, inclusief binnenlands betalingsverkeer. P-Direkt is over op SEPA, in alle systemen, en naar de departementen in interfaces doorgevoerd.
SAML2.0
Deels
P-Direkt is op dit punt zelf compliant. De toegang tot P-Direkt verloopt via SSC-ICT, als service provider. SAML is nog niet rijksbreed uitgerold, wel via alle DWR werkplekken en OCW. Anderen volgen in 2013-2014. Het is aan de departementen om gebruik te maken van deze standaard.
PDF/A-1 PDF/A-2 PDF 1.7
Gepland
P-Direkt past momenteel geen van de vastgestelde PDF standaarden toe. Formulieren zijn beschikbaar als PDF 1.6. i.p.v PDF 1.7. Loonstrookjes zijn beschikbaar als PDF 1.3 en niet als PDF/A. Dynamische documenten in het P-Direkt portaal vallen hier niet onder. Afgehandelde formulieren voor het personeelsdossier en loonstroken zijn nog niet in het PDF/A formaat. Dit zal projectmatig in 2014 worden gerealiseerd.
Pagina Datum
Titel
40/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
NEN 27001 + NEN 27002
Niet bekend
Niet onderzocht.
IPv4 & IPv6
Nee
P-Direkt heeft een intranet omgeving voor de Rijksdiensten. De toegang verloopt via meerdere kanalen, waaronder de Haagse Ring. P-Direkt heeft geen plannen om over te stappen op IPv6. Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord. Zie ook de conclusie.
Webrichtlijnen n.v.t
Voor interne (web)toepassingen zijn de Webrichtlijnen niet verplicht. P-Direkt heeft aangegeven plannen te hebben om op dit punt te verbeteren, al gaat het dan voornamelijk om betere ondersteuning door verschillende browsers.
DNSSEC
n.v.t.
Het standpunt van P-Direkt is, dat de voorziening een puur interne toepassing is en alleen gebruik maakt van rijksinfrastructuur. Daarom is DNSSEC niet van toepassing. Zie ook de conclusie. [Wat betreft de mail klopt dit niet]
OWMS
n.v.t.
OWMS is niet van toepassing. Het P-Direkt portaal is een transactie portaal en niet bedoeld voor het zoeken in grote hoeveelheden statische informatie.
ODF (PNG, JPEG)
n.v.t.
P-Direkt levert geen documenten aan klanten. ODF is niet van toepassing.
DKIM
n.v.t.
Net als DNSSEC is DKIM niet van toepassing. P-Direkt stuurt vanuit de voorziening geen e-mail. [Dit is eng begrip voor de voorziening]. Wanneer het Contact Center een e-mail stuurt, gebeurt dat via de e-mail voorziening van SSC-ICT van het Ministerie van Binnenlandse Zaken. Zie ook de conclusie.
Conclusie P-Direkt voldoet gedeeltelijk aan de voorgeschreven standaarden. Daarnaast wordt aangegeven dat de voorziening slechts aan een beperkt aantal standaarden hoeft te voldoen, omdat het een interne voorziening betreft die ook geen gebruik maakt van e-mail. Uit informatie van medewerkers van Logius blijkt echter, dat zij ook loonstroken ontvangen per e-mail. Kennelijk is het SSC wat dit betreft nog niet DNSSEC- en DKIM-compliant. Het ministerie van BZK heeft deze afwijkingen van 'pas toe of leg uit' in het Jaarverslag 2012 alsvolgt verantwoord: "Doordat de dienstverlening draait op gesloten systemen, kan de tooling niet op basis van open standaarden worden geselecteerd." 4.1.6. ON2013 ON2013 verzorgt de vraagbundeling voor de inkoop van vaste dataverbindingen voor verschillende overheidsorganisaties. Aanbesteding en realisatie moeten op dit moment nog plaatsvinden. De volgende verbindingen zullen worden geleverd: huurlijnen, DSL-lijnen VPN-verbindingen en -netwerken Internet access van 50 Mbit/s en meer Overheden kunnen deze verbindingen gebruiken om hun eigen WAN op te bouwen. Er zijn maar twee standaarden van toepassing op ON2013, de overige standaarden zijn niet relevant voor deze voorziening. ON2013 verricht slechts de inkoop van 'kale' dataverbindingen (vooral laag 1 en 2 van het OSI-model). De meeste standaarden zitten in de hogere lagen van het OSI-model en zijn daarmee niet relevant voor deze voorziening.
Pagina Datum
Titel
41/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Relevante standaarden
Status
Opmerkingen
IPv4 & IPv6
Ja
ON2013 eist van haar leveranciers dat zij zowel IPv4 als IPv6 verkeer kunnen routeren. De voorziening voldoet daarmee aan de eis. Daarmee is echter niet gezegd dat er ook daadwerkelijk gebruik wordt gemaakt van IPv6 over de geleverde verbindingen. Dat is afhankelijk van de individuele overheidsorganisaties die de verbindingen inzetten.
NEN 27001
Ja
ON2013 eist van haar leveranciers dat zij een beveiligingsbeleid specificeren aan de hand van ISO 27001 en 27002. De voorziening voldoet daarmee aan de standaarden.
NEN 27002
Ja
Zie NEN 27001.
Conclusie ON2013 voldoet aan de open standaarden voor hun deel van de infrastructuur. Dit zegt echter nog niets over het daadwerkelijk gebruik, zoals van IPv6. IPv6 is wel meegenomen in de vraagbundeling, in het bijzonder in de ontwerpfase, doch dit is nog een lopend traject. Zie ook opmerkingen over realisatie bij de andere I-voorzieningen. 4.1.7. Rijkspas De Rijkspas is de multifunctionele smartcard, en is een departementale oplossing voor toegang tot gebouwen, en voor beveiligde toegang tot pc’s, netwerken en applicaties. Op dit moment wordt de Rijkspas alleen ingezet voor de fysieke toegang tot gebouwen en om te printen. De oplossing Rijkspas werkt via een Rijksverkeershub. Voor beheer van de pas, zoals de aanvraag en opvragen van de status van de kaart, is het berichtenverkeer gestandaardiseerd. Deze standaardisatie geldt niet voor de wijze van implementatie. Het onderzoek beperkt zich tot het huidige gebruik van de Rijkspas, inclusief de voorziening voor het beheer. Buiten scope vallen dus toekomstige uitbreidingen, zoals de toegang tot applicaties. Naar het gebruik voor toegang tot applicaties loopt een beleidsonderzoek. Daarnaast loopt een onderzoek naar de combinatie van de Rijkspas met de Defensiepas. Deze laatste wordt wel al gebruikt voor authenticatie (digitale handtekening) en gebruikt certificaten. Binnen dit onderzoek is nog niet gekeken naar de relevantie van standaarden voor deze te ontwikkelen onderdelen. De ontwikkeling van de toepassingen van de Rijkspas heeft een raakvlak met een andere ontwikkeling, single sign-on, vanuit programma Toegang. Op basis van een nieuw identificerend nummer ter vervanging van BSN wordt een rijksbreed identity management systeem ontwikkeld. Dit ligt in het domein van DWR. Op dit moment zijn meer dan 100.000 Rijkspassen in omloop, waarvan ongeveer 70.000 actief. Hierbij wordt onderscheid gemaakt naar verschillende populaties. Enerzijds de eindgebruikers (ambtenaren, externen en bezoekers), en anderzijds beheerders.
Relevante standaarden
Status
Opmerkingen
NEN 27001
Ja
De ISO 27000 standaarden worden toegepast als kader voor alle beheerprocessen van de Rijkspas.
NEN 27002
Ja
Zie NEN 27001.
Digikoppeling
Deels
Voor de berichtenuitwisseling van de Rijkspas wordt gebruik gemaakt van de Digikoppeling, maar met een afwijking op de standaard (zie onderstaande toelichting). Rijkspas is op deze manier transparant over de toepassing van open standaarden.
Pagina Datum
Titel
42/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Webrichtlijnen n.v.t.
Voor interne (web)toepassingen zijn de Webrichtlijnen niet verplicht. Voor het beheer van de Rijkspas kan de eindgebruiker toegang zoeken via een eigen portaal. Hiervoor is niet gekeken naar het compliant zijn met de Webrichtlijnen.
Conclusie • De Rijkspas voldoet aan de beveiligings-standaarden NEN 27001 en NEN 27002. • Voor de berichtenuitwisseling van de Rijkspas wordt gebruik gemaakt van de Digikoppeling, maar wel met afwijking van de standaard (die gemotiveerd is vastgelegd). • Rijkspas geeft aan niet te hebben gekeken naar het compliant zijn met webrichtlijnen. Voor de Digikoppeling heeft Rijkspas gekozen voor een afwijking op de standaard. Deze afwijking is gemotiveerd vastgelegd, zie onderstaande toelichting. Op deze manier is de beheerder van Rijkspas transparant over de toepassing van open standaarden. Toelichting over Digikoppeling (door beheerder Rijkspas) Momenteel vindt de communicatie tussen het generieke gedeelte van de infrastructuur van de Rijkspas en de deelnemers plaats op basis van synchrone SOAP/XML berichten. Voor elke verbinding tussen het ToegangsControleSysteem (TCS) en/of CardManagementSysteem (CMS) is een specifieke verbinding opgezet. De Rijkspas heeft van de twee varianten van Digikoppeling gekozen voor WUS, vanwege de financiële impact en de snelheid van bericht-aflevering bij het intrekken van departementale toegang naar aanleiding van pas verloren / diefstal. Volgens de formele Digikoppeling definitie dient echter ebMS gebruikt te worden. In een notitie wordt voorgesteld expliciet af te wijken van de voorgestelde standaard (ebMS) met opname in het jaarverslag van de verantwoordelijke Rijksoverheidsorganisatie. Separaat wordt in genoemde notitie aangegeven, dat binnen Rijkspas een RFC zal worden opgenomen voor onderzoek naar de meest geëigende oplossing in continuïteit.
4.1.8. OT2010 Haagse Inkoop Samenwerking / SBO: De contracten voor vaste en mobiele telefonie en andere end user devices van het rijk. Relevante standaarden
Status
Opmerkingen
IPv4 & IPv6
Ja
Beide standaarden; Mobiel (SMS Gateway & Mob.comm.diensten) en Inbound: standaard voor zowel InternetProtocolv4 & v6 als DNSsec als eis opgenomen in Beschr.doc. OT2010. Vaste telefonie: standaard voor IPv6. VoIP Centrales: aansluiting van VoIp centrales op IPv6 netwerk met behulp van gateway. Uit controle bij Logius is gebleken dat voor de smartphones niet van IPv6 wordt gebruik gemaakt. Zie conclusie.
DNSSEC
Ja
OT2010 heeft aangegeven DNSSEC te gebruiken. Uit controle bij Logius is gebleken dat niet van DNSSEC wordt gebruik gemaakt, zie conclusie.
NEN 27001 + NEN 27002
Niet bekend
Niet onderzocht.
Conclusie Voor OT2010 lijkt slechts een beperkt aantal standaarden relevant. Wie echter bedenkt dat tegenwoordig op smartphones ook gebruik wordt gemaakt van kantoorapplicaties voor het lezen van documenten moet zich afvragen of de hiervoor relevante standaarden niet ook opgenomen moeten worden. Hierover hebben wij van de beheerder geen informatie ontvangen, waardoor we niet kunnen
Pagina Datum
Titel
43/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
bepalen in hoeverre ook andere open standaarden relevant zijn en evenmin of dit binnen de scope van OT2010 valt (of, bijvoorbeeld, binnen de scope van DWR). Daarnaast blijkt uit informatie van medewerkers van Logius dat hun OT2010-telefoons geen gebruik maken van DNSSEC en IPv6. Door de korte doorlooptijd van het onderzoek is het niet gelukt deze bevindingen voor reactie terug te leggen. Dit onderwerp verdient verder onderzoek. 4.1.9. Overheid.nl De website Overheid.nl is een web-portaal met toeleiding naar officiële informatie van de Nederlandse overheid en bevat naast informatie van de rijksoverheid ook informatie van andere overheden. Het portaal is in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gemaakt door Logius. De onderdelen Overheid.nl portal, MijnOverheid, Overheidsorganisaties, ZBOregister en Producten en diensten zijn in beheer bij Logius. De overige onderdelen, waaronder Officiële Bekendmakingen, zijn in beheer bij KOOP (BZK, Werkmaatschappij). De vormgeving van de verschillende onderdelen is keurig op elkaar afgestemd. Maandelijkse bezoekersaantallen voor de KOOP collecties zijn rond 900.000 voor (decentrale) wet- en regelgeving, officiële bekendmakingen meer dan 400.000, en tuchtrecht 35.000. Relevante standaarden
Status
Opmerkingen
NEN 27001
Ja
ON2013 eist van haar leveranciers dat zij een beveiligingsbeleid specificeren aan de hand van ISO 27001 en 27002. De voorziening voldoet daarmee aan de standaarden. KOOP hanteert de Baseline Informatiebeveiliging Rijksdienst bij implementatie van ISO 27001 en 27002.
NEN 27002
Ja
Zie NEN 27001.
OWMS
Ja
De meeste collecties op Overheid.nl zijn voorzien van metadata conform OWMS, Officiële Bekendmakingen en geconsolideerde wet- en regelgeving zitten in een compliance-traject
PDF/A-1
Ja
Beleid is om alle content primair in HTML beschikbaar te hebben en waar noodzakelijk, bijvoorbeeld omdat dat wettelijk wordt voorgeschreven, in PDF. De authentieke versie van alle Officiële Bekendmakingen zijn beschikbaar in PDF/A-1. Dat geldt ook voor publicaties in de gemeente-, provincie- en waterschapsbladen. Verschillende, maar niet alle, Officiële Bekendmakingen zijn daarnaast beschikbaar in ODF. De overige KOOP-collecties zijn niet beschikbaar in PDF, wel in HTML. Vaak verwijzen zij weer naar websites van derden.
ODF (PNG, JPEG)
Deels
Verschillende, maar niet alle, Officiële Bekendmakingen zijn ook beschikbaar als ODF; zie ook PDF opmerkingen.
Webrichtlijnen
Deels
Grotendeels voldoet Overheid.nl aan de Webrichtlijnen. Zie www.overheid.nl/toegankelijkheid. De collectie ‘Officiële bekendmakingen’ heeft een oranje score. Oorzaak hiervan ligt met name in het feit dat in voorkomende gevallen de inhoud van de bekendmaking niet conform de webrichtlijnen gepubliceerd kan worden, bijvoorbeeld omdat een tabel-titel of begeleidende tekst bij een plaatje ontbreekt. De publicerende partij kan deze content niet eigenmachtig toevoegen en de keten van aanlevering (het wetgevingstraject) is te lang om de content aan te passen.
IPv4 & IPv6
Gepland
Vorig jaar (2012) heeft een aanbesteding plaatsgevonden voor hosting van de collecties van officiële overheidspublicaties die via het portaal beschikbaar gesteld worden. Vervolgens is alles overgezet naar een nieuw platform. Conform de eisen van de aanbesteding ondersteunt de hosting partij deze technische standaarden. Implementatie van IPV6 en DNSSEC zijn in voorbereiding en zullen in de loop van 2014 gerealiseerd zijn. Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord.
Pagina Datum
Titel
44/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
DNSSEC
Gepland
Zie IPv4 & IPv6. Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord.
PDF/A-2
Nee
PDF 1.7
n.v.t.
PDF/1.7 is niet relevant.
SAML2.0
n.v.t.
SAML is enkel van toepassing voor MijnOverheid en wordt daar ook gebruikt; MijnOverheid.nl wordt gezien als een andere voorziening.
DKIM
n.v.t
Aangezien er geen sprake is van email verkeer voor de operatie van de KOOP-collecties op overheid.nl is DKIM niet van toepassing.
Conclusie • IPv6 en DNSSEC: Door de aanbesteding van 2012 zijn de voorwaarden ingevuld voor de toepassing van deze twee standaarden. Realisatie staat gepland voor 2014. • ODF en PDF: Waar dat verplicht is, zijn documenten in PDF/A-1 beschikbaar. Hier speelt mede het ketenaspect: KOOP houdt zich aan de wettelijke verplichtingen maar heeft daarnaast beleid dat is gericht op HTML. 4.1.10. Algemene conclusies In het vorige hoofdstuk zijn per I-voorziening conclusies opgenomen. Hieronder worden de algemene bevindingen gegeven. Over het verkrijgen van de informatie Een eerste algemene observatie betreft de vereiste inspanning om de benodigde informatie boven tafel te krijgen. In de meeste gevallen bleek het niet eenvoudig de juiste informatie te vinden. Daarvoor zijn de volgende redenen: • Opvallend is dat veel van de onderzochte I-voorzieningen een complexe sturingsstructuur kennen die het lastig maakt om te bepalen wie verantwoordelijk is voor goed gebruik van de verschillende standaarden. • Informatie over het gebruik van standaarden is vaak slecht gedocumenteerd of de informatie is niet publiek toegankelijk. • Medewerkers van de I-voorzieningen zijn soms ook zelf niet op de hoogte van welke standaarden toegepast worden door de I-voorziening. Generieke I-voorzieningen als aanjager van standaardisatie De gedachte achter het onderzoeken van I-voorzieningen is dat die een centrale rol hebben en daarmee het gebruik van standaarden aan kunnen jagen. Gebruikers die de generieke I-voorzieningen gebruiken maken daarmee ook gebruik van de relevante standaarden. Deze gedachte is juist, maar gaat slechts deels op. Daarvoor zijn de volgende redenen: De I-voorziening als inkoper en als leverancier. Sommige I-voorzieningen zijn zowel inkoper (op de markt) als leverancier (SSC). Bijvoorbeeld: de voorziening DWR voldoet goed aan een aantal standaarden, in potentie ondersteunt de voorziening immers het gebruik van bijvoorbeeld PDF/A-2 door het leveren van Adobe Acrobat Professional. Toch is het goed mogelijk dat de eindgebruiker van DWR daar geen gebruik van kan maken omdat het departement waar hij/zij voor werkt juist dat onderdeel niet afneemt van DWR. Vanuit het oogpunt van de SSC-ICT voldoet de voorziening in dat geval. Vanuit het oogpunt van de eindgebruiker voldoet de voorziening dan niet.
Pagina Datum
Titel
45/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Afhankelijkheid van overige partijen Voorbeeld is het gebruik van IPv6 (en IPv4). In het bijzonder aan de kant van DWR en Rijksportaal is de inrichting geschikt voor IPv6, maar de onderliggende netwerken zijn hierop niet ingericht of overgezet. ON2013 werkt hier wel aan, maar is nog niet operationeel. Een ander voorbeeld zijn de Webrichtlijnen. De Webrichtlijnen bevatten eisen die aan het portaal gesteld worden, maar ook eisen die aan de inhoud gesteld worden. Dat maakt het niet alleen technisch, maar vooral ook organisatorisch, lastig om aan blijvend aan de Webrichtlijnen te voldoen. Bij een voorziening met een portaalfunctie, zoals het Rijksportaal en Overheid.nl, is dit vraagstuk nog lastiger. Daar de totale voorziening geleverd wordt door verschillende partijen. Zo beheert SSC-ICT het Rijksportaal, de dienstverlening valt onder DPC van het Ministerie van Algemene Zaken. Inhoud wordt echter geleverd door een breed aantal partijen. Met Overheid.nl en onderliggende contentdiensten zoals Officiële bekendmakingen geldt min of meer hetzelfde. Om te zorgen dat het portaal voldoet aan de standaard is dus een breed samenspel van partijen nodig. Bij Rijksoverheid.nl wordt hierop gestuurd door het gebruik van redactie-richtlijnen, maar dat levert nog onvoldoende garantie dat aan de standaard wordt voldaan. Generieke I-voorzieningen als rem op standaardisatie Hoewel het dus te ver gaat om te zeggen dat gebruik van standaarden door I-voorzieningen garant staat voor goed gebruik van standaarden door afnemers, is het omgekeerde wel waar. Voorzieningen die (nog) niet de relevante standaarden ondersteunen of verouderde versies ondersteunen remmen de toepassing van open standaarden door afnemers en door gebruikers. Intern of niet In een aantal gevallen wordt aangegeven dat I-voorzieningen geen gebruik hoeven te maken van standaarden omdat het interne I-voorzieningen betreft. Dat lijkt op het eerste gezicht logisch, maar ligt genuanceerd. In bepaalde gevallen lijken interne voorzieningen bijvoorbeeld toch externe functies te hebben, zoals mail-updates. Daarnaast kunnen open standaarden ook bij intern gebruik een belangrijke rol spelen. Een voorbeeld is het gebruik van DNSSEC, het argument om deze standaard niet te gebruiken door Rijksportaal is dat de site alleen intern gebruikt kan worden en dat DNSSEC dus weinig toevoegt. Voor DNSSEC is dat wellicht te verantwoorden maar voor een standaard als de Webrichtlijnen geldt dat de toegankelijkheid van de website is ook bij intern gebruik nuttig is. Bij IPv6 wordt via de Digitale Agenda prioriteit gegeven aan het eerst toepassen in extern gerichte adressering van websites en e-mailadressen. Dat lijkt een logische fasering. Tegelijkertijd is het goed om te zien dat ON2013 toch ook aandacht heeft voor de invoering van IPv6 op interne, interorganisationele netwerken. 4.1.11. Overzicht: toegepaste standaarden in I-voorzieningen en shared services Van alle 27 open standaarden op de 'pas toe of leg uit'-lijst zijn er 16 relevant voor één of meer generieke I-voorzieningen of shared services. Voor enkele I-voorzieningen en shared services zijn veel open standaarden relevant, zoals Rijksoverheid.nl, Overheid.nl, DWR en Rijksportaal.
Pagina Datum
Titel
46/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Voor andere, zoals OT 2010 en ON 2013 zijn slechts enkele open standaarden relevant. In de meeste gevallen voldoen deze generieke I-voorzieningen of shared services ook aan de relevante open standaarden: in 63 gevallen is een standaard van de lijst relevant, in 36 gevallen (57%) voldoet de I-voorziening daar aan en in 20 gevallen (32%) voldoet de I-voorziening daar deels aan of is dat gepland. Slechts in 7 gevallen (11%) voldoet de I-voorziening niet aan een relevante open standaard. In twee van deze laatste gevallen heeft het ministerie van BZK in het Jaarverslag 2012 bovendien verantwoording afgelegd van deze afwijking van 'pas toe of leg uit'. Van de onderzochte rijksbrede I-voorzieningen of shared services worden de meeste al breed gebruikt: Rijksoverheid.nl en Rijksportaal door de gehele rijksoverheid en Overheid.nl door alle overheden, P-Direct kent 120.000 gebruikers, er zijn 70.000 actieve Rijkspassen in omloop en DWR kent momenteel ongeveer 25.000 gebruikers.
Pagina Datum
Titel
47/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
P-Direct
Rijk
346
120.000
10
9
13
6
6
NEN-ISO\IEC 27001:2005nl
*)
*)
*)
*)
*)
NEN-ISO\IEC 27002:2007nl
*)
*)
*)
*)
*)
11x
voldoet deels
9x
gepland
7x
voldoet niet
gebruik aantal relevante standaarden
OT2010
Doc-Direkt
Rijk
voldoet
Rijkspas
Rijksoverheid.nl
25.000
36x
ON2013
Rijksportaal
n.v.t.
DWR
171x
alle overheden
70.000
3
3
Overheid.nl
Tabel 10: Open standaarden toegepast in generieke I-voorzieningen en shared services
2
11
Sinds 2008 op de lijst: Webrichtlijnen
PNG JPEG (v)
PDF/A-1 StUF Sinds 2009 op de lijst: ebMS/WUS/Digikoppeling SETU SAML
(v)
PDF 1.7
(v)
Sinds 2010 op de lijst: XBRL v2.1 E−portfolio Aquo Standaard (v)
IPv6 en IPv4
(v)
OAI−PMH Sinds 2011 op de lijst: Geo−standaarden NL LOM SEPA−standaarden OWMS IFC STOSAG Sinds 2012 op de lijst: (v)
DNSSEC (v)
DKIM
(v)
SIKB 0101 ODF 1.2 29 (v)
PDF/A-2
*) Waarschijnlijk relevant, maar niet onderzocht of voorziening hieraan voldoet. (v) Het ministerie van BZK heeft deze afwijking van 'pas toe of leg uit' in het Jaarverslag 2012 verantwoord.
29
ODF 1.2 vervangt per 15 juni 2012 de oudere standaard ODF (die sinds 2008 op de lijst stond).
Pagina Datum
Titel
48/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
(v)
4.2. Rijk en mede-overheden: via NUP-bouwstenen Door na te gaan in hoeverre de NUP-bouwstenen voldoen aan de relevante open standaarden en vervolgens in kaart te brengen hoe breed de bouwstenen door overheden gebruikt worden, ontstaat een beeld van de toepassing van open standaarden - voor een (beperkt) deel van de informatiehuishouding binnen en tussen overheidsorganisaties. 4.2.1. Quickscan toepassing open standaarden in NUP-bouwstenen In 2008 is het Programmabureau NOiV nagegaan in hoeverre de toenmalige NUP-bouwstenen voldeden aan de open standaarden van de toenmalige (beperkt) lijst voor ‘pas–toe-of-leg-uit’ van het Forum en College Standaardisatie. De NUP-bouwstenen zijn de afgelopen jaren verder ontwikkeld en de lijst met open standaarden is sindsdien aanzienlijk uitgebreid. Daarom is in 2012 aan Piet Hein Minnecré (VKA) gevraagd om een (eenmalige) nieuwe ‘quickscan’ uit te voeren van de NUPbouwstenen, om na te gaan of en in hoeverre deze gebruik maken van de standaarden van de pastoe-of-leg-uit lijst30. Hiervoor zijn ondermeer beheerders van de NUP-bouwstenen geconsulteerd. Het beeld per NUP-bouwsteen is in detail te vinden in Bijlage 3. 4.2.2. Toepassing van open standaarden in NUP-bouwstenen In Tabel 11 zijn de resultaten van de quickscan samengevat. Duidelijk is te zien, dat 10 van de 24 standaarden voor geen enkele NUP-bouwsteen relevant zijn: JPEG, SETU, XBRL v2.1, E−portfolio, Aquo Standaard, OAI−PMH, NL LOM, SEPA−standaarden, IFC en STOSAG. Van de 14 open standaarden die wèl relevant zijn is de helft relevant voor niet meer dan één NUPbouwsteen: NEN-ISO\IEC 27001:2005nl, NEN-ISO\IEC 27002:2007nl en PDF 1.7 (voor eHerkenning), ODF, PNG en WSRP (voor MijnOverheid), en de Geo−standaarden (voor een deel van de basisregistraties). Voor de beveiligings-standaarden NEN-ISO\IEC 27001:2005nl en NEN-ISO\IEC 27002:2007nl is dit waarschijnlijk een onderschatting: getuige de reactie op het onderzoeksrapport van de OVV (Onderzoeksraad voor de Veiligheid) inzake DigiNotar 31 ziet de minister van BZK dat anders: “Aangezien de open standaarden voor informatiebeveiliging ISO 27001 en ISO 27002 al op de ‘“Comply or Explain””(Pas-toe-of-leg-uit’)-lijst van het Forum Standaardisatie zijn opgenomen als verplichte standaarden voor de hele overheid, ligt het in de rede dat deze standaarden in voornoemde organisaties de belangrijke leidraad zullen zijn voor het handelen. Binnen de Rijksoverheid zijn deze standaarden uitgewerkt in de voorziene Baseline Informatiebeveiliging Rijk (BIR).” Vooral Digikoppeling (relevant voor 9 NUP-bouwstenen), IPv6/IPv4 (7), Webrichtlijnen (6) en SAML (4) zijn voor een belangrijk deel van de NUP-bouwstenen relevant. StUF is voor 3 NUP-bouwstenen relevant en PDF/A en OWMS voor 2 bouwstenen. Omgekeerd blijkt dat vooral voor MijnOverheid (9 standaarden), eHerkenning (6) en Antwoord voor Bedrijven (5) veel open standaarden relevant zijn.
30
Na de gegevensverzameling hebben wij geconstateerd, dat de beveiligingsstandaarden ISO 27001:2005nl en ISO 27002:2007nl, die voor alle voorzieningen relevant zijn, helaas ten onrechte maar beperkt onderzocht zijn. Daarom ontbreekt in de meeste gevallen de informatie of de voorzieningen hieraan voldoen. 31 Onderzoeksraad voor de Veiligheid, Het DigiNotar-incident, waarom digitale veiligheid de bestuurstafel te weinig bereikt.
Pagina Datum
Titel
49/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
DigiD
DigiD Machtigen
Antwoord voor bedrijven
2
4
4
5
NEN-ISO\IEC 27001:2005nl
a)
a)
a)
a)
a)
a)
a)
NEN-ISO\IEC 27002:2007nl
a)
a)
a)
a)
a)
a)
a)
gepland
8x
voldoet niet
aantal relevante standaarden
Digimelding
BSN
0
6x
Digilevering
Antwoord 14+ netnummer
9
voldoet
Digikoppeling *)
MijnOverheid
1
n.v.t.
26 x
Basisregistraties
Samenwerkende Catalogi
1
272 x
eHerkenning
Webrichtlijnen *)
Tabel 11: Compliance van de NUP-bouwstenen aan open standaarden
6
3
1
3
1
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
Sinds 2008 op de lijst: Webrichtlijnen
ODF PNG JPEG PDF/A StUF Sinds 2009 op de lijst: ebMS/WUS/Digikoppeling SETU SAML WSRP PDF 1.7 Sinds 2010 op de lijst: XBRL v2.1 E−portfolio Aquo Standaard IPv6 en IPv4 OAI−PMH Sinds 2011 op de lijst: Geo−standaarden NL LOM SEPA−standaarden OWMS IFC STOSAG Omdat de quick scan van de compliance van NUP-bouwstenen in 2012 plaatsvond, zijn standaarden die na 2011 op de lijst voor 'pas-toe-of-leg-uit' zijn geplaatst niet in dit overzicht opgenomen. *) Deze NUP-bouwstenen zijn zelf een open standaard (van de lijst voor 'pas toe of leg uit') a) Waarschijnlijk relevant, maar niet onderzocht of voorziening hieraan voldoet.
In totaal is in 40 gevallen een open standaard relevant voor een NUP-bouwsteen. In tweederde van die gevallen (26x) voldeed (medio 2012) de NUP-bouwsteen ook aan die open standaard en in nog eens 15% van de gevallen (6x) was dat gepland. Slechts in 8 gevallen (20%) voldeed een bouwsteen niet aan een relevante open standaard. In de meeste gevallen betreft dit IPv6/IPv4, overigens is die
Pagina Datum
Titel
50/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
standaard pas eind 2010 op de lijst geplaatst. Daarnaast gaat het om Digikoppeling (1x, staat sinds 2009 op de lijst) en om OWMS (1x, pas sinds 2011 op de lijst). Opvallend is dat: • de basisregistraties slecht voldoen aan Digikoppeling en aan StUF32; • voor sommige standaarden (zoals Webrichtlijnen) geldt dat er verschillende niveaus van toetsing zijn waaraan voldaan kan worden; • veel NUP-bouwstenen niet of slecht voldoen aan IPv6; IPv6 wordt door veel van de beheerders van voorzieningen als niet relevant voor hun scope gezien, zij zijn daardoor niet op de hoogte van het gebrek aan bereikbaarheid van hun voorziening op basis van IPv6. In sommige gevallen zijn de NUP-bouwstenen zelf of de onderliggende standaarden op de lijst opgenomen, dat geldt voor de Webrichtlijnen en Digikoppeling. Daarnaast zijn eHerkenning en Samenwerkende Catalogi inmiddels aangemeld voor opname op de lijst. 4.2.3. Gebruik van NUP-bouwstenen en toepassing open standaarden Door actuele gegevens over het gebruik van de NUP-bouwstenen (uit de iNUP-monitoring van Operatie NUP, door KING)33 te leggen naast de daarin toegepaste open standaarden (op basis van de quickscan uit 2012) ontstaat een beeld van de toepassing van open standaarden in een specifiek deel van de informatiesystemen van de (mede)overheden. Niet over alle NUP-bouwstenen blijkt dergelijke informatie beschikbaar te zijn: Digimelding en Digilevering zijn nog niet grootschalig geïmplementeerd en over Samenwerkende Catalogi, BSN, DigiD en DigiD Machtigen wordt in de genoemde publicaties niet gerapporteerd. Verder is voor Antwoord voor Bedrijven is alleen het totaal-percentage voor vorig jaar (2012) bekend, en is het Antwoord 14+ netnummer alleen van toepassing voor gemeenten.
32
Hierbij kan worden aangetekend, dat een deel van de basisregistraties teruggaat op registraties van vele jaren geleden (ver voordat er sprake was van open standaardenbeleid), de noodzakelijke migratie vergt tijd. 33 Stuurinformatie Programmaraad Stelsel van Basisregistraties, Editie 05, 01-09-13, en Stuurinformatie Programmaraad e-Overheid voor Burgers, Editie 05, 01-09-13.
Pagina Datum
Titel
51/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Digikoppeling *)
Digilevering
Digimelding
aantal relevante standaarden
Basisregistraties **)
voldoet niet
eHerkenning
gepland
8x
Antwoord voor bedrijven (2012)
voldoet
6x
DigiD Machtigen
26 x
1
1
9
0
2
4
4
5
6
3
1
3
1
n.b.
45%
71%
91%
n.b.
45%
75% 100%
n.b.
11% 100% 71%
n.b.
17%
77%
92%
nog niet in gebruik
n.v.t.
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
a)
0%
Gemeenten
100%
Provincies
100%
Waterschappen
geen gegevens
Uitvoeringsorganisaties
0%
nog niet in gebruik
100%
Ministeries
27% n.v.t.
geen gegevens
n.v.t.
DigiD
142 x
geen gegevens
Toepassing van OSn:
BSN
< 25%
geen gegevens
25-50%
Antwoord 14+ netnummer
50-75%
MijnOverheid
≥ 75%
Samenwerkende Catalogi
Gebruik van bouwsteen:
Webrichtlijnen (cijfers 2012) *)
Tabel 12: Gebruik van de NUP-bouwstenen (waarvoor open standaarden relevant zijn)
13%
58%
0%
n.v.t.
100%
0%
n.v.t.
n.b.
0%
88%
32%
Totaal
97%
12%
50%
96%
12%
97%
71%
(Totaal vorig jaar)
97 %
12 % 46 %
96 %
3%
94 % 48 %
Webrichtlijnen NEN-ISO\IEC 27001:2005nl NEN-ISO\IEC 27002:2007nl ODF PNG PDF/A StUF ebMS/WUS/Digikoppeling SAML WSRP PDF 1.7 IPv6 en IPv4 Geo−standaarden OWMS
Omdat de quick scan van de compliance van NUP-bouwstenen in 2012 plaatsvond, zijn standaarden die na 2011 op de lijst voor 'pas-toe-of-leg-uit' zijn geplaatst niet in dit overzicht opgenomen. n.b. = niet bekend (geen gegevens beschikbaar) a) Waarschijnlijk relevant, maar niet onderzocht of voorziening hieraan voldoet. *) Deze NUP-bouwstenen zijn zelf een open standaard (van de lijst voor 'pas toe of leg uit') **) Basisregistraties: gemiddelde voor GBA, BAG, BRK, WOZ en BRV.
Over de toepassing van Webrichtlijnen zijn in het kader van de iNUP-monitoring door KING dit jaar geen nieuwe toepassingsgegevens verzameld, omdat het beleid werd aangepast en omdat Webrichtlijnen versie 2.0 is geïntroduceerd. In tabel 12 zijn daarom voor de Webrichtlijnen de cijfers uit 2012 opgenomen34.
34
Omdat de cijfers van de iNUP-monitoring in dit geval gebaseerd zijn op zelfrapportage door de verschillende overheden, verschilt het percentage sterk van het aantal Waarmerk Drempelvrij-certificaten in paragraaf 3.9.
Pagina Datum
Titel
52/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Vier NUP-bouwstenen worden breed toegepast: de Webrichtlijnen, Antwoord voor Bedrijven, de vijf Basisregistraties die al in gebruik zijn (GBA, BAG, BRK, WOZ en BRV) en Digikoppeling. Daardoor worden de vijf daarin toegepaste open standaarden ook door veel overheden gebruikt (binnen het kader van de betreffende NUP-bouwstenen): • Webrichtlijnen (binnen Webrichtlijnen en Antwoord voor Bedrijven), • PDF/A (Antwoord voor Bedrijven), • StUF (Basisregistraties), • Digikoppeling (Antwoord voor Bedrijven, Basisregistraties en Digikoppeling), en • Geo-standaarden (Basisregistraties). Bovendien zouden IPv6/IPv4 en OWMS ook door veel overheden gebruikt worden, als deze standaarden wèl door Antwoord voor Bedrijven toegepast zouden worden (wat zou moeten). Het gebruik van Digikoppeling is flink gestegen, van 48% tot 71%. Ook eHerkenning wordt nu breder gebruikt dan een jaar geleden (gestegen van 3% naar 12%), waarmee de standaarden die daarin worden toegepast (Webrichtlijnen, NEN-27001, NEN-27002, SAML en PDF 1.7) breder worden toegepast. Voor het Antwoord 14+ netnummer, waarvan de implementatie ook redelijk is gevorderd, is geen enkele open standaard relevant. Kanttekeningen bij deze bevindingen Het gebruik van een open standaard is niet altijd voldoende interoperabiliteit te realiseren. In sommige gevallen (bijvoorbeeld het gebruik van SAML door DigiD en eHerkenning) wordt weliswaar dezelfde standaard gebruikt, maar verschilt de implementatie van de standaard. Dit komt de compatibiliteit met overige software-implementaties van de standaard niet ten goede. Iets vergelijkbaars geldt voor het gebruik van StUF. Het gebruik van verschillende (soms eigen) versies maakt dat wel aan het beleid wordt voldaan, maar dat eigenlijk nog geen sprake is van volledige standaardisatie. De beoogde winst door het toepassen van open standaarden vervalt hiermee voor overheden die op basis van een standaard willen aansluiten op een voorziening. De gedachte dat overheden die gebruik maken van de NUP-bouwstenen ook gebruik maken van de open standaarden waar deze aan voldoen gaat maar ten dele op. Overheden bijvoorbeeld die van eHerkenning gebruik maken voldoen voor deze bouwsteen wel aan de Webrichtlijnen, maar daarmee is niet gezegd dat (de rest van) hun website daar ook aan voldoet 35.
35
Wel is het zo dat zij, door dat eHerkenning de webrichtlijnen toepast, als zij gebruik maken van eHerkenning en daarnaast ook zelf voldoen aan de webrichtlijnen niet afgekeurd worden bij een Webrichtlijnen-toets .
Pagina Datum
Titel
53/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
5. Invoering open standaardenbeleid ('pas toe of leg uit') In het kader van de iNUP- en Operatie NUP-monitoring wordt één keer per jaar een mini-survey onder alle overheden gehouden (ministeries, uitvoeringsorganisaties van de Manifestgroep 36, gemeenten, provincies en waterschappen). Dit mini-survey omvat vijf vragen, waarvan vier over het open standaardenbeleid. In deze monitor-rapportage zijn de uitkomsten opgenomen van het mini-survey waarvoor de gegevensverzameling begin 2013 plaatsvond. De antwoorden hebben dus betrekking op het jaar 2012. De overall respons op de mini-survey was dit keer redelijk: 160 (34%) van de 466 benaderde organisaties hebben de vragen beantwoord. De respons neemt sinds 2010 af, maar is nog iets hoger dan in de jaren daarvoor. Van de waterschappen heeft 58% de vragen beantwoord en van de provincies 42%. De respons was het laagst onder de ministeries en de uitvoeringsorganisaties (beide 36%) en onder de gemeenten (33%). Dit betekent ook, dat de samenstelling van de responsgroep van jaar tot jaar enigszins verschilt. Van de 160 respondenten van dit jaar heeft bijvoorbeeld 71% de vragen ook vorig jaar (2012) beantwoord en 71% heeft de vragen zowel in 2013 als in 2011 beantwoord, en 54% heeft in alle drie de jaren aan de enquête meegewerkt.
5.1. Is het 'pas toe of leg uit'-principe ingevoerd? Op de vraag in de mini-survey "Heeft uw organisatie het 'pas toe of leg uit'-principe ingevoerd?" antwoordden net als vorig jaar alle ministeries en alle provincies "Ja" (zie Figuur 13). Op één na hebben ook alle uitvoeringsorganisaties het 'pas toe of leg uit'-principe ingevoerd. Het totaal-percentage dat het 'pas toe of leg uit'-principe ingevoerd heeft is gestegen van 54% naar 59% en het aantal overheden dat een besluit in voorbereiding heeft daalde tegelijkertijd van 20% naar 9%. Net als vorig jaar is ongeveer een kwart van de overheden hier in het geheel nog niet mee bezig. Deze cijfers worden mogelijk beïnvloed door de veranderende samenstelling van de responsgroep. Kijken we alleen naar de 87 overheden die zowel in 2012 als in 2011 als in 2010 de vragenlijst hebben beantwoord, dan het beeld positiever: het totaal-percentage dat het 'pas toe of leg uit'-principe ingevoerd heeft is gestaag toegenomen van 56% in 2010, via 60% in 2011 tot 64% in 2012. In diezelfde periode daalde het aantal overheden dat een besluit in voorbereiding heeft van 17% (in 2010) naar 13 % (in 2011 en 2012). De stijgende lijn voor de waterschappen in de afgelopen jaren heeft zich dit jaar niet voortgezet: 57% van hen heeft naar eigen zeggen het 'pas toe of leg uit'-principe ingevoerd (in 2011: 75%).
36
Benaderd zijn: Belastingdienst, BKWI, CBS, CVZ, DUO, IND, Kadaster, RDW, SVB, UWV en KvK.
Pagina Datum
Titel
54/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Figuur 13: Invoering 'pas toe of leg uit'-principe, naar doelgroep (Bron: mini-survey) Totaal 2012 (2011) (2010) (2009) (2008)
59%
9%
54% 56%
4% 25%
15%
24% 5%
28%
20%
1%
25%
40%
4%
33%
17%
3%
67%
11%
0%
Ministeries 2012 (2011) (2010) (2009) (2008)
100%
0%
100%
0%
100%
0%
69%
31%
39%
46%
0%
0%
15%
0%
Uitvoeringsorganisaties 2012 (2011) (2010) (2009) (2008)
75%
25%
0%
100%
0%
100%
0%
67%
33%
0%
0% 0%
Provincies 2012 (2011) (2010) (2009) (2008)
100%
0%
100%
0%
80%
20%
22%
0%
78%
0%
0%
57%
43%
0%
0%
Gemeenten 2012 (2011) (2010) (2009) (2008)
55%
10%
46% 50% 18% 2%
31%
24% 15%
1%
30%
37%
9%
4%
29%
5%
41%
4%
77%
12%
0%
Waterschappen 2012 (2011) (2010) (2009) (2008)
57%
7%
29%
75%
0%
52% 14%
29%
50%
0%
25%
0%
19%
50%
0%
7% 25%
0%
36% 42%
50%
Ja, 'pas toe of leg uit' is f ormeel v astgesteld
Besluit is in v oorbereiding
Nee, nog niet mee bezig
Weet niet
75%
0% 8%
100%
De gemeenten blijven nog steeds achter: 55% zegt het 'pas toe of leg uit'-principe ingevoerd te hebben, dat is een toename ten opzichte van 2011 (46%). Bij 10% is een besluit daarover in voorbereiding (in 2011: 24%). Dit is echter mogelijk mede beïnvloed door de beperkte respons van de gemeenten: in 2012 is de groep anders samengesteld dan in 2011. Bij de gemeenten die beide jaren de vragenlijst invulden zijn de percentages gestegen van 52% in 2011 tot 59% in 2012 ('pas toe of leg uit' ingevoerd), respectievelijk gedaald van 17% tot 12 % (besluit in voorbereiding). Bij de andere gemeenten heeft slechts 48% 'pas toe of leg uit' ingevoerd en bij 5% is een dergelijk besluit in voorbereiding, 46% is hier nog niet mee bezig en 2% weet het niet.
Pagina Datum
Titel
55/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Van de gemeenten groter dan 50.000 inwoners heeft naar eigen zeggen 84% het 'pas toe of leg uit'principe ingevoerd en bij 4% is een besluit daarover in voorbereiding, samen is dat 88% (iets meer dan in 2011: 83%). Kijken we alleen naar de (middel)grote gemeenten die zowel in 2012 als in 2011 als in 2010 de vragenlijst hebben beantwoord, dan is het beeld nog gunstiger: in 2010 had 64% van deze (middel)grote gemeenten het 'pas toe of leg uit'-principe ingevoerd, in 2011 was dat 71% en in 2012 zelfs 93%. In diezelfde periode daalde het aantal (middel)grote gemeenten dat een besluit in voorbereiding heeft van 14% (in 2010) naar 0 % (in 2012). Het zijn vooral de kleinere gemeenten die nog achterblijven: 49% zegt 'pas toe of leg uit' ingevoerd te hebben en bij 11% is een dergelijk besluit in voorbereiding. Samen is dat 60%, iets minder dan in 2011 (68%). 5.2. Borging van 'pas toe of leg uit' binnen de organisatie Bij de vraag in de mini-survey (begin 2013) op welke wijze het gebruik van de open standaarden van de lijst binnen de organisatie in de praktijk is geborgd kon meer dan één antwoord-optie aangekruist worden. Dat hebben veel organisaties ook gedaan: 58% heeft het gebruik van de open standaarden op meer dan één manier geborgd. Dit jaar blijkt 30% van de organisaties het gebruik van open standaarden (nog) niet binnen de organisatie geborgd te hebben. Dit betreft alleen gemeenten (34%, voornamelijk kleinere gemeenten) en waterschappen (21%), alle organisaties uit de andere doelgroepen hebben het gebruik van open standaarden wel binnen de organisatie geborgd. Figuur 14: Borging van het gebruik van open standaarden binnen de organisatie (Bron: mini-survey)
gebruik OS is opgenomen in informatiserings- of automatiseringsplan gebruik OS is opgenomen in enterprise-architectuur inkoop-medewerkers zijn goed op de hoogte en weten hoe toe te passen procedure 'pas toe of leg uit' is operationeel, en 'leg uit' wordt bijgehouden gebruik OS wordt als eis gesteld bij budget-allocatie voor ICT-projecten
54% 50% 0%
31% 31% 0%
27% 35% 0%
2012 21%
2011
19%
2010
0%
16% 15% 0%
30%
is op dit moment nog niet in de praktijk geborgd
28% 32%
0
0,25
0,5
0,75
1
Dat betekent, dat 70% het gebruik van open standaarden wel binnen de organisatie geborgd heeft en dat is ongeveer evenveel als in 2011 (72%) en 2010 (68%). Elk van de antwoord-opties afzonderlijk
Pagina Datum
Titel
56/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
werd dit jaar iets minder vaak genoemd dan in 2011. Gemiddeld noemde men per organisatie 2,0 manieren waarop het gebruik van open standaarden binnen de eigen organisatie is geborgd (in 2011 was dat 2,1 en in 2010 was het 2,6). Nog steeds is de meest voorkomende manier om het gebruik van de open standaarden van de lijst binnen de organisatie te borgen het opnemen in het informatiserings- of automatiseringsplan (54%), zie Figuur 15. Daarnaast hebben ook veel organisaties dit opgenomen in hun enterprise-architectuur (31%) en hebben de inkoop-medewerkers hierover goed geïnformeerd (27%, dat is iets minder dan in 2011). Bij 21% van de organisaties is een procedure voor 'pas toe of leg uit' bij ICT-inkopen en -aanbestedingen operationeel en wordt bijgehouden in welke gevallen gemotiveerd van de vereiste open standaarden wordt afgeweken. Tenslotte wordt het gebruik van open standaarden bij 16% van de organisaties als eis gesteld bij budget-allocatie voor ICT-projecten. 5.3. Toepassing open standaarden bij aanbestedingen - naar eigen zeggen In hoeverre passen overheden bij aanbestedingen de relevante standaarden van de lijst toe? In de mini-survey (begin 2013) is deze vraag gesteld en het percentage overheden dat zegt geen open standaarden van de lijst toe te passen is verder afgenomen tot 14%. Dit jaar zegt 28% (minder dan in 2010 en 2011) alle relevante standaarden van de lijst toe te passen, en 58% (meer dan in 2010 en 2011) zegt een deel van de relevante open standaarden toe te passen. Figuur 15: Toepassing open standaarden van de lijst, 2008-2012 (Bron: mini-survey)
Uitgesplitst naar doelgroep blijken er aanmerkelijke verschillen te zijn, zie Figuur 16. Driekwart van de ministeries (75%) zegt bij aanbestedingen alle relevante open standaarden toe te passen, iets minder
Pagina Datum
Titel
57/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
dan in 2011, en één ministerie (25%) past naar eigen zeggen een deel van de relevante open standaarden toe. Ook alle provincies zeggen ofwel alle (80%) ofwel een deel van de (20%) relevante open standaarden toe te passen. Vergeleken met 2011 is het aantal provincies dat alle standaarden toepast weer toegenomen (was: 71%). Van de uitvoerings-organisaties zegt 50% alle open standaarden van de lijst toe toe te passen en eveneens 50% zegt een deel van de open standaarden toe te passen (samen: 100%). Ook dit is een toename ten opzichte van vorig jaar. Figuur 16: Toepassen open standaarden van de lijst, naar doelgroep (Bron: mini-survey)
De waterschappen waren vorig jaar goed op weg, maar het percentage dat naar eigen zeggen alle relevante open standaarden van de lijst toepast is dit jaar weer terug op het niveau van 2010. Het
Pagina Datum
Titel
58/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
percentage dat een deel van de open standaarden toepast is gestegen van 44% naar 57% (samen: 86%, bijna evenveel als vorig jaar). De gemeenten tenslotte zijn iets minder ver gevorderd: 24% past – naar eigen zeggen – alle relevante open standaarden toe, en 61% zegt een deel van de open standaarden toe te passen. Dat betekent, dat 15% geen open standaarden van de lijst voor 'pas toe of leg uit' toepast (vorig jaar was dat nog 22%). Dit betreft voornamelijk kleinere gemeenten. Vergeleken met 2010 is het aantal gemeenten dat zegt alle relevante open standaarden toe te passen afgenomen, en het aantal gemeenten dat een deel van de standaarden toepast is juist verder gestegen. Ook hier geldt, dat vooral de kleinere gemeenten achterblijven. Van de gemeenten groter dan 50.000 inwoners past 32% naar eigen zeggen alle (relevante) open standaarden van de lijst toe en 60% past een deel van de open standaarden toe (samen: 92%). Slechts 8% van de (middel)grote gemeenten past geen van deze standaarden toe. Van de kleinere gemeenten past 22% naar eigen zeggen alle open standaarden van de lijst toe en 61% past een deel van de standaarden toe (samen: 83%). Van de kleinere gemeenten past 17% geen van de open standaarden toe. Het verschil met de (middel)grote gemeenten is vergeleken met vorig jaar kleiner geworden. 5.4. Welke open standaarden worden toegepast - naar eigen zeggen In de mini-survey is gevraagd welke open standaarden van de lijst voor ‘pas toe of leg uit’ bij aanbestedingen en aanschaf van ICT-producten en –diensten in 2012 werden toegepast, per standaard kon daarop met 'Ja' of 'Nee' worden geantwoord. Het lijkt niet waarschijnlijk, dat de respondenten voor de beantwoording van deze vraag alle afzonderlijke aanbestedingen in 2012 hebben onderzocht op de daarin gevraagde standaarden. Het antwoord 'Ja' zal daarom waarschijnlijk betekenen, dat de respondent veronderstelt dat bij aanbestedingen om deze standaard (indien relevant) gevraagd wordt. Het antwoord 'Nee' kan daarnaast twee dingen betekenen: de betreffende standaard was (voor aanbestedingen in 2012) niet relevant, òf er is bij aanbestedingen (ten onrechte) niet om de standaard gevraagd. In het laatste geval kan dit in principe naderhand in het jaarverslag zijn verantwoord ('leg uit'). De mate waarin elk van de open standaarden van de lijst voor 'pas toe of leg uit' volgens de respondenten bij aanbestedingen wordt toegepast loopt sterk uiteen: zowel per standaard, als tussen de verschillende doelgroepen. Niet elke standaard is uiteraard voor elke doelgroep (even) relevant, en daarnaast speelt mogelijk ook een rol dat sommige standaarden inmiddels al vier jaar op de lijst staan, terwijl andere net in 2012 op de lijst zijn geplaatst. In grote lijnen maakt Tabel 17 duidelijk, dat vooral de standaarden die al langer op de lijst staan (inmiddels) - naar eigen zeggen - het meest worden toegepast: vooral de standaarden die in 2008 op de lijst zijn geplaatst scoren 75% of meer (12x) of 25-75% (25x), en relatief weinig lager dan 25% (5x). Bij de elf standaarden die in 2011 en 2012 op de lijst zijn geplaatst is het beeld omgekeerd: de meeste standaarden scoren lager dan 25% (36x), en de rest overwegend 25-75% (26x) en maar zelden 75% of meer (4x). De negen standaarden die in 2009 en 2010 op de lijst zijn geplaatst zitten daar tussenin.
Pagina Datum
Titel
59/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 17: Toepassing open standaarden bij aanbestedingen in 2012, per standaard (Bron: mini-survey) 23 x
≥ 75 % past toe
72 x
25-75 % past toe
67 x
< 25 % past toe
respons: n =
Ministeries Uitvoerings- Provincies Gemeenten organisaties
Water-
Totaal
schappen
4
4
5
133
14
160
Sinds 2008 op de lijst: Webrichtlijnen
100 %
75 %
80 %
58 %
69 %
61 %
NEN-ISO\IEC 27001:2005nl
50 %
75 %
60 %
14 %
31 %
20 %
NEN-ISO\IEC 27002:2007nl
50 %
75 %
60 %
18 %
31 %
23 %
PNG
100 %
50 %
80 %
21 %
31 %
27 %
JPEG
100 %
75 %
80 %
35 %
31 %
39 %
PDF/A-1
100 %
50 %
80 %
58 %
69 %
60 %
StUF
25 %
25 %
60 %
69 %
54 %
65 %
Sinds 2009 op de lijst: ebMS/WUS/Digikoppeling
50 %
75 %
60 %
27 %
31 %
30 %
SETU
75 %
50 %
20 %
1%
0%
4%
SAML
50 %
50 %
40 %
6%
8%
10 %
PDF 1.7
75 %
50 %
40 %
24 %
39 %
27 %
XBRL v2.1
75 %
75 %
60 %
6%
8%
11 %
E−portfolio
0%
0%
20 %
0%
0%
1%
Aquo Standaard
0%
0%
40 %
0%
77 %
8%
IPv6 en IPv4
100 %
25 %
60 %
39 %
62 %
43 %
OAI−PMH
25 %
0%
20 %
0%
8%
2%
Sinds 2011 op de lijst: Geo−standaarden
50 %
25 %
60 %
53 %
62 %
53 %
NL LOM
25 %
0%
20 %
0%
0%
1%
SEPA−standaarden
75 %
25 %
20 %
35 %
23 %
34 %
OWMS
50 %
0%
40 %
5%
15 %
8%
IFC
25 %
0%
20 %
0%
0%
1%
STOSAG
25 %
0%
20 %
2%
8%
4%
Sinds 2012 op de lijst: 37 DNSSEC
0%
25 %
20 %
8%
0%
8%
DKIM
0%
25 %
20 %
0%
0%
1%
SIKB 0101
25 %
0%
40 %
3%
0%
4%
ODF 1.2 38
75 %
75 %
80 %
30 %
46 %
35 %
Sinds 2010 op de lijst:
PDF/A-2
25 %
50 %
20 %
31 %
31 %
31 %
één of meer standaarden genoemd geen weet niet
100 % 0% 0%
100 % 0% 0%
80 % 0% 20 %
89 % 0% 11 %
92 % 0% 8%
90 % 0% 10 %
Verder valt op, dat vooral de ministeries, uitvoeringsorganisaties en provincies – naar eigen zeggen – relatief veel standaarden toepassen (resp. 10x, 7x en 5x ≥ 75% en 13x, 12x en 12x 25-75%) en dat gemeenten juist relatief weinig standaarden toepassen (0x ≥ 75%, 10x 25-75%, dus 17x < 25%).
37 38
In de mini-survey is naar NTA 9040, eind november 2012 op de lijst geplaatst, dit jaar nog niet gevraagd. ODF 1.2 vervangt per 15 juni 2012 de oudere standaard ODF (die sinds 2008 op de lijst stond).
Pagina Datum
Titel
60/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
De ontwikkeling in de afgelopen jaren laat voor de toepassing van een belangrijk deel van de standaarden die in 2008 en 2009 op de lijst zijn geplaatst aanvankelijk een stijgende lijn zien, bijvoorbeeld voor JPEG, PDF/A-1, StUF, ebMS/WUS/Digikoppeling, ODF en PDF1.7. In 2012 lijkt de toepassing van deze standaarden weer iets afgenomen te zijn, maar hierbij moet het voorbehoud gemaakt worden dat de respons dit keer lager is dan bij de vorige meting. Tabel 18: Ontwikkeling toepassing open standaarden 2008-2012, per standaard (Bron: mini-survey 2011 en 2012, en Monitor NOiV 2008-2010) 2008
2009
2010
2011
2012
niveau en trend
Sinds 2008 op de lijst: Webrichtlijnen
70 %
76 %
88 %
76 %
61 %
hoog, wisselend
NEN-ISO\IEC 27001:2005nl
17 %
19 %
26 %
21 %
20 %
laag, constant
NEN-ISO\IEC 27002:2007nl
25 %
25 %
28 %
24 %
23 %
laag, constant
PNG
17 %
30 %
26 %
30 %
27 %
laag, constant
JPEG
30 %
45 %
42 %
54 %
39 %
redelijk, wisselend
PDF/A-1
38 %
44 %
58 %
70 %
60 %
hoog, wisselend
StUF
63 %
50 %
77 %
77 %
65 %
hoog, wisselend
Sinds 2009 op de lijst: ebMS/WUS/Digikoppeling
n.v.t.
12 %
24 %
31 %
30 %
redelijk, stijgend
SETU
n.v.t.
3%
6%
5%
4%
laag, constant
SAML
n.v.t.
n.v.t.
21 %
12 %
10 %
laag, dalend
PDF 1.7
n.v.t.
n.v.t.
21 %
35 %
27 %
laag, wisselend
Sinds 2010 op de lijst: XBRL v2.1
n.v.t.
n.v.t.
22 %
19 %
11 %
laag, dalend
E−portfolio
n.v.t.
n.v.t.
2%
2%
1%
laag, constant
Aquo Standaard
n.v.t.
n.v.t.
n.v.t.
7%
8%
laag
IPv6 en IPv4
n.v.t.
n.v.t.
n.v.t.
59 %
43 %
redelijk
OAI−PMH
n.v.t.
n.v.t.
n.v.t.
1%
2%
laag
Sinds 2011 op de lijst: Geo−standaarden
n.v.t.
n.v.t.
n.v.t.
62 %
53 %
redelijk
NL LOM
n.v.t.
n.v.t.
n.v.t.
1%
1%
laag
SEPA−standaarden
n.v.t.
n.v.t.
n.v.t.
18 %
34 %
redelijk, stijgend
OWMS
n.v.t.
n.v.t.
n.v.t.
16 %
8%
laag
IFC
n.v.t.
n.v.t.
n.v.t.
2%
1%
laag
STOSAG
n.v.t.
n.v.t.
n.v.t.
2%
4%
laag
Sinds 2012 op de lijst: 39 DNSSEC
n.v.t.
n.v.t.
n.v.t.
n.v.t.
8%
laag
DKIM
n.v.t.
n.v.t.
n.v.t.
n.v.t.
1%
laag
5x
≥ 75 % past toe
38 x
25-75 % past toe
39 x
< 25 % past toe
SIKB 0101
n.v.t.
n.v.t.
n.v.t.
n.v.t.
4%
laag
ODF 1.2 40
30 %
54 %
58 %
47 %
35 %
redelijk, wisselend
PDF/A-2
n.v.t.
n.v.t.
n.v.t.
n.v.t.
31 %
redelijk
39 40
In de mini-survey is naar NTA 9040, eind november 2012 op de lijst geplaatst, dit jaar nog niet gevraagd. ODF 1.2 vervangt per 15 juni 2012 de oudere standaard ODF (die sinds 2008 op de lijst stond).
Pagina Datum
Titel
61/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
De toepassing van SEPA, in 2011 op de lijst geplaatst, is duidelijk gestegen: van 18% naar 34%. Bij de andere standaarden is het beeld wisselend, en voor SAML en XBRL lijkt zich zelfs een dalende lijn af te tekenen. Slechts voor enkele standaarden lijkt het toepassingsniveau inmiddels redelijk hoog geworden, bijvoorbeeld voor de Webrichtlijnen, PDF/A-1 en StUF. Dat betekent echter niet, dat de andere standaarden (te) weinig worden toegepast: het is immers de vraag of deze standaarden wel bij alle aanbestedingen relevant zijn. In paragraaf 6.2 zal blijken, dat de Webrichtlijnen inderdaad bij relatief veel aanbestedingen relevant waren, maar dat veel andere standaarden slechts bij enkele aanbestedingen relevant waren en dat een deel van de standaarden voor geen enkele onderzochte aanbesteding relevant was. Voor de acht standaarden die in 2008 op de lijst zijn geplaatst (inclusief ODF/ODF1.2) en dus al het langst op de lijst staan, wordt in onderstaande figuur de ontwikkeling van het toepassen van deze standaarden bij aanbestedingen (naar eigen zeggen) in de afgelopen jaren geschetst. Figuur 19: Toepassing van acht open standaarden, 2008-2012 (Bron: mini-survey)
Pagina Datum
Titel
62/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
6. Open standaarden bij aanbestedingen ('pas toe' en 'leg uit') Een belangrijk beleids-instrument binnen het open standaardenbeleid is het 'pas toe of leg uit'principe: overheden moeten bij ICT-aanbestedingen de relevante open standaarden van de lijst toepassen, of verantwoording afleggen in hun jaarverslag. 6.1. Onderzoek van feitelijke aanbestedingen Mr. M.H. (Mathieu) Paapst (RU Groningen) heeft de Europese aanbestedingen onderzocht 41 door de publieke sector in de eerste helft van 2010. Daarbij is per aanbesteding vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om werd gevraagd ('pas toe'). Vervolgens is nagegaan in hoeverre overheden in hun jaarverslag ook verantwoording hebben afgelegd, wanneer bij aanbestedingen van de lijst werd afgeweken ('leg uit'). Dit jaar is, net als vorig jaar, ten behoeve van deze Monitor door mr. drs. W.H. (Walter) van Holst (Mitopics) een vergelijkbaar onderzoek uitgevoerd42, naar de aanbestedingen door het Rijk (in de periode januari t/m september 2012) en door de decentrale overheden (in de eerste helft van 2012). Onderzocht zijn aanbestedingen die op aanbestedingskalender.nl en tendernet.nl zijn gepubliceerd, het betreft daardoor voornamelijk Europese aanbestedingen (aanbestedings-grenzen: voor de rijksoverheid > € 130.000 en voor decentrale overheden € > 200.000). Aanbestedingen onder deze grenzen (maar groter dan € 50.000) worden weinig op tendernet.nl of op aanbestedingskalender.nl gepubliceerd en vallen grotendeels buiten het onderzoek. Verder zijn detacheringen (waaronder maatwerk-opdrachten) niet onderzocht, omdat ‘pas toe of leg uit’ daarbij hoogstens op bijzondere wijze kan plaatsvinden (bijvoorbeeld door bepaalde competenties te eisen). Daarnaast is moeilijk te beoordelen of daarbij ICT-producten/-diensten gerealiseerd worden waarop open standaarden van toepassing zijn en in hoeverre die daarbij geëist worden. Voor een goede beoordeling van de aanbestedingen moeten de aanbestedingsdocumenten bestudeerd (kunnen) worden. Helaas bleek dat (inmiddels) van een deel van de aanbestedingen de documenten niet meer beschikbaar waren. Het onderzoek leverde dit keer 21 relevante aanbestedingen op door het Rijk (waarbij om een of meer standaarden van de lijst gevraagd moest worden) en 43 aanbestedingen door decentrale overheden. De 64 gevonden aanbestedingen vormen het overgrote deel (en een goede afspiegeling) van alle overheids-ICT-aanbestedingen, voorzover die binnen de hiervoor beschreven zoek-kaders vallen. Al valt niet uit te sluiten dat enkele spelden in de aanbestedingskalender-hooiberg over het hoofd zijn gezien. Het gevonden aantal aanbestedingen lijkt misschien niet erg groot. Het is echter meer dan het eerdere RUG-onderzoek voor 2010 en het onderzoek voor de monitor vorig jaar. De hierboven vermelde afbakening van de zoek-opdracht maakt duidelijk, dat er ook een (onbekend) aantal aanbestedingen buiten het onderzoek valt. Voor een goed begrip van het cijfermateriaal nog enkele opmerkingen over de praktijk van ICT-aanbestedingen door overheden: 41
Onderdeel van zijn promotie-onderzoek naar de aanbestedingspraktijk. De betreffende resultaten zijn gepubliceerd als ICT beleid en aanbestedingspraktijk - 1e tussenrapportage, 15 november 2010. 42 Zie bijlage 4 voor de onderzoeksverantwoording.
Pagina Datum
Titel
63/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
•
• •
•
Veel overheids-organisaties werken met (ICT-) mantel-overeenkomsten, die voor langere periode van kracht zijn en/of verlengd worden (meestal een aantal jaren). Aanbestedingen binnen de mantel-overeenkomst worden direct bij de mantel-partijen uitgezet en zijn dus niet via aanbestedingskalender.nl te achterhalen. De vervangingscyclus van veel bedrijfs-software is 5 tot 8 jaar, wat betekent dat dergelijke applicaties maar eens in de zoveel jaar (opnieuw) worden aanbesteed. De huidige lijst voor ‘pas toe of leg uit’ bevat relatief veel semantische open standaarden, waaronder een aantal met een zeer specifiek toepassingsgebied. Dergelijke standaarden blijken in de praktijk vaker relevant voor maatwerk-oplossingen dan voor standaardsoftware-pakketten. Zoals gezegd valt juist een deel van de maatwerk-opdrachten buiten het onderzoek (detacheringen, mantel-overeenkomsten). Terzijde zij opgemerkt, dat ook het toepassen van de lijst met ‘gangbare’ open standaarden in de aanbestedingspraktijk nog veel te wensen overlaat.
De variatie in de aard van de ICT-producten en -diensten die werden aanbesteed is groot. Veel voorkomende aanbestedingen betroffen hardware (desktops, servers), licenties, systemen t.b.v. primaire processen en spraak- en/of data-diensten. Maar ook werkplekvoorzieningen, websites, webcontent en web-applicaties, netwerkinfrastructuur, multifunctionals (multifunctionele afdrukapparaten), data-opslag en eHRM-voorzieningen kwamen regelmatig voor. Enkele goede voorbeelden van aanbestedingen die in lijn zijn met het open standaardenbeleid: • Gemeente Meppel: het leveren, installeren en onderhouden van een Container Management Systeem inclusief opleiding van de gebruikers. Er moeten diverse afvalstromen geregistreerd worden in het pakket en er moeten koppelingen gerealiseerd worden met bestaande systemen. Om alletwee de voor deze aanbesteding relevante cruciale open standaarden (STOSAG en StUF) is expliciet gevraagd. Om de minder cruciale relevante open standaard Digikoppeling is niet gevraagd. • Ministerie van Veiligheid en Justitie: het verlenen van diensten met als focus internet bandbreedte, netwerkdiensten en beveiligingsinfrastructuur tussen het interne, beveiligde netwerk van V&J en de buitenwereld, complexe (web)hosting en daarmee samenhangende aanvullende diensten. Om alle cruciale relevante open standaarden is gevraagd (IPv6, DNSsec, ISO27001, ISO27002). Om de in dit geval minder cruciale relevante Webrichtlijnen overigens niet. • Provincie Gelderland: eHRM, salarisverwerking en implementatie. Om alle relevante open standaarden is gevraagd (PDF/A, ODF, SAML, PNG, JPEG, ISO27002). • Dienst Publiek en Communicatie (Ministerie van Algemene Zaken): het uitvoeren van geautomatiseerde contentmigraties. Hiervoor is Webrichtlijnen cruciaal, en daarom is inderdaad gevraagd. Toetsingskader Het onderzoek is gebaseerd op de gepubliceerde, openbare informatie over de aanbestedingen. Dit sluit aan bij de transparantie die ten grondslag ligt aan het open standaardenbeleid, bovendien is dat de informatie waarop de aanbieders zich (in elk geval in eerste instantie) hebben moeten baseren. Daarnaast is onderzocht op welke wijze de verantwoording ('leg uit') over 2012 heeft plaatsgevonden.
Pagina Datum
Titel
64/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Het onderzoek toetst op basis van deze openbare documenten in hoeverre de aanbestedingen voldoen aan het 'pas toe of leg uit'-beginsel, zoals dat (voor de Rijksoverheid) is vastgelegd in de Instructie Rijksdienst. Andere (beleids)overwegingen en argumenten, die mogelijk een rol hebben gespeeld bij de aanbestedingen, vallen buiten de scope van dit onderzoek. Er is voor een aanbesteding sprake van een 'relevante open standaard', als het betreffende ICTproduct of -dienst valt binnen het functionele toepassingsgebied van die standaard, en als de aanbestedende organisatie bovendien valt binnen het organisatorische werkingsgebied van de standaard. Er kunnen voor één aanbesteding meerdere open standaarden relevant zijn. Of een standaard van toepassing is, hangt dus uitsluitend af van het functioneel toepassings-gebied en het organisatorisch werkingsgebied. Wanneer de aanbestedende organisatie besluit om niet te vragen om één of meer open standaarden die wèl van toepassing zijn, dan moet dit worden vastgelegd in de administratie en moet hierover bovendien verantwoording afgelegd worden in het jaarverslag. Afwijkingen zijn overigens alleen mogelijk bij redenen van bijzonder gewicht. Het toepassen van een open standaard vereist, dat bij de aanbesteding expliciet gevraagd wordt om deze standaard. In plaats van expliciet om de relevante open standaard(en) te vragen, wordt soms alleen in algemene zin verwezen naar de lijst voor ‘pas toe of leg uit’. De aanbieder krijgt daarmee de verantwoordelijkheid voor het correct toepassen ervan. In de praktijk levert dat echter niet het beoogde (beleids)effect, omdat de aanbiedingen alleen te beoordelen zijn op het correct toepassen van de lijst als (a) de aanbesteder zelf weet welke open standaarden van toepassing zijn, en (b) hierom ook expliciet gevraagd heeft. Het beoogde (beleids)effect is er dus alleen indien één of meer aanbieders (toch) de relevante open standaard(en) toepassen. 6.2. 'Pas toe of leg uit' bij feitelijke aanbestedingen in 2012 Pas toe In totaal had in deze 64 aanbestedingen om 191 open standaarden gevraagd moeten worden, feitelijk werd er echter om slechts 57 open standaarden gevraagd - dat is dus 30% daarvan (zie Tabel 20). Bij 6 van de 64 aanbestedingen (9%) werd om alle relevante open standaarden gevraagd, dat is 'pas toe' in strikte zin: 2 aanbestedingen door ministeries, 1 door een provincie en 3 door gemeenten. Daarnaast werd bij 20 aanbestedingen (31%) gevraagd om een deel van de voor die aanbesteding relevante standaarden. Bij de resterende 38 aanbestedingen (59%) - waarbij één of meer open standaarden relevant waren - werd om geen enkele open standaard gevraagd. In de aanbestedingspraktijk in 2012 blijkt 'pas toe' dus nog maar ten dele (correct en volledig) uitgevoerd te zijn. De mate waarin om alle relevante open standaarden wordt gevraagd is, vergeleken met 2011, bovendien iets teruggelopen.
Pagina Datum
Titel
65/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 20: 'Pas toe' en 'leg uit' bij feitelijke aanbestedingen 2012 (Bron: onderzoek feitelijke aanbestedingen 2012) Ministeries + Uitvoeringsorganisaties
Gemeenten + Provincies + Waterschappen
Totaal
Totaal
2012
2011
totaal
in %
totaal
in %
totaal
in %
totaal
in %
21
100 %
43
100 %
64
100 %
52
100 %
* alle relevante OSn gevraagd
2
(10 %)
4
(9 %)
6
(9 %)
6
(12 %)
* niet alle OSn gevraagd => Leg Uit vereist
19
(91 %)
39
(91 %)
58
(91 %)
46
(88 %)
(100 %)
31
(100 %)
45
(100 %)
46
aanbestedingen waarbij OS relevant
- cruciale OSn wel gevraagd
5
- Leg Uit in jaarverslag beslist vereist
14
8
- concrete verantwoording in jaarverslag
0
(0 %)
0
(0 %)
0
(0 %)
0
- beperkte verantwoording in jaarverslag
2
(14 %)
0
(0 %)
2
(4 %)
0
- geen Leg Uit in jaarverslag
12
(86 %)
31
(100 %)
43
(96 %)
46
100 %
totaal aantal relevante OSn
51
100 %
140
100 %
191
100 %
156
100 %
* aantal evident relevante OSn
46
90 %
125
89 %
171
90 %
*)
totaal aantal gevraagde relevante OSn
13
26 %
44
31 %
57
30 %
43
28 %
alle relevante OSn gevraagd
2
10 %
4
9%
6
9%
6
12 %
deel van relevante OSn gevraagd
6
29 %
14
33 %
20
31 %
16
31 %
* cruciale OSn gevraagd
5
(24 %)
8
(19 %)
13
(20 %)
*)
* OSn gevraagd, maar cruciale niet
1
(5 %)
6
(14 %)
7
(11 %)
*)
geen relevante OSn gevraagd
13
62 %
25
58 %
38
59 %
30
* alleen architectuur-kaders
3
(14 %)
4
(9 %)
7
(11 %)
*)
* algemene aandacht aan OSn-beleid
1
(5 %)
1
(2 %)
2
(3 %)
*)
* geen aandacht voor OSn-beleid
9
(43 %)
19
(44 %)
28
(44 %)
*)
1
(2 %)
1
(2 %)
*)
43
100 %
64
100 %
52
* strijdig met OSn-beleid totaal
21
100 %
13
*) 100 %
58 %
100 %
*) Dit onderscheid is vorig jaar niet op deze manier gemaakt.
Ter relativering moet hierbij aangetekend worden, dat niet alle overheidsorganisaties regelmatig te maken hebben met een aanbesteding van ICT-diensten of -producten. Uitgaande van het bruto aantal gevonden aanbestedingen vorig jaar (voor 2011) doet een gemiddelde gemeente eens in de 6 à 7 jaar een dergelijke aanbesteding, en een provincie, waterschap of uitvoeringsorganisatie eens in de 1 à 2 jaar. Voor ministeries ligt dat anders: gemiddeld 2 à 3 relevante aanbestedingen per jaar. Het is dus vooral voor ministeries de moeite waard en goed uitvoerbaar om het open standaardenbeleid binnen de organisaties goed op orde te hebben.
Pagina Datum
Titel
66/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
De aanbestedingen zijn bovendien beoordeeld op de mate waarin zij voldoen aan het open standaardenbeleid. Enerzijds kan nog een onderscheid worden gemaakt tussen de voor een bepaalde aanbesteding cruciale open standaarden en eventuele andere relevante open standaarden. Anderzijds kan bij de aanbesteding ook op andere, bijvoorbeeld meer algemene wijze aandacht besteed zijn aan open standaarden. Dit heeft geleid tot een indeling van de mate waarin aanbestedingen voldoen aan het open standaardenbeleid in acht categorieën: • er is om alle relevante open standaarden gevraagd (9%), • er is om een deel van de relevante open standaarden gevraagd, onderverdeeld in: – er is om de cruciale open standaarden gevraagd (20%), – er is om open standaarden gevraagd, maar om de cruciale niet (11%), • er zijn geen relevante open standaarden gevraagd, onder te verdelen in: – er wordt alleen verwezen naar architectuur-kaders (11%), – er wordt in algemene zin aandacht besteed aan open standaardenbeleid (3%), – er is geen aandacht voor open standaardenbeleid (44%), – de aanbesteding is strijdig met het open standaardenbeleid (2%). Vergeleken met vorig jaar is de mate waarin de onderzochte aanbestedingen voldoen aan het open standaardenbeleid iets teruggelopen: toen werd in 12% van de aanbestedingen om alle relevante open standaarden gevraagd, bij 31% werd om een deel van de open standaarden gevraagd en bij 58% werd om geen enkele relevante open standaard gevraagd. Als we de onderzochte aanbestedingen beschouwen als een steekproef die een schatting moet opleveren voor alle aanbestedingen in het gehele jaar 2012, dan is er sprake van een nauwkeurigheidsmarge van ongeveer (plus of min) 7%. De veranderingen ten opzichte van 2011 vallen binnen die nauwkeurigheidsmarge en kunnen dus op toeval berusten. 'Pas toe' per open standaard De mate waarin om een open standaard wordt gevraagd (wanneer die voor de aanbesteding relevant is) verschilt enigszins, maar is voor de meeste standaarden zeer laag. Daar waar in alle gevallen de relevante open standaard ook daadwerkelijk werd gevraagd (de groene cellen in Tabel 21) leidt vooral het kleine aantal tot een score van 100%. Het hoogste is het (totaal)percentage 'pas toe' voor StUF, XBRL en STOSAG (100%). Voor een groot aantal standaarden ligt het (totaal)percentage 'pas toe' tussen een kwart en eenderde. Daarnaast vallen het lage percentages 'pas toe' op voor Webrichtlijnen (17%) en voor PNG (18%) en IPv6/IPv4 (21%), standaarden die bij een flink aantal aanbestedingen relevant waren.
Pagina Datum
Titel
67/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 21: 'Pas toe' bij feitelijke aanbestedingen in 2012, per standaard (Bron: onderzoek feitelijke aanbestedingen 2012) 3
≥ 75 %
9
25-75 %
7
< 25 %
Ministeries + Uitvoeringsorganisaties
Gemeenten + Provincies + Waterschappen
Totaal 2012
21
43
64
aantal aanbestedingen: n =
relevant
comply: gevraagd in % van relevant
relevant
Totaal 2011 52
relevant
comply: gevraagd in % van relevant
comply: comply: gevraagd in % gevraagd in % van relevant van relevant
Webrichtlijnen **)
6
17 %
6
17 %
12
17 %
9%
NEN-ISO\IEC 27001:2005nl
9
44 %
11
18 %
20
30 %
30 %
NEN-ISO\IEC 27002:2007nl
5
20 %
10
30 %
15
27 %
33 %
PNG
3
0%
8
25 %
11
18 %
11 %
JPEG
3
33 %
10
40 %
13
38 %
22 %
PDF/A
3
0%
18
39 %
21
33 %
47 %
StUF
1
100 %
4
100 %
5
100 %
63 %
1
0%
3
0%
4
0%
20 %
SAML
1
0%
2
50 %
3
33 %
25 %
PDF 1.7
3
0%
18
39 %
21
33 %
47 %
1
100 %
1
100 %
2
100 %
100 %
Sinds 2008 op de lijst:
Sinds 2009 op de lijst: ebMS/WUS/Digikoppeling SETU
0%
Sinds 2010 op de lijst: XBRL v2.1 E−portfolio
0%
Aquo Standaard
100 %
IPv6 en IPv4
7
43 %
27
15 %
34
21 %
16 %
OAI−PMH
1
0%
1
0%
2
0%
0%
3
33 %
3
33 %
50 %
1
0%
Sinds 2011 op de lijst: Geo−standaarden NL LOM
nr
SEPA−standaarden
1
0%
OWMS
nr 0%
IFC
nr
STOSAG
1
100 %
1
100 %
nr
Sinds 2012 op de lijst: DNSSEC
3
33 %
3
33 %
*)
DKIM
1
0%
1
0%
2
0%
*)
2
0%
16
38 %
18
33 %
24 %
51
26 %
140
31 %
191
30 %
28 %
SIKB 0101
*)
ODF 1.2 43 PDF/A-2
*)
Totaal
nr: in 2011 voor geen van de aanbestedingen relevant *) in 2011 nog niet op de lijst voor 'pas toe of leg uit' **) dit jaar alleen relevant beoordeeld voor externe webapplicaties (vorig jaar ook voor interne webapplicaties)
43
ODF 1.2 vervangt per 15 juni 2012 de oudere standaard ODF (die sinds 2008 op de lijst stond).
Pagina Datum
Titel
68/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Leg uit Slechts bij 6 aanbestedingen is om alle relevante standaarden gevraagd. Bij de andere 58 aanbestedingen had dus in het jaarverslag verantwoording afgelegd moeten worden ('Leg uit') voor het niet toepassen van de betreffende relevante standaard(en). Bij 13 daarvan is wèl om de (voor die aanbesteding) cruciale relevante open standaarden gevraagd, en is alleen niet gevraagd om enkele minder cruciale open standaarden. Voor de resterende 45 aanbestedingen (door 36 overheidsorganisaties) was 'Leg uit' zonder twijfel vereist, omdat hierbij niet gevraagd werd om één of meer cruciale open standaarden (7 aanbestedingen) of om geen enkele relevante standaard gevraagd is (38 aanbestedingen). Van 'Leg uit' was in de jaarverslagen van deze 36 overheidsorganisaties echter geen sprake: in geen van de jaarverslagen wordt een concrete aanbesteding genoemd waarbij van de lijst voor 'pas toe of leg uit' werd afgeweken. Met name het beleid ten aanzien van 'leg uit' is (per 2011) aangescherpt, door de Rijksbegrotingsvoorschriften (voor het Rijk) en de Richtlijnen van de Commissie BBV (voor de mede-overheden). Inderdaad hebben bijna alle ministeries in het jaarverslag over 2012 een verantwoording over het open standaardenbeleid opgenomen. In de meeste gevallen bestond die uit de verklaring, dat niet was afgeweken van de Instructie Rijksdienst. Enkele ministeries gaan verder en zijn in algemene bewoordingen ingegaan op het open standaardenbeleid en de wijze waarop zij daar invulling aan geven. Het ministerie van BZK vermeld expliciet, dat noodgedwongen is afgeweken van DKIM (email-authenticatie). Voor tooling voor dienstverleningssystemen, die op gesloten systemen draaien, van P-Direct wordt het toepassen van de relevante open standaarden niet mogelijk geacht. Bij een aantal overheidsbrede ICT-producten (beheerd door Logius) worden nog niet alle relevante open standaarden toegepast (de implementatie van deze standaarden is wel gepland). Het gaat met name om de standaarden PDF/A (archiveerbaar documentformaat), DNSSEC (veilig «telefoonboek» van internet), IPv6 (internetnummers) en DKIM (e-mailauthenticatie). De ministeries van I&M en Financiën tenslotte vermelden dat (nog) niet alle websites voldoen aan de Webrichtlijnen 44. De aanscherping van de regels m.b.t. 'leg uit' hebben er dus nog nauwelijiks toe geleid, dat in jaarverslagen over specifieke aanbestedingen (en daarvoor relevante open standaarden) wordt verantwoord waarom daar niet om is gevraagd. Uit het onderzoek van feitelijke aanbestedingen in 2012 blijkt echter, dat tenminste 36 overheidsorganisaties één of meer cruciale relevante open standaarden niet hebben gevraagd. De mate waarin 'Leg uit' heeft plaatsgevonden is in 2012 gelijk aan 2011. En overigens ook aan 2010: door de RUG is destijds nagegaan in hoeverre door overheden verantwoording is afgelegd voor het niet toepassen van open standaarden bij de onderzochte aanbestedingen uit de eerste helft van 2010. Ook daarbij werd in geen enkel jaarverslag een verantwoording voor het niet toepassen van relevante standaarden gevonden. 6.3. Welke open standaarden waren relevant bij feitelijke aanbestedingen In het onderzoek van feitelijke aanbestedingen is van elke aanbesteding vastgesteld welke open standaard(en) van de 'pas-toe-of-leg-uit'-lijst daarvoor relevant was. Dat levert ook interessante 44
Dit is niet per definitie in strijd met het 'pas toe of leg uit'-principe, dat immers alleen vereist dat de relevante open standaarden bij nieuwe aanbestedingen geëist worden.
Pagina Datum
Titel
69/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
informatie op vanuit het perspectief van de adoptie van standaarden. In Tabel 22 is weergegeven hoe vaak elk van de standaarden van de lijst relevant is gebleken bij een aanbesteding. Van de 27 standaarden op de lijst voor 'pas toe of leg uit' waren 19 standaarden relevant, de andere 8 waren dus voor geen van de 64 onderzochte aanbestedingen in 2012 relevant. Net als in 2011 was ook dit jaar vooral IPv6/IPv4 (53%) relevant voor veel aanbestedingen, gevolgd door PDF/A-1 en PDF1.7 (33%)45 en ODF (28%). Bij de beoordeling zijn dit jaar (i.t.t. vorig jaar) de Webrichtlijnen alleen relevant geacht voor externe webapplicaties, en niet (meer) voor interne webapplicaties. Mede daardoor waren de Webrichtlijnen dit jaar relevant voor 19% van de aanbestedingen (vorig jaar: 44%). De (beveiligings)standaarden NEN-ISO\IEC 27001:2005nl en NEN-ISO\IEC 27002:2007nl waren voor respectievelijk 31% en 23% van de aanbestedingen relevant, en ook JPEG (20%) en PNG (17%) waren redelijk vaak relevant. Daarnaast waren 10 standaarden slechts voor enkele aanbestedingen relevant: StUF, Digikoppeling, SAML, XBRL, OAI-PMH, de Geo-standaarden, SEPA, STOSAG, DNSSEC en DKIM. De meeste standaarden bleken vaker relevant voor aanbestedingen door medeoverheden dan voor aanbestedingen door de ministeries en uitvoeringsorganisaties. Voor de feitelijke adoptie is uiteraard niet alleen van belang hoe vaak de standaard relevant bleek te zijn, maar vooral hoe vaak er daadwerkelijk om is gevraagd. Zoals al is gebleken in paragraaf 6.2 wordt er in aanbestedingen nog weinig om de relevante standaarden gevraagd: om PDF/A-1 en PDF1.7 en om IPv6/IPv4 is in 2012 bij 7 aanbestedingen gevraagd (11%), en om NEN-ISO\IEC 27001:2005nl en ODF bij 6 aanbestedingen (9%). Om de andere standaarden is slechts bij enkele aanbestedingen gevraagd .. of - ten onrechte - zelfs in het geheel niet (Digikoppeling, OAI-PMH, SEPA en DKIM). Hoewel de respondenten van de mini-survey veronderstellen dat open standaarden in 2012 redelijk vaak bij aanbestedingen werden toegepast (zie de laatste kolom, overgenomen uit Tabel 17), blijken deze open standaarden in het onderzoek van feitelijke aanbestedingen minder vaak relevant te zijn en wanneer ze wel relevant zijn werden ze maar zelden gevraagd. Zo veronderstelt bijvoorbeeld 61% van de respondenten dat de Webrichtlijnen in 2012 bij aanbestedingen werden toegepast, maar de Webrichtlijnen blijken bij slechts 19% van de aanbestedingen relevant te zijn en werden in de meeste gevallen desondanks niet gevraagd (3% van alle aanbestedingen, 17% van de aanbestedingen waarbij deze relevant waren). Bij de feitelijke aanbestedingen blijken de open standaarden veel minder vaak relevant, en daarbij bovendien in de meeste gevallen niet gevraagd, dan de respondenten in de mini-survey veronderstellen.
45
Overal waar PDF/A relevant was, is steeds ook PDF1.7 relevant verondersteld.
Pagina Datum
Titel
70/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Tabel 22: Open standaarden relevant / gevraagd bij feitelijke aanbestedingen in 2012 (Bron: onderzoek feitelijke aanbestedingen 2012) Ministeries + Uitvoeringsorganisaties
Gemeenten + Provincies + Waterschappen
Totaal
21
43
64
aantal aanbestedingen: n =
Totaal mini-survey (Tabel 17)
relevant gevraagd relevant gevraagd relevant gevraagd in % van in % van in % van in % van in % van in % van aanbest.n aanbest.n aanbest.n aanbest.n aanbest.n aanbest.n
% overheden dat zegt OS toe te passen
Sinds 2008 op de lijst: Webrichtlijnen *)
29 %
5%
14 %
2%
19 %
3%
61 %
NEN-ISO\IEC 27001:2005nl
43 %
19 %
26 %
5%
31 %
9%
20 %
NEN-ISO\IEC 27002:2007nl
24 %
5%
23 %
7%
23 %
6%
23 %
PNG
14 %
0%
19 %
5%
17 %
3%
27 %
JPEG
14 %
5%
23 %
9%
20 %
8%
39 %
PDF/A-1
14 %
0%
42 %
16 %
33 %
11 %
60 %
StUF
5%
5%
9%
9%
8%
8%
65 %
5%
0%
7%
0%
6%
0%
30 %
0%
n.v.t.
4%
SAML
5%
0%
5%
2%
5%
2%
10 %
PDF 1.7
14 %
0%
42 %
16 %
33 %
11 %
27 %
5%
5%
2%
2%
3%
3%
11 %
E−portfolio
0%
n.v.t.
1%
Aquo Standaard
0%
n.v.t.
8%
Sinds 2009 op de lijst: ebMS/WUS/Digikoppeling SETU
Sinds 2010 op de lijst: XBRL v2.1
IPv6 en IPv4
33 %
14 %
63 %
9%
53 %
11 %
43 %
OAI−PMH
5%
0%
2%
0%
3%
0%
2%
7%
2%
5%
2%
53 %
0%
n.v.t.
1%
2%
0%
34 %
OWMS
0%
n.v.t.
8%
IFC
0%
n.v.t.
1%
2%
2%
4%
5%
2%
8%
3%
0%
1%
0%
n.v.t.
4%
28 %
9%
35 %
--
--
31 %
191
57
Sinds 2011 op de lijst: Geo−standaarden NL LOM SEPA−standaarden
5%
0%
STOSAG
2%
2%
Sinds 2012 op de lijst: DNSSEC
14 %
5%
DKIM
5%
0%
2%
0%
SIKB 0101 ODF 1.2
10 %
46
0%
37 %
14 %
PDF/A-2 Totaal
51
13
140
44
*) dit jaar alleen relevant beoordeeld voor externe webapplicaties (vorig jaar ook voor interne webapplicaties)
46
ODF 1.2 vervangt per 15 juni 2012 de oudere standaard ODF (die sinds 2008 op de lijst stond).
Pagina Datum
Titel
71/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bijlage 1. 'Pas toe of leg uit' in het kort
Pagina Datum
Titel
72/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bijlage 2. Quickscan rijksbrede I-voorzieningen In de zomer van 2013 heeft VKA de toepassing van open standaarden bij een aantal rijksbrede generieke I-voorzieningen en shared services onderzocht 47: • Digitale Werkomgeving Rijksdienst (DWR) • Rijksportaal • Rijksoverheid.nl • Doc-Direkt • Rijkspas • P-Direkt • OT2010 • ON2013 • Overheid.nl Voor het onderzoek is gekeken naar de standaarden die op de pas-toe-of-leg-uit-lijst van 11 juni 2012 van het Forum en College Standaardisatie staan. Werkwijze en bronnen Vanwege de korte doorlooptijd voor dit onderzoek is eerst een analyse gedaan naar de status van open standaarden bij de geselecteerde I-voorzieningen op basis van publiek beschikbare informatie, de kennis van enkele experts en de kennis van de onderzoekers. De voorlopige bevindingen van deze eerste analyse zijn voorgelegd aan de beheerders of eigenaren van de I-voorzieningen. Zo zijn eventuele onjuistheden gecorrigeerd en is waar nodig nuance aangebracht, maar op deze manier is ook een bevestiging gekregen van de bevindingen. Voor het verkrijgen van een correct overzicht is de status van de open standaarden per Ivoorziening onderzocht door eerst vast te stellen hoe het gebruik zou moeten zijn. Vervolgens zijn de reacties van de I-voorzieningen genoteerd. In het overzicht van standaarden van het Forum en College Standaardisatie is per standaard aangegeven wat het organisatorische werkingsgebied is (wie moeten de standaard gebruiken) en het functioneel toepassingsgebied is (waarvoor moet je de standaard gebruiken). Op basis hiervan is bepaald welke standaarden relevant zijn voor de verschillende I-voorzieningen. Daar waar dat niet altijd duidelijk was is contact opgenomen met de beheerder van de Ivoorziening of de beheerder van de standaard. Voor het onderzoek is gebruik gemaakt van de volgende bronnen: • IPv6.nl test overzicht van overheidsvoorzieningen • Vooronderzoek voorzieningen open standaarden • DNSSEC test • Test op DKIM • Lijst Open standaarden van ‘pas-toe-of-leg-uit’ beleid • Publicatie toegankelijkheid op Rijksoverheid.nl
47
Quickscan open standaarden centrale voorzieningen en shared services, Piet Hein Minnecré, Huub Koninkx, VKA, 4 oktober 2013.
Pagina Datum
Titel
73/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Niet altijd is informatie over het gebruik van standaarden terug te vinden in openbare documenten. Daar waar dat eenvoudig te realiseren was (gezien de beperkte beschikbare tijd voor dit onderzoek) is via eenvoudige tests onderzocht of voldaan wordt aan standaarden. In veel gevallen is dit echter niet eenvoudig te controleren. Veel standaarden kennen geen eenvoudige manier om te toetsen of er aan voldaan wordt. Daarom is voor het vergaren van sommige informatie uit deze rapportage gebruik gemaakt van interviews met vertegenwoordigers van de geselecteerde I-voorzieningen. In de rapportage is telkens aangegeven vanuit welke bron de informatie komt en of het een mening van de betreft of een mening van VKA. In een beperkt aantal gevallen is door de krappe doorlooptijd niet meer gelukt nog een reactie te verkrijgen op laatste bevindingen, verschillen de meningen of verdient een onderwerp meer uitzoekwerk. Ook dat is telkens aangegeven. Van de gesprekken zijn korte verslagen gemaakt. Deze verslagen zijn door de geïnterviewden geaccordeerd. Een overzicht van de reacties en commentaren is aan de ICTU en BFS verstrekt. In de rapportage zijn bijdragen van de volgende personen verwerkt: • • • • • • • • • • • • • •
Robert Bennis, DWR / Rijksportaal, SSC-ICT; Jeroen Cox, DWR / Rijksportaal, DGOBR/DIR/TBGI; Gerrit Berkouwer, Rijksoverheid.nl, DPC; Marc van de Graaf, Rijksoverheid.nl, DPC; Bob Papenhuijzen, Doc-Direkt Ali Amin Shahidi, Doc-Direkt, Doc-Direkt Gert Cardol, P-Direkt, P-Direkt Jos van Vlimmeren, P-Direct, P-Direkt Tom van der Kruys, ON2013, Min BZK/project ON2013 Tony van der Togt, Rijkspas, TBGI Chantal Sweens, OT2010, HIS / SBO Cees den Heijer, OT2010, HIS / SBO Nico Post, Overheid.nl, KOOP Hans Overbeek, Overheid.nl, KOOP
Pagina Datum
Titel
74/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bijlage 3. Quickscan NUP-bouwstenen (2012) B3.A: Quickscan toepassing van open standaarden door NUP-bouwstenen VKA heeft in de zomer van 2012 op verzoek van ICTU een (eenmalige) quickscan uitgevoerd van de mate waarin de NUP-bouwstenen voldoen aan de relevante open standaarden 48. Hierbij is uitgegaan van de open standaarden die op 11 juni 2012 op de lijst voor ‘pas-toe-of-leg-uit’ stonden. De uitkomsten van deze quick scan zijn ook in deze monitor gebruikt, er heeft dus geen actualisering van de stand van zaken bij de NUP-bouwstenen plaatsgevonden. Om de administratieve belasting en de kosten van monitoring te beperken is ervoor gekozen om niet jaarlijks deze informatie te actualiseren. De Quickscan wordt wèl gecombineerd met actuele cijfers over het gebruik van de bouwstenen door overheden. In een toekomstige monitor zal de informatie over het voldoen van de NUP-bouwstenen aan de relevante open standaarden wèl worden geactualiseerd. B3.A.1. Werkwijze Quickscan NUP-bouwstenen (2012) Vorig jaar zijn de 25 bouwstenen onderzocht die opgenomen zijn in de oorspronkelijke ‘i-NUP: Overheidsbrede implementatieagenda voor dienstverlening en e-overheid'. Daarbij worden de volgende opmerkingen gemaakt: • de programmaraad e-overheid voor burgers heeft op 16 juni 2011 besloten de voorziening ‘Antwoord Contentvoorziening’ te stoppen. Deze voorziening is dus niet opgenomen. • de Stelselcatalogus staat niet genoemd in het oorspronkelijke i-NUP maar wordt bij doorontwikkeling van het i-NUP steeds vaker als onderdeel genoemd; met de opdrachtgever is afgesproken voor dit onderzoek de Stelselcatalogus niet mee te nemen. Werkwijze en bronnen Gelet op de uitgangspunten van het comply-or-explain beleid zou het relatief eenvoudig moeten zijn om de verantwoording over het gebruik van standaarden terug te vinden. In de praktijk valt dit tegen. De informatie is over het algemeen slecht of niet te vinden, en in enkele gevallen kan men vragen stellen bij de accuraatheid van de gegeven informatie. Op basis van het organisatorische werkingsgebied (wie moeten de standaard gebruiken) en het functioneel toepassingsgebied zijn (waarvoor moet je de standaard gebruiken) is bepaald welke standaarden relevant zijn voor de verschillende voorzieningen 49. Waar dat niet geheel duidelijk was is contact opgenomen met de beheerder van de voorziening of de beheerder van de standaard. Het overzicht is verder samengesteld op basis van publiek beschikbare gegevens over de verschillende onderdelen, op basis van eigen kennis van de onderzoeker, en op basis van kennis van het Bureau Forum Standaardisatie over het gebruik van de standaarden. Waar dit onvoldoende bleek is gesproken met experts (vaak werkzaam bij de beheerder van de standaard). Voor het onderzoek is gebruik gemaakt van de volgende openbare bronnen: • i-NUP: Overheidsbrede implementatieagenda voor dienstverlening en e-overheid; • Releasekalender NUP-bouwstenen Maart 2012; • Jaarverslag 2011 van Logius; 48
Het onderzoek richt zich nadrukkelijk niet op de standaarden die door de beheerder van een NUP-bouwsteen worden gebruikt, bijvoorbeeld op hun website of intern ten behoeve van het beheer van de NUP-bouwsteen. 49 Organisatorisch werkingsgebied en functioneel toepassingsgebied: als vermeld bij de 'pas toe of leg uit'-lijst.
Pagina Datum
Titel
75/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
• • •
IPv6.nl testoverzicht van overheidsvoorzieningen; Afsprakenstelsel eHerkenning versie 1.4; Vraag en antwoord Digikoppeling.
Niet altijd bleek informatie over het gebruik van open standaarden terug te vinden in openbare documenten. Daar waar dat eenvoudig te realiseren was (gezien de beperkte beschikbare tijd voor dit onderzoek) is via eenvoudige tests onderzocht of voldaan wordt aan standaarden. In veel gevallen is dit echter niet eenvoudig te controleren. Veel standaarden kennen geen eenvoudige manier om te toetsen of er aan voldaan wordt. Daarom is voor het vergaren van sommige informatie uit deze rapportage gebruik van gemaakt van interviews met bij de NUP-bouwstenen betrokken experts. Daarnaast is deze rapportage in concept ter consultatie uitgezet onder de beheerders van zowel de standaarden als van de NUP-bouwstenen. Daarop is door een groot aantal personen gereageerd en waar dat noodzakelijk was zijn hun reacties verwerkt in de rapportage. Een overzicht van de reacties en commentaren is separaat aan de opdrachtgever verstrekt. In de rapportage zijn bijdragen van de volgende personen verwerkt: • Marcel Reuvers, Geonovum; • Anton van Weel, Stelsel van Basisregistraties, ICTU; • Bart Knubben, Logius; • Indra Henneman, Programma eHerkenning, ICTU; • Michael Stoelinga, Programma eHerkenning, ICTU. • Josje Majoor, Antwoord voor bedrijven, ICTU; • Laura Ouwehand, Antwoord voor bedrijven, ICTU. • Hans van Laar, Ministerie van Binnenlandse Zaken, DGBK-BPR-ICT-regie & Beheer • Louis Tinselboer, MijnOverheid, Logius • Wim Kegel, Logius • Tom Peelen, Logius • Colin van Oosterhout, Adobe • Frank Zwart, Logius • Peter Kerris, NVRD • Paul Rekveld, Gemeente Gouda, ODF-gebruikersgroep • Daniël te Winkel, Kadaster • Maarten Edelman, KING • Huibert-Jan Lekkerkerk, Informatiehuis Water • Martine van Heijnsbergen, RDW • Piet van der Krieke, Kadaster • Marijke Salters, Logius B3.A.2. Bevindingen per NUP-bouwsteen De Quickscan leverde (in 2012) de volgende bevindingen per NUP-bouwsteen op. Webrichtlijnen De Webrichtlijnen zijn zowel een NUP-bouwsteen als een standaard op de pas-toe-of-leg-uit-lijst. Gebruikers van de bouwsteen Webrichtlijnen passen dus automatisch deze standaard toe.
Pagina Datum
Titel
76/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Samenwerkende Catalogi Versie 4.0 van Samenwerkende Catalogi50 voldoet aan de standaard OWMS (Overheid.nl Web Metadata Standaard). Gebruikers van Samenwerkende Catalogi passen dus OWMS toe. MijnOverheid MijnOverheid voldoet vrijwel volledig aan 8 van de 9 relevante open standaarden: SAML2.0, Webrichtlijnen (niveau WCAG 1.0 prioriteit 1 & 2, d.w.z. 46 van de 95 ijkpunten), ODF, PDF/A, PNG, WSRP, Digikoppeling en gedeeltelijk ook StUF (sinds begin 2012 wordt StUF-berichten gebruikt voor de uitwisseling van WOZ-gegevens en taxatieverslag met gemeenten ten behoeve van het tonen van WOZ-gegevens in Persoonlijke Gegevens; daarnaast voerde Logius in 2012 een impactanalyse uit om StUF ook in Lopende Zaken in te voeren, invoering naar verwachting eind 2012 of begin 2013). Gebruikers van MijnOverheid passen dus deze acht standaarden toe. In tegenstelling tot wat vermeld is in het Jaaroverzicht 2011 van Logius, blijkt uit een test van de conformiteit aan IPv6 echter dat MijnOverheid niet voldoet aan IPv6. Antwoord© 14+ netnummer Voor het Antwoord© 14+netnummer (voor gemeenten) is geen van de standaarden op de lijst relevant. Gebruik hiervan draagt dus verder niet bij aan het gebruik van open standaarden. BSN De Beheervoorziening BSN voldoet niet aan de twee relevante open standaarden Digikoppeling en IPv4/IPv6. De beheerder van de voorziening heeft in 2012 de volgende informatie verstrekt: "Bij de ontwikkeling van de Beheervoorziening BSN is bij de keuzes (overeenkomstig NORA) het gebruik van open standaarden (bij gelijke geschiktheid) één van de uitgangspunten geweest. Er is veel gebruik gemaakt van open standaarden waarbij de nadruk ligt op de componenten die de communicatie met de gebruikers verzorgen. De BV BSN, zeker voor wat betreft de communicatie met haar gebruikers, past 1-op-1 binnen een Service Gerichte Architectuur. Bij de realisatie van de BV BSN is voor webservices gekozen. De berichten zijn opgemaakt conform de WSI standaard dit is ondermee getoetst met het product SOAPScope. Bij de uitwisseling van de berichten wordt gebruik gemaakt van Internet standaarden als SOAP, HTTP, en SSL. De beveiliging van het berichtenverkeer is gebaseerd op PKIOverheid. Al het netwerkverkeer is gebaseerd op het internet protocol TCP/IP. Er is uitgegaan van de ISO 10646 UTF-8 tekenset die overeenkomt met de (beperkte) GBA Teletex tekenset. Deze tekenset ondersteunt de noodzakelijke diakrieten. Tot slot zijn de bouwstenen van de maatwerkapplicatie, het .Net framework en de C# programmeertaal Open (ECMA) standaarden. Ontwikkelingen als IPv6 en Digikoppeling worden gevolgd, echter zijn momenteel (nog) niet opportuun."
DigiD DigiD voldoet aan 3 van de 4 relevante open standaarden van de lijst: SAMLv2 (in DigiD 2.n is met Eenmalig inloggen een SAML-authenticatiekoppelvlak gerealiseerd), Webrichtlijnen (niveau WCAG 1.0 prioriteit 1 & 2, d.w.z. 46 van de 95 ijkpunten) en IPv4/IPv6. Gebruikers van DigiD passen dus deze drie standaarden toe. De vierde standaard, Digikoppeling, staat gepland voor DigiD 4. DigiD ondersteunt naast SAML ook de A-Select protocollen, deze worden nog steeds veelvuldig gebruikt. In de consultatieronde in 2012 is door Logius het volgende aangeven: 50
Samenwerkende Catalogi is eerder aangemeld voor opname op de lijst met standaarden voor 'pas toe of leg uit', maar voldeed toen nog niet aan alle eisen voor opname.
Pagina Datum
Titel
77/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
" De oude A-Select protocollen worden nog ondersteund in het kader van een bewust geformuleerd migratiebeleid; het zou volstrekt onverantwoord zijn geweest om alle afnemers van DigiD te dwingen tot een geforceerd overgang naar SAML-2 door de alternatieven voortijdig uit de lucht te halen. Het is ook geen taak voor DIgiD om conformiteit aan standaarden af te dwingen. De keuze ligt bovendien bij de afnemer; DigiD faciliteert alleen. Voor de migratie is bij de ontwikkeling van de nieuwe versie van DigiD een termijn genoemd van twee jaar na de oplevering van het SAML koppelvlak (en dat was in mei van dit jaar). Dat zou betekenen dat alle klanten uiterlijk medio 2014 overgestapt zouden moeten zijn."
Tevens heeft het Forum Standaardisatie eerder geconstateerd dat DigiD een andere invulling (profiel) van de standaard hanteert dan de door bijvoorbeeld eHerkenning gekozen invulling. DigiD Machtigen DigiD Machtigen voldoet (in 2012) aan 1 van de 4 relevante open standaarden van de lijst, namelijk SAMLv2. Daarnaast is volledige implementatie van de Webrichtlijnen gepland voor 2012, en is Digikoppeling gepland voor na 2012. In tegenstelling tot hetgeen vermeld is in het Jaaroverzicht 2011 van Logius, blijkt uit een conformiteitstest van de aan IPv6 dat DigiD niet volledig voldoet aan IPv6. Logius heeft aangegeven dat de voorziening momenteel gemigreerd wordt en dat IPv6-connectiviteit naar verwachting eind september verwezenlijkt zal zijn. Antwoord voor bedrijven Antwoord voor bedrijven voldoet aan 3 van de 5 relevante standaarden van de lijst, namelijk Digikoppeling (het oudere SMTP-koppelvlak, dat momenteel ook nog beschikbaar is, wordt uitgefaseerd), PDF/A (berichten zijn in PDF/A beschikbaar voor gebruikers) en Webrichtlijnen. Gebruikers van Antwoord voor bedrijven passen dus deze drie standaarden toe. Aan OWMS en aan IPv4/IPv6 voldoet Antwoord voor bedrijven (nog) niet. Daarnaast heeft Antwoord voor bedrijven aangegeven dat DKIM opgenomen wordt op de planning (deze standaard is nog in behandeling bij het Forum en College Standaardisatie) en dat WSRP niet door hen gebruikt wordt (op 15 juni 2012 is WSRP door Forum en College Standaardisatie van de lijst gehaald). eHerkenning eHerkenning is geen voorziening die door de overheid zelf beheerd wordt: marktpartijen en overheden vormen samen een stelsel conform het afsprakenstelsel eHerkenning. Voor de quickscan is bezien welke standaarden relevant zijn om op te nemen in het afsprakenstelsel, dat blijkt voor 4 van de 5 relevante standaarden het geval te zijn: SAML, NEN-ISO/IEC 27001 en 27002, en de Webrichtlijnen. In de bijlage over de ondertekendienst van eHerkenning komt Pades voor, een nadere precisering van PDF1.7, gericht op het ondersteunen van elektronische handtekeningen. Ondersteuning van IPv6 is nog niet opgenomen in het afsprakenstelsel en staat ook nog niet in de planning. Hierover is in de consultatieronde het volgende aangegeven: "De afspraken die we in het Afsprakenstelsel eHerkenning vastleggen betreffen alleen afspraken op het applicatieniveau (HTTP/SOAP) en niet het transportniveau waar IP zich bevindt. Het naleven van de afspraken door diverse aanbieders van eHerkenning richting overheidsorganisaties kan dus zowel op IPv4 als IPv6. De toepassing van IPv6 bij de implementatie van eHerkenning is dus een eis die overheidsorganisaties zelf kunnen stellen bij het inkopen van eHerkenning op het moment dat zij daarvoor klaar zijn."
De koppelvlakken, zoals gedefinieerd in het afsprakenstelsel eHerkenning zijn aangemeld voor opname op de lijst met standaarden. Ook het SAML 2.0 implementatieprofiel, dat door eHerkenning wordt gebruikt, is aangemeld. Zoals eerder opgemerkt (zie bij DigiD), heeft het Forum Standaardisatie al eerder geconstateerd dat dit profiel afwijkt van het SAML-profiel van DigiD.
Pagina Datum
Titel
78/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
De basisregistraties De basisregistraties worden hier gezamenlijk besproken. Het gaat hierbij om: GBA* Gemeentelijke Basisadministratie persoonsgegevens RNI* Registratie Niet Ingezetenen NHR Handelsregister BAG Basisregistraties Adressen en Gebouwen (bestaat uit twee basisregistraties) BRT Basisregistratie Topografie BRK Basisregistratie Kadaster BRV Basisregistratie Voertuigen (kentekenregister) BLAU Basisregistratie lonen, arbeids- en uitkeringsverhoudingen BRI Basisregistratie Inkomen WOZ Basisregistratie Waarde Onroerende Zaken BGT Basisregistratie Grootschalige Topografie (voorheen GBKN) BRO Basisregistratie Ondergrond (voorheen ook wel DINO) (* GBA en RNI vormen samen de BRP - Basisregistratie Personen) Voor deze basisregistraties zijn drie open standaarden van de pas-toe-of-leg-uit-lijst mogelijk relevant: Digikoppeling, Geo-standaarden en StUF. Basisregistraties en Digikoppeling Digikoppeling is voor alle basisregistraties relevant. De exacte status en planningen voor het gebruik van Digikoppeling door de basisregistraties is lastig te achterhalen. Er is weinig publiek beschikbare informatie hierover te vinden. Uit gesprekken met experts blijkt het gebruik van open standaarden door basisregistraties echter achter te blijven. Voor enkele onderdelen van de basisregistraties wordt Digikoppeling gebruikt. Daarnaast hebben enkele basisregistraties planningen afgegeven maar het betreft hier een grote minderheid. Overheden die Digikoppeling toepassen kunnen daardoor nog weinig uitwisselen met basisregistraties. Op de website e-overheid staat over het waarom: De factoren hiervoor verschillen per organisatie. Aan de kant van de verstrekkers van de landelijke voorzieningen wordt het toepassen van de standaard meegenomen in reeds lopende vernieuwingsprojecten. Een tweede factor is het privaat gebruik. Waar Digikoppeling is bedoeld voor de publieke sector, dienen diverse basisregistraties ook rekening te houden met privaat gebruik. Op private partijen is de pas-toe-of-leg-uit regeling niet van toepassing. Men moet qua prioritering hier ook rekening mee houden.
Basisregistraties en de Geo-standaarden De Geo-standaarden zijn voor een aantal basisregistraties van belang: de Basisregistratie Ondergrond (BRO), Basisregistratie Kadaster (BRK), Basisregistratie Topografie (BRT), Basisregistratie Grootschalige Topografie (BGT) en Basisregistraties Adressen en Gebouwen (BAG). In deze registraties wordt voor zover relevant in veel gevallen gebruik gemaakt van de Geo-standaarden. Een aantal basisregistraties wordt echter (nog) niet in de praktijk gebruikt, dus dit leidt nog niet tot meer gebruik van open standaarden door overheden. Overigens zijn ook de Aquo-standaarden relevant, ondermeer voor de - op dit moment nog niet in gebruik zijnde - BRO (Basisregistratie Ondergrond). Basisregistraties en StUF Er is weinig informatie te vinden over het gebruik van StUF door de basisregistraties. Door een expert is aangegeven dat daar waar StUF gebruikt wordt het niet altijd zeker is of de implementaties van StUF volledig in overeenstemming zijn met de officiële versie van StUF. Daarnaast kan uit een brief van de voorzitter van de Stuurgroep Aansluiting Handelsregister aan de voorzitter van de
Pagina Datum
Titel
79/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Programmaraad Stelsel Basisregistraties opgemaakt worden dat het gebruik van StUF door de basisregistraties om te communiceren te wensen overlaat. Hein van Schijndel (Centric) betoogt in een blog51 dat verschillende basisregistraties - waaronder BRP, NHR en BRK - niet van StUF gebruik maken en dat ook niet van plan zijn. Terwijl bijvoorbeeld BAG en WOZ dat wel doen of van plan zijn. En voor BGT is de berichtenstandaard GeoStUF ontwikkeld. Digikoppeling Digikoppeling is zowel een NUP-bouwsteen als een standaard op de pas-toe-of-leg-uit-lijst. Gebruikers van de bouwsteen Digikoppeling passen dus automatisch deze open standaard toe. Digikoppeling is de onderliggende standaard voor Digilevering en Digimelding. Digilevering Digilevering is gebouwd op Digikoppeling. Medio 2012 wordt nog geen gebruikt gemaakt van StUF voor de uitwisseling van berichten. In de planning van Digilevering is opgenomen dat dit in de toekomst wel mogelijk wordt. Dit staat voorlopig in versie 2.1 die gepland is voor mei 2013. Digilevering voldoet niet aan IPv6. Overigens wordt Digilevering nog niet gebruikt. Digimelding Digimelding voldoet aan 1 van de 2 relevante open standaarden, namelijk aan Digikoppeling. Het oudere SMTP-koppelvlak - dat momenteel ook nog beschikbaar is - wordt uitgefaseerd. Digimelding voldoet niet aan IPv6. Overigens wordt Digimelding nog zeer beperkt gebruikt. Bijlage 3B: Gebruik van NUP-bouwstenen De mate waarin de NUP-bouwstenen medio 2012 voldeden aan de relevante open standaarden wordt gecombineerd met de ontwikkeling van het gebruik van deze bouwstenen, op basis van de meest recente cijfers (medio 2013). Elk halfjaar wordt in kaart gebracht hoever de ontwikkeling, de implementatie, het beheer en het gebruik van de NUP-bouwstenen is gevorderd (iNUP-monitoring van Operatie NUP, door KING). Hiervoor worden niet de (gebruikende) overheidsorganisaties benaderd, maar de ontwikkel- en beheerorganisaties van de NUP-bouwstenen. Gerapporteerd wordt aan de Programmaraad Stelsel van Basisregistraties (over de dertien basisregistraties en de generieke voorzieningen Digilevering, Digikoppeling en Digimelding) en aan de Programmaraad e-Overheid voor Burgers (over drie bouwstenen: het Antwoord© 14+netnummer, MijnOverheid.nl (i.h.b. Lopende Zaken, Persoonlijke Gegevens en Berichtenbox) en de Webrichtlijnen)52. Niet over alle NUP-bouwstenen blijkt dergelijke informatie beschikbaar te zijn: Digimelding en Digilevering zijn nog niet grootschalig geïmplementeerd en over Samenwerkende Catalogi, BSN, DigiD en DigiD Machtigen wordt in de genoemde publicaties niet gerapporteerd. Verder is voor Antwoord voor Bedrijven is alleen het totaal-percentage bekend, en is het Antwoord 14+ netnummer alleen van toepassing voor gemeenten.
51
StUF als stelselstandaard?, Hein van Schijndel, 6-7-2012 (zie http://centric.eu/NL/Default/Branches/Lokaleoverheid/Blogs.aspx/2012/07/06/StUF-als-stelselstandaard).
52
Stuurinformatie Programmaraad Stelsel van Basisregistraties, Editie 05, 01-09-13, en Stuurinformatie Programmaraad e-Overheid voor Burgers, Editie 05, 01-09-13.
Pagina Datum
Titel
80/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bijlage 4. Mini-survey: zelfrapportage open standaardenbeleid In het kader van de iNUP- en Operatie NUP-monitoring wordt één keer per jaar een mini-survey onder alle overheden gehouden (ministeries, uitvoeringsorganisaties van de Manifestgroep 53, gemeenten, provincies en waterschappen). Dit mini-survey, waarmee de realisatie van Resultaatafspraak 20 in kaart wordt gebracht154, omvat vijf vragen over het open standaarden- en open sourcebeleid. Deze vragen bouwen voort op de Monitor NOiV (2008-2010), de antwoorden kunnen daardoor in historisch perspectief geplaatst worden55. In deze monitor-rapportage zijn de uitkomsten opgenomen van het mini-survey waarvoor de gegevensverzameling begin 2013 plaatsvond. De antwoorden hebben dus betrekking op het jaar 2012. Respons De overall respons op de mini-survey was dit keer redelijk: 160 (34%) van de 466 benaderde organisaties hebben de vragen beantwoord. De respons neemt sinds 2010 af, maar is nog iets hoger dan in de jaren daarvoor. Van de waterschappen heeft 58% de vragen beantwoord en van de provincies 42%. De respons was het laagst onder de ministeries en de uitvoeringsorganisaties (beide 36%) en onder de gemeenten (33%). Figuur B4.1: Respons, naar doelgroep (tussen haakjes: aantal organisaties respons / benaderd) Totaal 2012 (160 / 466)
34 %
(2011)
66 %
42 %
(2010)
58 %
49 %
(2009)
51 %
30 %
(2008)
70 %
33 %
67 %
2012 per doelgroep : 0 % Ministeries (4 / 11)
36 %
64 %
Uitvoeringsorganisaties (4 / 11)
36 %
64 %
Provincies (5 / 12)
42 %
Gemeenten (133 / 408)
58 %
33 %
Waterschappen (14 / 24)
67 % 58 %
0% respons
25%
42 %
50%
75%
100%
non-respons
53 54
Benaderd zijn: Belastingdienst, BKWI, CBS, CVZ, DUO, IND, Kadaster, RDW, SVB, UWV en KvK. Resultaatafspraak 20 luidt: Gemeenten maken gebruik van de open standaarden zoals vastgesteld door het College standaardisatie en werken hierbij volgens het principe “pas toe of leg uit”. Bij aanbestedingen van software krijgt, bij gelijke geschiktheid, open source de voorkeur. Deze is nader geoperationaliseerd tot: tenminste 80% van de gemeenten voldoet eind 2014 aan deze resultaatafspraak. 55 Voor de monitoring van de NUP-afspraken worden ook de antwoorden van organisaties, die wèl aan de voorgaande meting hebben meegedaan maar niet aan deze meting, in de cijfers meegenomen. Die cijfers zijn daarom gebaseerd op een groter aantal organisaties en wijken enigszins af van de cijfers in deze rapportage.
Pagina Datum
Titel
81/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bij een lagere respons is uiteraard de nauwkeurigheid van de uitkomsten beperkter: zo moet bij de totaalpercentages dit jaar bijvoorbeeld rekening gehouden worden met een nauwkeurigheidsmarge van plus of min 5%56. Dit betekent ook, dat de samenstelling van de responsgroep van jaar tot jaar enigszins verschilt. Van de 160 respondenten van dit jaar heeft bijvoorbeeld 71% de vragen ook vorig jaar (2012) beantwoord en 71% heeft de vragen zowel in 2013 als in 2011 beantwoord, en 54% heeft in alle drie de jaren aan de enquête meegewerkt. Vragenlijst Het mini-survey bestaat uit de volgende vijf vragen (en antwoord-opties): 1. Heeft uw organisatie het 'Pas toe of leg uit'-principe ingevoerd? (Ja / Nog niet / Nee / Weet niet) 2. Op welke wijze is het gebruik van de open standaarden van de lijst voor 'pas toe of leg uit' – voorzover van toepassing - op dit moment binnen uw organisatie in de praktijk geborgd? (Meerdere antwoorden mogelijk: Opgenomen in informatiseringsplan / Opgenomen in enterprise-architectuur / Procedure is operationeel en ‘leg uit’-gevallen worden bijgehouden / Inkoop-medewerkers zijn goed op de hoogte / Open standaarden zijn vereiste bij budget- allocatie ICT-projecten / Niet geborgd) 3. In hoeverre worden door uw organisatie bij aanbestedingen en aanschaf van ICT-producten en -diensten de relevante open standaarden van de lijst toegepast? (Alle / Een deel / Geen) 4. Kunt u aangeven welke open standaarden van de lijst voor ‘pas toe of leg uit’ bij aanbestedingen en aanschaf van ICT-producten en –diensten worden toegepast? (per standaard van de lijst: Ja / Nee) 5. Op welke wijze worden de mogelijke voordelen en bijzondere kenmerken van open source software op dit moment meegewogen bij inkopen en aanbestedingen? (Zwaar / Licht / Niet) De laatste vraag is voor de Monitor Open standaardenbeleid niet relevant, deze wordt alleen gebruikt voor de verantwoording door BZK (NUP-resultaatsverplichtingen).
56
Bij 90% betrouwbaarheid.
Pagina Datum
Titel
82/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
Bijlage 5. Onderzoek 'pas toe of leg uit' feitelijke aanbestedingen Door Mathieu Paapst (RUG) zijn in 2011 alle (europese) aanbestedingen onderzocht door de publieke sector in de eerste helft van 2010. Daarbij is per aanbesteding vastgesteld welke open standaarden van de lijst voor ‘pas toe of leg uit’ daarop van toepassing waren en in hoeverre daarom ook werd gevraagd. Onderzocht zijn 80 aanbestedingen, waarvan 54 door Rijk, gemeenten, provincies en waterschappen. Van deze 54 had in 41 gevallen om één of meer open standaarden van de lijst voor ‘pas toe of leg uit’ gevraagd moeten worden. In 17 gevallen (41%) werd daarom inderdaad gevraagd, in de andere 24 gevallen (59%) niet. Voor de Monitor Open standaardenbeleid is een dergelijk onderzoek vorig jaar herhaald door Walter van Holst (Mitopics) voor de aanbestedingen van het Rijk in heel het jaar 2011, en van de medeoverheden in de eerste helft van 2011. Ook dit jaar heeft Walter van Holst op deze manier aanbestedingen onderzocht, dit keer aanbestedingen van het Rijk in januari tot en met september 2012, en van de mede-overheden in de eerste helft van 2012. Daarna is wederom nagegaan of in de jaarverslagen van de overheden, die een vereiste standaard niet hebben gevraagd, verantwoording is afgelegd. Open standaarden in feitelijke aanbestedingen ('pas toe') Onderzoek van aanbestedingen is (zeer) bewerkelijk, zowel het selecteren van de relevante aanbestedingen, als het verzamelen en bestuderen van de betreffende aanbestedingsstukken en het beoordelen van de aanbesteding. Vanwege de beperkte hoeveelheid tijd die voor dit (deel)onderzoek beschikbaar was, is de volgende werkwijze gevolgd. Van alle mogelijk relevante aanbestedingen die in de genoemde periode(s) gepubliceerd zijn op Aanbestedingskalender.nl en Tenderned.nl zijn voorzover dat mogelijk was de aanbestedingsdocumenten verzameld en bestudeerd. Het betreft daardoor voornamelijk Europese aanbestedingen (aanbestedingsgrens voor de rijksoverheid > € 130.000 en voor decentrale overheden > € 200.000). Aanbestedingen onder deze grenzen (maar > € 50.000) worden maar weinig gepubliceerd op Aanbestedingskalender.nl en Tenderned.nl en vallen dus grotendeels buiten het onderzoek. Daarnaast zijn detacheringen buiten beschouwing gebleven, omdat ‘pas toe of leg uit’ daarbij hoogstens op bijzondere wijze kan plaatsvinden (bijvoorbeeld door bepaalde competenties te eisen) en omdat voor dit onderzoek moeilijk beoordeeld kan worden of bij de werkzaamheden van de betreffende gedetacheerden ICT-producten of –diensten worden gerealiseerd waarop open standaarden van toepassing zijn en in hoeverre die daarbij geëist worden. Het onderzoek omvat daarom geen detacheringen, waaronder waarschijnlijk relatief veel maatwerk-opdrachten. De omschrijving "een ICT-dienst of ICT-product voor een toepassingsgebied dat voorkomt op de lijst die op de website www.forumstandaardisatie.nl is gepubliceerd" in de Instructie Rijksdienst laat zich niet bepaald één-op-één vertalen naar de CPV-codes waarmee aanbestedingen worden geclassificeerd. Bovendien blijken de aanbestedende diensten nogal verschillend met deze CPVcodes om te gaan. In veel gevallen wordt volstaan met een code op het zeer brede 2-digit-niveau (bijvoorbeeld 48000000 Software en informatiesystemen), waarmee onduidelijk blijft in hoeverre de aanbesteding binnen een functioneel toepassingsgebied valt voor een bepaalde open standaard. Dit gold voor een kwart van de aanbestedingen die in het onderzoek zijn opgenomen. Daarnaast worden
Pagina Datum
Titel
83/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
soms juist veel gedetailleerdere CPV-codes vermeld (bijvoorbeeld 72212333 Diensten voor ontwikkeling van contactmanagement-software), al dan niet samen met enkele andere codes. Voor dit onderzoek is daarom voldoende breed gezocht. In het RUG-onderzoek werd op de CPVcodes 48000000, 72000000, 73000000 en/of 79000000 geselecteerd 57. Voor dit onderzoek zijn daaraan de codes 30000000, 30200000 en 64200000 toegevoegd 58, dit leverde inderdaad vijf relevante aanbestedingen extra op. Bovendien zijn nu ook niet-openbare aanbestedingen in het onderzoek betrokken. De CPV-codes zijn gebruikt voor de eerste selectie van mogelijk voor het onderzoek relevante aanbestedingen. Vervolgens moest per (aankondiging van) aanbesteding bepaald worden of deze binnen het toepassingsgebied valt van één of meer open standaarden van de lijst. Hiervoor zijn de openbare aanbestedingsstukken bestudeerd, voorzover die beschikbaar waren. Helaas zijn soms de aanbestedingsdocumenten niet (meer) beschikbaar. In enkele gevallen werden deze nooit openbaar gepubliceerd, en waren de documenten alleen opvraagbaar voor serieuze gegadigden (aanbieders). In de meeste gevallen echter waren de documenten door de aanbestedende overheidsorganisatie verwijderd nadat de procedure was afgerond. Dit keer is geprobeerd om voor een zo groot mogelijk aantal aanbestedingen wèl over de documenten te kunnen beschikken, door reeds in de loop van 2012 met de gegevensverzameling te starten. Het onderzoek betreft dit jaarin totaal 64 aanbestedingen59, waarvan 5 niet-openbare. Deze zijn als volgt verdeeld over de verschillende overheden: zie Tabel B5.1. Tabel B5.1: Aantal gevonden en beoordeelde aanbestedingen (Bron: onderzoek feitelijke aanbestedingen 2011) Ministeries
UitvoeringsWaterGemeenten Provincies organisaties schappen
Totaal
beoordeelde aanbestedingen
6
15
30
9
4
64
... waarvan openbare aanbesteding
5
14
28
9
3
59
aantal verschillende organisaties
5
8
27
8
3
(51)
De tel-eenheid is in dit geval: het aantal aanbestedingen. Dat is uiteraard niet gelijk aan het aantal verschillende organisaties: 8 organisaties hebben in de onderzochte periode meer dan één
57
48000000-8: 72000000-5: 73000000-2: 79000000-4: 58 30000000-9:
Software en informatiesystemen IT-diensten: adviezen, software-ontwikkeling, internet en ondersteuning Onderzoek en ontwikkeling, en aanverwante adviezen Zakelijke dienstverlening: juridisch, marketing, consulting, drukkerij en beveiliging Kantoormachines en gegevensverwerkende apparatuur, kantooruitrusting en -benodigdheden, uitgezonderd meubilair en softwarepakketten 30200000-1: Computeruitrusting en -benodigdheden 64200000-8: Telecommunicatiediensten 59 Dat is 15 meer dan vorig jaar (52). In het RUG-onderzoek werden (eerste helft van 2010) 41 aanbestedingen gevonden van rijk en mede-overheden, waarbij één of meer open standaarden relevant waren.
Pagina Datum
Titel
84/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief
aanbesteding gepubliceerd (gemiddeld 2,6 per organisatie, bij elkaar 21 aanbestedingen). Overigens vonden 3 aanbestedingen plaats namens een groep gemeenten. Toetsingskader Het onderzoek is gebaseerd op de gepubliceerde, openbare informatie over de aanbestedingen. Dat is immers de informatie waarop de aanbieders zich (in elk geval in eerste instantie) hebben moeten baseren. Bovendien sluit dit aan bij de transparantie over het toepassen van open standaarden die ten grondslag ligt aan het open standaardenbeleid. Daarnaast is onderzocht op welke wijze de verantwoording ('leg uit') over 2012 heeft plaatsgevonden. Het onderzoek toetst op basis van deze openbare documenten in hoeverre de aanbestedingen voldoen aan het 'pas toe of leg uit'-beginsel, zoals dat (voor de Rijksoverheid) is vastgelegd in de Instructie Rijksdienst. Andere (beleids)overwegingen en argumenten, die mogelijk een rol hebben gespeeld bij de aanbestedingen, vallen buiten de scope van dit onderzoek. Er is voor een aanbesteding sprake van een 'relevante open standaard', als het betreffende ICTproduct of -dienst valt binnen het functionele toepassingsgebied van die standaard, en als de aanbestedende organisatie bovendien valt binnen het organisatorische werkingsgebied van de standaard. Er kunnen voor één aanbesteding meerdere open standaarden relevant zijn. Of een standaard van toepassing is, hangt dus uitsluitend af van functioneel toepassingsgebied en organisatorisch werkingsgebied. Wanneer de aanbestedende organisatie besluit om niet te vragen om één of meer open standaarden die wèl van toepassing zijn, dan moet dit worden vastgelegd in de administratie en moet hierover bovendien verantwoording afgelegd worden in het jaarverslag. Afwijkingen zijn overigens alleen mogelijk bij redenen van bijzonder gewicht. Het toepassen van een open standaard vereist, dat bij de aanbesteding expliciet gevraagd wordt om deze standaard. In plaats van expliciet om de relevante open standaard(en) te vragen, wordt soms alleen in algemene zin verwezen naar de lijst voor ‘pas toe of leg uit’. De aanbieder krijgt daarmee de verantwoordelijkheid voor het correct toepassen ervan. In de praktijk levert dat echter niet het beoogde (beleids)effect, omdat de aanbiedingen alleen te beoordelen zijn op het correct toepassen van de lijst als (a) de aanbesteder zelf weet welke open standaarden van toepassing zijn, en (b) hierom ook expliciet gevraagd heeft. Het beoogde (beleids)effect is er dus alleen indien één of meer aanbieders (toch) de relevante open standaard(en) toepassen. Verantwoording ('leg uit') in jaarverslagen De rijksoverheid moet op grond van de nieuwe RijksBegrotingsVoorschriften met ingang van het jaar 2011 in de bedrijfsvoeringsparagraaf van het jaarverslag expliciet vermelden of afgeweken is van de Instructie Rijksdienst. Het jaarverslag van de rijksoverheid over 2012 is te vinden op http://www.rijksbegroting.nl/2012/verantwoording/jaarverslag. Daarvan zijn de bedrijfsvoeringsparagrafen van alle ministeries onderzocht, en daarnaast is gezocht op de trefwoorden 'open standaard', 'open source', 'instructie rijksdienst', 'pas toe', 'leg uit' voorkomen, alsmede de namen van de relevante open standaarden waarom in de aanbesteding niet was gevraagd. Ook de jaarverslagen van decentrale overheden, die bij de onderzochte aanbestedingen ten onrechte niet om één of meer relevante open standaarden hebben gevraagd, zijn verzameld en op dezelfde wijze doorzocht.
Pagina Datum
Titel
85/85 19-12-2013 Monitor Het open standaardenbeleid in 2012 / 1.0 / definitief