Oplegnotitie Adoptie Open Standaarden
Content
Vergadering: Forum Standaardisatie 21 april 2021
Agendapunt: 4
Documnentnummer: FS 20210421.4
Aan: Forum Standaardisatie
Van: Stuurgroep Open Standaarden
Datum:
Versie: 1.0
Bijlagen:
- 4A Agendering sponsorschap en aanwezigheid incl. gremia agendering Forum-leden
- 4C Conclusies van de gesprekken over de Monitor Open Standaarden 2020
- 4E Onderzoek FAIR Data Principes
Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Samenvatting
Ter bespreking
- A. Agendering IV-meting en Monitor, sponsorschap door Forum-leden, en aanwezigheid
- B. Regie op en herkenbaarheid van overheidsdomeinnamen (presentatie)
- C. Conclusies uit de gespreksverslagen n.a.v. de Monitor Open Standaarden
Ter kennisname
- D. API’s
- E. Content-, data- en digitale toegankelijkheidstandaarden
- F. Kamerbrief Voortgang informatieveiligheid bij de overheid
- G. Internet- en beveiligingstandaarden
- H. Eenduidige dienstverlening
Ter bespreking
Ad A. Agendering IV-meting en Monitor, sponsorschap door Forumleden, en aanwezigheid
Ieder Forum-lid wordt gevraagd om:
- Een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en IV-meting onder zijn/haar achterban;
- Een update te geven over hun sponsorschap;
- Kennis te nemen van het overzicht van de aanwezigheid.
Toelichting bij punt 1
In de bijlage treft u een overzicht aan van de huidige stand van zaken (voor zover bekend) met betrekking tot de verspreiding en agendering van de Monitor Open Standaarden en van de laatste meting informatieveiligheidsstandaarden (hierna: IV-meting).
De leden van het Forum Standaardisatie hebben afgesproken dat ieder Forum-lid de Monitor Open Standaarden en IV-meting actief onder de aandacht brengt bij zijn/haar eigen achterban.
- Monitor: bij de vergaderstukken van de vorige vergadering zat de managementsamenvatting van de laatste Monitor Open Standaarden. Het digitale magazine voor de Monitor Open Standaarden 2020 zal naar verwachting in mei 2021 klaar zijn.
- IV-meting: voor de verspreiding van de laatste meting van september 2020 kunt u gebruikmaken van het nieuwsbericht “Beveiliging internetdomeinen overheid vereist voortdurende aandacht” waarin ook wordt verwezen naar het achterliggende rapport.
Daarnaast hebben de leden van het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 18 maart 2020 herbevestigd om de Monitor Open Standaarden en de IV-meting te agenderen in hun organisatie en hun achterban, inclusief verschillende gremia waar beleid wordt ontwikkeld met een sterke ICT-component. Tevens herbevestigden zij aan te sturen op het opnemen van eventuele 'leg uit' in het jaarverslag van hun organisatie dan wel de jaarverslagen van hun achterban.
Toelichting bij punt 2
De Forumleden zijn ook sponsor van een of meerdere Forum-onderwerpen. Dit is eveneens weergegeven in bijgaand overzicht.
Toelichting bij punt 3
Tevens wordt een overzicht gegeven van de aanwezigheid van de Forumleden sinds 13 juni 2018.
Ad B. Regie op en herkenbaarheid van overheidsdomeinnamen (presentatie)
Het Forum Standaardisatie wordt gevraagd om:
- kennis te nemen van de lopende activiteiten met betrekking tot regie op en herkenbaarheid van overheidsdomeinnamen;
- aan te geven hoe men vanuit de eigen praktijk hieraan kan bijdragen.
Toelichting
Met betrekking tot regie op en herkenbaarheid van overheidsdomeinnamen lopen er diverse activiteiten. Deze worden in een presentatie toegelicht. Hieronder worden de achtergrond en activiteiten kort beschreven.
Achtergrond
De overheid heeft duizenden internetdomeinen in gebruik waarmee zij via websites en email met de maatschappij communiceert. Uit onderzoek en verkenningen van BZK/DO blijkt dat veel burgers moeite hebben om goed te herkennen of een website of e-mailbericht al dan niet van de overheid is. Er zijn onvoldoende herkenningspunten om de overheidsidentiteit te verifiëren. Dit biedt enorme kansen voor spoofing en phishing, want anders dan "het ziet er wel uit als de overheid" en misschien "het slotje" of "de geregistreerde houder" kom je vaak niet. Bovendien zorgt de huidige situatie ervoor dat overheidsorganisaties zelf ook lang niet altijd goed inzicht hebben in hun eigen domeinnaamportfolio waardoor onder meer standaarden voor beveiliging en toegankelijkheid niet altijd worden toegepast.
Brief Staatsecretaris Knops aan Tweede Kamer
In een brief aan de Tweede Kamer (18 maart 2021) benoemt Staatsecretaris Knops (BZK) het herkenbaarheidsprobleem wat is ontstaan door een wildgroei aan internetdomeinen. In de brief wordt ook het plan van aanpak genoemd voor de verbetering van de beheersing van internetdomeinen (wat ook wel bekend staat als het project ‘opschoning websites’ van CIO Rijk). Ook staat in de brief dat “Overheidsbreed [..] de komende jaren [wordt] gewerkt aan verankering van afspraken op het gebied van domeinnaambeleid via bijvoorbeeld de BIO en het Forum Standaardisatie.”
Verbetering domeinnaambeheer
Forum Standaardisatie stimuleert sinds 2020 een betere beheersing van internetdomeinen binnen overheidsorganisaties. Onder de beheersing valt ook het kunnen sturen op voldoen aan verplichte kwaliteitskaders en richtlijnen, zoals open standaarden van de ‘pas toe of leg uit’-lijst.
In dit kader organiseert Bureau Forum Standaardisatie het rijksbreed Overleg Beheersbaarheid InternetDomeinen (BID). Het overleg is gericht op kennisdeling tussen de ministeries, en het kunnen identificeren van kansen en knelpunten om domeinnaambeheer rijksbreed op een hoger volwassenheidsniveau te krijgen. Tijdens het derde overleg (half maart) werd het project ‘de stand van Logius’ uitgelicht over hoe Logius haar domeinportfolio op orde aan het brengen is. Verder gaf de CISO van Logius een presentatie over alle in acht te nemen onderlinge afhankelijkheden die bij domeinnaambeheer komen kijken. Een vierde overleg staat gepland op 20 april, waar aan alle deelnemende organisaties wordt gevraagd om een korte update met betrekking tot domeinnaambeheer te geven.
In het project ‘opschoning websites van CIO Rijk werkt Bureau Forum Standaardisatie samen met het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI). Het bureau heeft de eindredactie op zich genomen van de handreiking ‘Beheer Internetdomeinen Rijksoverheid’, welke als coproductie via de kanalen van RDDI en Forum Standaardisatie wordt verspreid. Een eerste volledige versie van deze handreiking zal naar alle waarschijnlijkheid eind april van dit jaar worden gepubliceerd. De handreiking moet genoeg handvatten bieden aan organisaties binnen het Rijk om hun domeinportfolio op orde te brengen. Na de publicatie zal ICTU aan de hand van deze handreiking, namens RDDI, implementatieworkshops organiseren die zich primair richten op het op orde brengen van het domeinportfolio.
Bureau Forum Standaardisatie werkt daarnaast aan het in kaart brengen van goede praktijkvoorbeelden voor de beheersing van internetdomeinen binnen overheidsorganisaties. Deze praktijkvoorbeelden zullen worden uitgelicht in een online magazine, met (ict-)managers en adviseurs van overheidsorganisaties als de beoogde doelgroep. Het magazine staat op de planning om op 14 april van dit jaar gepubliceerd te worden.
Uniform domein zoals *.overheid.nl en *.gov.nl
Een van de manieren om overheidsdomeinnamen herkenbaarder te maken, is om het laatste deel van de domeinnaam hetzelfde te maken. Denk daarbij aan *.overheid.nl of *.gov.nl. Dat heet een second-level-domain. Dat levert dan domeinnamen op als logius.overheid.nl of huisvanklokkenluiders.gov.nl. CIO Rijk werkt eraan om een technische impactanalyse naar een uniform domeinnaam uit te (laten) voeren. Het gaat er daarbij om wat er nodig is om dit mogelijk te maken voor overheidsorganisaties die een dergelijke domeinnaam zouden willen gebruiken.
Overheidsbreed register met internetdomeinen
Met Kennis- en Exploitatiecentrum voor Officiële Overheidspublicaties (KOOP) en de Dienst Publiek en Communicatie (DPC) van het ministerie van Algemene Zaken heeft Bureau Forum Standaardisatie een aanvraag ingediend voor het Innovatiebudget Digitale Overheid. Het project beoogt een overheidsbreed register met internetdomeinen te realiseren waarmee de burger overheidsdomeinen kan verifiëren. Ook wordt beproefd hoe de meerwaarde voor burgers hiervan kan worden vergroot door eenduidige verwijzingen naar dit register.
Ad C. Conclusies uit de gespreksverslagen n.a.v. de Monitor Open Standaarden
Het Forum Standaardisatie wordt gevraagd om de notitie te bespreken aan de hand van de volgende vragen:
- Hoe kunnen besluiten op bestuursniveau over open standaarden beter en effectiever worden? Hoe kunnen ze meer en beter terecht komen op de werkvloer?
- Er lopen verschillende acties vanuit het Forum, maar het is duidelijk dat meer actie van de organisaties zelf moet plaatsvinden. Hoe komen ze zover?
- Kunt u aangeven of u het eens bent met de conclusies die hier getrokken worden en welke hier genoemde acties u het meest aanspreken?
Noot: Uw input wordt met name gevraagd t.a.v. voorgestelde acties die niet bij het Forum zelf liggen en eventuele andere suggesties voor acties van anderen. Dit met het oog op het vergroten van de cirkel van invloed.
Toelichting
In het kader van de Monitor Open Standaarden 2020 hebben de monitoronderzoekers nadere gesprekken gevoerd. Daarnaast is een inventarisatie gemaakt van de reacties die zijn binnen gekomen naar aanleiding van de beoordeling van aanbestedingen. Hier zijn drie verslagen van gemaakt en deze kwamen aan de orde tijdens de Forumvergadering van 10 maart 2021. Het Forum wilde hier toen graag een vervolg op in de vorm een notitie met conclusies en actiepunten. Dat is deze notitie.
Ter kennisname
Ad D. API’s
De RvIG ontving op 17 februari 2021 de Gouden Apenstaart van het Kennisplatform APIs voor de API voor het bevragen van de BRP, gebouwd als onderdeel van het programma Haal Centraal. Naar aanleiding van deze prijsuitreiking organiseerde het Kennisplatform APIs op 8 maart 2021 een webinar over deze BRP API. In de webinar kwamen zowel de technische aspecten als de organisatorische en bestuurlijke uitdagingen aan bod. In het tweede kwartaal zal een tiental gemeenten waaronder de G4 en Eindhoven de API in een pilot gaan gebruiken.
Het Kennisplatform APIs wil rond de zomer een nieuwe versie van de Nederlandse API Strategie publiceren. Deze nieuwe versie actualiseert naast de API Ontwerpprincipes ook het stuk over Strategie en Beleid, dat de vorm van een manifest moet krijgen. Het doel is dat dit manifest wordt ondertekend door de meer dan 30 overheidsorganisaties die in het Kennisplatform APIs samenwerken.
Ad E. Content-, data- en digitale toegankelijkheidstandaarden
Innovalor heeft het onderzoeksrapport over FAIR data principes opgeleverd. Uit het onderzoek blijkt dat FAIR data principes snel aan relevantie winnen en goed passen in het open data beleid van de overheid. FAIR data principes hebben echter nog geen eenduidig verband met standaarden, en de FAIR data community zet nu vooral in op sector specifieke standaardisatie. Ook missen nog duidelijke richtlijnen die organisaties helpen hun data volgens FAIR data principes te ontsluiten. Het lijkt daarom nog te vroeg om FAIR data principes actief te stimuleren vanuit het Forum Standaardisatie, maar het heeft wel zin om de ontwikkelingen rond FAIR data in de gaten te houden.
BFS is in gesprek met de NORA om onze lijst open standaarden via data.forumstandaardisatie.nl semantisch te linken aan de standaarden pagina’s op de NORA Online. Soortgelijke gesprekken over het linken van informatie over standaarden in catalogi gaat BFS ook aan met GEMMA en JoinUp (van de Europese Commissie).
AD F. Kamerbrief Voortgang informatieveiligheid bij de overheid
Op heeft Staatsecretaris Knops (BZK) een brief over ‘de voortgang van informatieveiligheid bij de overheid’ naar de Tweede Kamer gestuurd. Relevante onderwerpen die genoemd worden zijn:
- Baseline Informatiebeveiliging Overheid (BIO)
- Verhogen adoptie informatieveiligheidsstandaarden (met verwijzing naar meting en monitor open standaarden 2020)
- Veilige overheidswebsites (d.w.z. HTTPS/HSTS verplichting via AMvB o.b.v. Wet digitale overheid)
- Herkenbaarheid van overheidswebsites en e-mail
Ad G. Internet- en beveiligingstandaarden
Conclusies EU Raad m.b.t. de EU cybersecurity strategy
De Raad van de Europese Unie heeft eind maart 2021 conclusies aangenomen met betrekking tot de EU cybersecurity strategy die de Europese Commissie in december 2020 publiceerde. De strategie benoemt ook stimuleringsacties met betrekking tot internet- en beveiligingsstandaarden en noemt de standaarden IPv6, HTTPS, DNSSEC, DANE, en DMARC. De Raad van de EU heeft daarover de volgende conclusie aangenomen:
“In its conclusions, the Council highlights a number of areas for action in the coming years, including: […] the need for a joint effort to accelerate the uptake of key internet security standards, as they are instrumental to increase the overall level of security and openness of the global internet while increasing the competitiveness of the EU industry[.]”
Nieuwe versie Internet.nl
Op 15 maart 2021 heeft Platform Internetstandaarden een nieuwe versie van Internet.nl gelanceerd met o.a.:
- Ondersteuning van laatst nieuwe TLS-richtlijnen van NCSC;
- Uitgebreidere test voor Content Security Policy;
- Verbeterde ondersteuning voor niet-mail domeinnamen;
- Verlenging van de minimale HSTS cache-geldigheidsduur.
Ad H. Eenduidige dienstverlening
Op 11 september is het rapport “Werk aan uitvoering fase II” naar de Tweede Kamer gestuurd. Dit rapport is opgesteld door ABDTOPConsult. In het rapport zijn voorstellen gedaan om de dienstverlening aan burgers, instellingen en bedrijven te versterken en de wendbaarheid, continuïteit en toekomstbestendigheid van de uitvoering te vergroten.
De zes handelingsperspectieven uit “Werk aan uitvoering” worden nu verder uitgewerkt door bestuurlijke trekkers per thema. Voor het handelingsperspectief ‘toekomstbestendige dienstverlening’ zijn dit de heren Sibma (SVB), Van Hout (gemeente Nijmegen), en Den Hollander (BZK). Deze bestuurlijke trekkers hebben de opdracht om het handelingsperspectief uit Werk aan uitvoering nader uit te werken en de daarbij behorende oplossingstappen om te zetten in een werkagenda en plan van aanpak: wat heeft nu prioriteit, wat kan snel worden opgepakt, wat op langere termijn, hoe gaan we het uitvoeren en wat moet op de formatietafel landen?
Om de bestuurlijke trekkers te helpen bij het neerzetten van een goede uitwerking is de inspiratiegroep in het leven geroepen om specifieke expertise van o.a. Forum Standaardisatie daarbij te benutten. Op 9 maart en 29 april zijn er vervolgsessies van deze inspiratiegroep worden onze ervaringen en thema’s uit het werkplan meegenomen in maatwerk voor dienstverleningsprincipes.
Raph de Rooij (Senior Beleidsmedewerker Min BZK) heeft een memo opgesteld voor verzoek tot structurele financiering om NL Design System tot een standaard manier van werken in te regelen binnen de overheid. Deze memo zal via Sophia Bünemann binnenkort bij het forum neergelegd worden.