Verslag Forum Standaardisatie 9 maart 2022
Content
Vergadering: Forum Standaardisatie 20 april 2022
Agendapunt: 1B
Documentnummer: FS-20220420.1B
Download hier de PDF versie van dit verslag. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Rechten: CC0 publieke domein verklaring
Deelnemers
Aanwezig
- Larissa Zegveld (voorzitter)
- Rudi Bekkers (Technische Universiteit Eindhoven)
- Cor Franke (Franke Interim Management), Gerard Hartsink (financiële sector)
- Peter Den Held (Logius)
- Marc van Hilvoorde (namens CIO Rijk)
- Floor Jas (SURF)
- Hetty Lucassen (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, DS)
- Joop van Lunteren (adviseur)
- Benno Overeinder (NLnet Labs)
- Friso Penninga (Geonovum)
- Theo Peters (VNG Realisatie)
- Ad Reuijl (Manifestgroep/CIP)
- Gerard Smits (Het Waterschapshuis)
- Rob Verweij (RINIS)
Afwezig
- Gijs Boudewijn (Betaalvereniging)
- Thomas Faber (Ministerie van Economische Zaken en Klimaat, DE)
- Harry Roumen (Ministerie van Financiën, CIO-office)
- Anneke Spijker (Interprovinciaal Overleg)
- Michiel Steltman (DINL)
- Rik van Terwisga (NEN, waargenomen door Jolien van Zetten)
Te gast
Rob van Linden, Herman Timmermans en Joost Tholhuijsen (IPv6TeamOverheidNL), agendapunt 04b.
Opening, agenda, verslag
Agenda
Akkoord. Geen opmerkingen.
Verslag en actiepunten Forum Standaardisatie 8 december 2021
Akkoord. Geen opmerkingen. Actielijst wordt bijgewerkt en toegevoegd voor het volgende verslag.
Strategische zaken Forum Standaardisatie
Ter bespreking
Kansen voor open standaarden
Het Forum bespreekt de notitie Strategische zaken Forum Standaardisatie. Hierin staan meerdere nationale ontwikkelingen (waaronder de nieuwe governance voor de GDI (het Meerjarenprogramma Infrastructuur Digitale Overheid (MIDO)) en internationale ontwikkelingen rond standaardisatie toegelicht.
Wat situaties rond grootschalige hacks en cyberaanvallen op digitale publieke en private voorzieningen ons leren, zoals recent in Oekraïne, is dat informatiebeveiliging bestaat uit de toepassing van informatieveiligheid standaarden, en allerlei andere informatiebeveiligingsmaatregelen. Zo zijn de anti-phishing standaarden op onze pas-toe-of-leg-uit lijst absoluut voorwaardelijk voor een veilig digitaal internet en de digitale overheid. We moeten ze wel zien in een bredere samenhang met het toepassen van andere informatieveiligheidsstandaarden en -maatregelen. Naast pas-toe-of-leg-uit standaarden als rPKI (veilige routering), DANE/STARTTLS (vertrouwelijke e-mail) en STIX/TAXII (uitwisseling cyber-dreigingsinformatie), kan daarbij gedacht worden aan bijvoorbeeld MANRS (Mutually Agreed Norms for Routing Security). MANRS is niet zozeer een standaard, maar een verzameling afspraken om de routering van het internetverkeer beter te beveiligen. Zogenaamde BGP-kapingen kunnen hiermee worden beperkt, in combinatie met het gebruik van Resource Public Key Infrastructure (RPKI) (een standaard met als doel om routeringskapingen te voorkomen), waarover het Forum een streefbeeldafspraak voorbereid om aan het OBDO voor te leggen.
Al met al blijft het een kat- en muisspel met hackers. Ethische hackers zouden kunnen adviseren over hoe IV-standaarden passen in het bredere plaatje van cyber security, eventueel in samenwerking met de CIO Rijk. Intussen heeft het Adviescollege ICT-toetsing (AcICT) open standaarden opgenomen in het Toetskader Adviescollege ICT-toetsing (‘pas toe of leg uit’). Hiermee biedt het ondersteuning om na te gaan of een ICT-project afdoende beveiligd door het toepassen van IV-standaarden.
De beschreven ontwikkelingen geven aanleiding tot beschouwing over wat de rol van het Forum hierin zou moeten zijn. Enerzijds maakt het Forum zelf geen open standaarden, maar anderzijds toetst het Forum wel standaarden (pas-toe-of-leg-uit status), en is het wel expert op het gebied van standaardisatie en het beheer van open standaarden (BOMOS: Beheer- en Ontwikkelmodel voor Open Standaarden). Het Forum draagt ook bij aan de implementatie van open standaarden, zoals in domeinen waar het gebruik van open standaarden dringend noodzakelijk zijn. En het Forum levert inhoudelijke en beleidsmatige bijdragen aan strategisch gerelateerde zaken, zoals identity management. De beleidsopdrachtgevers kunnen zich hiermee geholpen zien.
De focus moet hierbij niet alleen liggen op technische interoperabiliteit. Op landelijk niveau bijvoorbeeld is veel meer behoefte aan het maken van afspraken voor voorzieningen. Ook semantische en ethische aspecten (zoals hoe ga je om met data) komen (vaker) in beeld. Bij de ontwikkeling van nieuwe open standaarden kan het Forum met zijn grote kennis hierop aanhaken (creatie, adoptie, onderhoud, toetsing). Zo kan gewerkt worden aan een gemeenschappelijk referentiekader voor data-en gegevensuitwisseling en wat daarvoor nodig is als het gaat om interoperabiliteit.
Semantische afspraken moeten worden gemaakt over hoe processen moeten verlopen, werkend vanuit een gemeenschappelijke feitenbasis en uitgangspunten. Belangrijke opgaves: hoe kan je alle betrokken organisaties slim en geautomatiseerd met elkaar verbinden? En wat heb je precies nodig om deze zaken te realiseren op een overkoepelend niveau (afsprakenstelsels, waar standaarden onderdeel van kunnen uitmaken) en wat daarbij te hergebruiken (wat bestaat al)? Daar ligt een enorme opgave.
Voor BZK ligt hier een verbindende rol over organisaties heen. Het ministerie pakt deze rol reeds op in bijvoorbeeld het Federatief Datastelsel en nieuwe eIDAS-verordeningen. Standaarden zijn hierbij nodig en het Forum kan daaraan een positieve bijdrage leveren, eventueel ook op het creatievlak, dit naast alle belangrijke zaken die het Forum al doet. BZK noemt de verkenning rondom berichtenverkeer en Regie op gegevens.
Voordat het Forum deelneemt aan dit soort trajecten moet het wel voor zichzelf nagaan of het wel de juiste organisatie daarvoor is en wat het daarvoor nodig heeft. Het Forum moet (met deskundigen uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap) in ieder geval blijven handelen vanuit zijn expertrol en in eerste instantie in het MIDO adviseren (aanjagen, agenderen en stimuleren) over waar het ontbreekt aan standaarden binnen de GDI. Vindt ook toetsing plaatst bij de bredere achterban en bestaat er draagvlak? Het Forum past niet per se een rol als ontwikkelaar van standaarden. Vaak zal het Forum alleen een signalerende en agenderende rol hebben, zonder dat het opportuun is dat het Forum zelf de werkzaamheden over of opneemt.
Op internationaal vlak is de nieuwe EU Strategy on Standardisation een belangrijk document. Het is ambitieus, onafhankelijk en kiest voor groene digitale transitie. Vraag alleen is wat er gebeurt met het MSP (het Multi Stakeholders Platform). Er is kritiek op het mogelijkerwijs oprichten van een nieuwe Europese standaardisatieorganisatie. Belangrijk is dat op Nederlands niveau de partijen bij elkaar worden gebracht in lijn met de EU Strategy om af te stemmen over hoe buiten Nederland met standaardisatievraagstukken om te gaan. Vooralsnog lijkt de rol van het Forum afgedekt via NEN. Nadere afstemming tussen Jolien van Zetten, Floor Jas, Rob Verweij en Rudi Bekkers vindt plaats.
EZK heeft over de EU Standardisation Strategy een fiche geschreven. De Forum-leden worden opgeroepen om inbreng aan te leveren bij Sophia Bünemann en/of Alisa Heaver over de rol van het Forum en de EU Excellence Hub.
Ter kennisname
- Blog Larissa Zegveld op iBestuur: het kan standaard beter
- President Algemene Rekenkamer Arno Visser: over digitaal burgerschap en standaardisatie.
- SG EZK Lidewijde Ongering: over overheidsregie in een wereld die verandert.
- Digitale zaken kabinet en Tweede Kamer.
- Hernieuwde Europese strategie standaardisatie.
- NRC: Europa bindt strijdt aan met China wie bepaalt wat de standaard is.
- Europese Raad stemt in met conclusies EU-strategie cyberbeveiliging, december 2020.
- Europese Commissie: EU-strategie inzake cyberbeveiliging voor het digitale tijdperk.
- Onderzoeksrapport EU naar misbruik DNS.
- Europese aanbesteding DNS4EU.
- Europese verklaring over digitale rechten en beginselen voor het digitale decennium.
Geen verdere opmerkingen.
OBDO en Forum Standaardisatie
Ter bespreking
Werkplan Forum Standaardisatie en update instellingsbesluit
Het Forum bespreekt de volgende versie van het werkplan Forum Standaardisatie 2022. Deze is aangepast naar aanleiding van de bespreking van het tweede concept werkplan 2022 in de Forum-vergadering van december 2021.
Het werkplan is in de huidige vorm een verzameling van (de goede) werkactiviteiten, maar de bredere onafhankelijke aanjagende en adviserende rol van het Forum op het gebied van interoperabiliteit wordt gemist. Die is breder, want interoperabiliteit gaat niet alleen om de toepassing van open standaarden. Het gaat ook om meer dan de beleidslijnen van de overheid. BZK geeft aan dat het Forum inderdaad een adviserende functie heeft en daarin vrij is in oordeelsvorming. Tegelijkertijd is het ook goed om te bekijken wat we als overheid nodig hebben wat betreft open standaarden en dit vervlechten met wat het Form zelf wel inbrengen. Zo kunnen in de MIDO governance vraagstukken rond standaardisatie aan de orde komen, waarover graag aan het Forum advies gevraagd wordt, om te kijken of er rond beleids onderwerpen bruikbare standaarden bestaan, of bijvoorbeeld nog ontwikkeld zouden moeten worden.
Het bureau zal het werkplan hierop aanpassen en het voorleggen aan het OBDO ter accordering.
Vorm en duur vergaderingen Forum Standaardisatie
Het Forum besluit vanaf de volgende vergadering de duur van de vergadering weer terug te brengen naar tweeëneenhalf uur. Dit geeft meer ruimte aan de Stuurgroep om zijn voorstellen over Adoptie en Lijsten (kernpunten van het Forum) toe te lichten en afwegingen Forumbreed te onderbouwen en te wegen. Daarnaast ontstaat zo meer ruimte voor bespreking. Dat kwam de afgelopen kortere vergaderingen te zeer in de knel. De strategische onderwerpen komen voortaan als eerste aan bod op de agenda. Omdat Lijsten vaak wat meer technisch van aard lijkt, komt dit punt voortaan na Adoptie.
De Forum-leden kunnen voortaan hun opmerkingen over Lijsten vooraf sturen naar het bureau. De Stuurgroep zal dan tijdens de vergadering zelf hierop terugkomen.
Indien mogelijk volgt een voorstel voor uitbreiding van de Stuurgroep, nu Anneke Spijker het Forum en de stuurgroep heeft verlaten.
Ter kennisname
Terugkoppeling OBDO 10 februari 2022: Herkenbare en veilige digitale overheid
Geen nadere opmerkingen.
Werkconferentie levensgebeurtenis van werkloosheid naar werk
Geen nadere opmerkingen.
Open Standaarden, adoptie
Voorzitter van het Forum Larissa Zegveld voert het woord bij agendapunten 4 wille van een spoedige afhandeling.
Ter bespreking
IPv6
Agendapunten 4a. en 4b. behandelt het Forum als één agendapunt.
De standaard IPv6, een netwerkprotocol dat communicatie van data tussen ICT-systemen binnen een netwerk (internet) mogelijk maakt, staat sinds 2010 op de ‘pas toe of leg uit’-lijst. Op 8 april 2020 bekrachtigde het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) de volgende streefbeeldafspraak:
“Alle overheidswebsites en e-maildomeinen van de overheid moeten voor het einde van 2021, naast IPv4, volledig bereikbaar zijn via IPv6.”
Eind 2021 blijkt echter dat ondanks een eindsprint in de laatste drie maanden van 2021 89% van de overheidswebsites en 61% van de overheidsmail via IPv6 bereikbaar is.
Joost Tholhuijsen is IPv6 consultant en lid van het IPv6 Team Overheid NL. Hij geeft een toelichting op de resultaten en ervaringen van dit team met de implementatie van IPv6 bij de overheid. Sinds 2017 werkt het team voor de gemeenten (VNG) en sinds 2021 overheidsbreed aan de bereikbaarheid van overheidswebsites en overheidsmail via IPv6. Niet alleen bij de gemeenten was het team actief, maar ook bij leveranciers waarvan de overheid afhankelijk van kan zijn.
Het in beeld brengen van alle domeinen was flink graafwerk. De uitslagen van de meting die bij het vorige agendapunt werden getoond zijn gebaseerd op een steekproef van 559 sites. In werkelijkheid is het aantal domeinen vele malen groter (de schatting is 20 à 30.000) en de bereikbaarheid van al die domeinen lager dan wat uit de steekproef blijkt. Voor meer inzicht in de voortgang op de implementatie van IPv6 bij overheden is ipv6kaart.internet.nl gelanceerd. De site is nu nog in beta, metingen wijken nog af en nog niet alle informatie wordt juist weergegeven. Hier wordt aan gewerkt.
Het IPv6TeamOverheidNL stopt vanaf 31 maart 2022 zijn activiteiten. De volgende punten heeft het team bereikt en opgetekend:
- Primaire focus op externe bereikbaarheid heeft goed gewerkt.
- Technische hulpmiddelen (NAT64 Gateway en IPv6 Mail Relay) hebben voortgang geholpen.
- Afstemming met aantal leveranciers en ISP’s positief.
- Veelvuldig aandacht in diverse communicatiekanalen helpt.
- Samenwerking met Forum Standaardisatie en VNG was constructief.
- Goede voorbeelden van heldere domeinregisters: Min AZ, dienst DPC.
Waar nog ruimte voor verbetering is:
- Er is een gebrek aan een centrale registratie van domeinen.
- Ontbreken centrale coördinatie en regie werkt vertragend op implementatie IPv6.
Aanbevelingen:
- Geef zelf het goede voorbeeld: zorg voor blijvende aandacht vanuit centrale overheid voor IPv6 en blijf meten.
- Zorg dat ISPs en Telco’s één eenduidige verhaal vanuit de overheden krijgen: regie door overheid, rol voor EZK?
- Zorg voor eenduidige centrale registratie van domeinen (dit zal ook voor andere doeleinden dan IPv6, bijvoorbeeld security, grote voordelen hebben).
Larissa Zegveld dankt Joost en zijn team voor al het goede werk dat zij hebben verricht.
Het Forum stemt in met het voorleggen van de geformuleerde adviezen aan het OBDO. Wat betreft het advies aan het OBDO om BZK te verzoeken een verplichtender regime voor IPv6 voor websites en mail te realiseren (de tijd van ‘leg-uit’ is na 12 jaar voorbij, het gaat nu om pas-toe) zal in de oplegger verder worden onderbouwd waar IPv6 aan kan bijdragen (los van de bereikbaarheid), zoals informatieveiligheid en het segmenteren van netwerken en wat er gebeurt als IPv6 niet wordt gebruikt (zoals dat het netwerkarchitecten hindert bij de bouw van netwerken). Per abuis wordt CIO Rijk een koepel genoemd in de adviezen. Dit wordt aangepast in de versie voor het OBDO.
Agendering IV-meting en Monitor, sponsorschap door Forumleden, en aanwezigheid
De voorzitter roept de leden op het overzicht aan te vullen waar mogelijk over in welke gremia ze wanneer de IV-meting en Monitor hebben geagendeerd.
Analyse per organisatie van de Monitor Open Standaarden 2021, voorbeeldpresentatie en open spreekuur
Het bureau heeft voor het Forum drie punten op een rij gezet die kunnen helpen het goede gesprek over de onderzoeksresultaten van de Monitor 2021 aan te gaan. Het gaat om een analyse van wat de Monitor 2021 voor een aantal grote organisaties heeft aangetroffen.
Ook is een voorbeeldpresentatie over open standaarden toegestuurd voor gebruik in eigen organisatie en achterban. Vanzelfsprekend kan het Forum een beroep op het bureau doen voor verdere ondersteuning.
En tot slot start het bureau vanaf 9 maart om 14.00 uur een periodiek open spreekuur over open standaarden voor mensen met vragen, een mening, tips en tops. Voor nadere vragen hierover is Désirée Castillo Gosker bereikbaar (desiree.castillogosker@forumstandaardisatie.nl, +31 6 52 50 42 26).
Ter kennisname
- Wijziging van de 'leg uit'-verplichting voor rijksoverheidsorganisaties
- API's voor een betere, snellere gegevensuitwisseling en samenwerking
- IPv6 voor duurzame bereikbaarheid
- Standaarden voor veiliger internet
Geen nadere opmerkingen.
Open Standaarden, lijsten
Voorzitter van het Forum Larissa Zegveld voert het woord bij agendapunt 5 ter wille van een spoedige afhandeling.
Ter besluitvorming
Intakeadvies versiewijziging VISI (bouwstandaard voor procescommunicatie)
Akkoord zonder verdere opmerkingen.
Ter kennisname
Voortgang lopende procedures
Geen opmerkingen.
Vertoning video over toetsingsprocedure
Wegens tijdgebrek verschuift dit naar een volgende vergadering.
Voortgang en communicatie
Ter kennisname
- Internationaal
- Update onderzoek doorontwikkeling lijsten
- Stand van zaken n.a.v. kamerbrief over rapport inventarisatie standaardisatie
- Overzicht columns Larissa Zegveld in iBestuur
- Communicatie
Geen opmerkingen.
Rondvraag
DCAT AP DONL (metadata standaard)
Friso Penninga meldt namens de Stuurgroep dat met het Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP) is afgestemd om de intake procedure voor DCAT AP DONL te pauzeren. De Stuurgroep vraagt het Forum om nadere hulp voor deze intake. Friso neemt hierover verder contact op met Hetty en Sophia.
RPKI
Benno Overeinder vraagt of en wanneer de streefbeeldafspraak RPKI in het Forum wordt besproken, eventueel in samenhang met MANRS. Uiteindelijk wordt de afspraak voorgelegd aan de leden van het OBDO.
Sluiting
De vergadering wordt om 11:30 gesloten.
Actiepunten
Nummer |
Actiepunt |
Wie |
Per datum |
Status |
---|---|---|---|---|
105 |
Nadere afstemming over DCAT AP DONL |
Friso Penninga en Hetty Lucassen |
9 maart 2022 |
Loopt. |
104 |
Voorstel uitbreiding Stuurgroep |
BFS/Stuurgroep |
9 maart 2022 |
Volgt. |
103 |
Voorleggen werkplan 2022 aan OBDO |
BFS |
9 maart 2022 |
Afgerond. |
102 |
Inbreng aanleveren voor fiche BZK/DS EU Strategy on Standardisation |
Forum |
9 maart 2022 |
Loopt. |
101 |
Ontwikkelingen rond Digital Wallet voor bespreking in een volgende samenkomst sponsorgroep Internationaal. |
Stuurgroep Internationaal |
8 december 2021 |
Loopt. |
100 |
Uitvraag aan Forum over standaarden en federatief basismodel |
BFS |
8 december 2021 |
Afgerond. |
97 |
Identity Management – nadere uitwerking |
Cor Franke en Gerard Hartsink |
8 december 2021 |
Voor een komende vergadering. |
96 |
Gesprek aangaan over vertrouwelijkheid en governance totstandkoming internetstandaarden en digitale autonomie |
Benno Overeinder en klein comité Forum |
29 september 2021 |
Follow up lezing heeft 23 november plaatsgevonden. |
95 |
Verkennen hoe samen op te trekken om informatieveiligheid waterschappen en overheid verder te versterken |
Forum en UvW |
29 september 2021 |
PM |
91 |
Verkend wordt op welke wijze de meerwaarde van open standaarden en het werk van het Forum kan worden overgebracht aan DiZa , oa. via de StasBZK |
BFS |
9 juni 2021 |
T.z.t. |
86 |
Nieuwe updates over WDO in Forum |
BZK |
21 april 2021 |
Doorlopend als er nieuws te melden is |
84 |
Wens: Rijksprogramma voor Duurzaam Digitale Informatiehuishouding in een volgende Forum-vergadering |
|
21 april 2021 |
t.z.t. |
82 |
In beeld brengen internationale relaties leden Forum |
Forum + BFS |
10 maart 2021 |
Actiepunt op werkagenda sponsorgroep internationaal |
80 |
Verbinding leggen naar bestuurders die op papier verantwoordelijkheid dragen voor de aangestipte onderwerpen in het rapport Inventarisatie standaardisatie, maar in de praktijk hierover beperkte kennis (kunnen) hebben. |
BZK/DS |
10 maart 2021 |
|
73 |
Bewaken dat ‘de standaardisatietaak’ weer bij evt. nieuwe governance instellingsbesluiten goed wordt meegenomen, zoals in het huidige OBDO-besluit. |
BZK/D |
10 maart 2021 |
Afgerond. Voorzitter Forum is lid van architectuurboard MIDO |
67 |
“Cloud + rol overheid + Gaia X revisited” agenderen voor Forum I of II 2021, incl. betrokkenheid EZK |
Michiel Steltman, Thomas Faber, Theo Peters, BFS |
9 december 2020 |
In een komende vergadering. |
66 |
Cloud-initiatief VNG R: waar speelt standaardisatie een rol |
Theo Peters met Larissa Zegveld en Gerard Smits |
9 december 2020 |
Presentatie overheidsstrategieën Cloud in een komende Forumvergadering |
63 |
Aandacht voor internationale aspect in volgende versie inkoop en open standaarden en contact met NEVI |
BFS, Gerard Hartsink |
9 december 2020 |
Volgt. |
62 |
Meehelpen aan intensiveren gebruik DigiNetwerk voor overheden i.p.v. internet |
BFS |
9 december 2020 |
Tweede agendering volgt in een komende vergadering. |