opdracht 15: adviesrapport i&m
DESCRIPTION
TRANSCRIPT
Standaard denkenAdviesrapport Serious Ambtenaar groep 15 in opdracht van Ministerie van I&M
Datum: 19-4-2013
1
Inhoud1. Inleiding...................................................................................................................................................3
Probleemstelling..........................................................................................................................................3
Doelstelling..................................................................................................................................................5
2. Rollen:......................................................................................................................................................6
CIO Beleidsdepartement:.............................................................................................................................6
CIO’s:............................................................................................................................................................6
DCI:...............................................................................................................................................................6
3. Plan..........................................................................................................................................................7
Draagvlak.....................................................................................................................................................7
Creatie en onderhoud..............................................................................................................................7
Overzicht......................................................................................................................................................8
Nulmeting................................................................................................................................................8
Tijdlijn......................................................................................................................................................8
Toetsing...................................................................................................................................................8
Rapportage..............................................................................................................................................9
Inzicht...........................................................................................................................................................9
Nieuwe werken........................................................................................................................................9
Functionele uitbreidingen........................................................................................................................9
Informatiearchitectuur.................................................................................................................................9
Architectuurprincipe................................................................................................................................9
Veranderingen.........................................................................................................................................9
Compliance............................................................................................................................................10
Tips en Tricks..............................................................................................................................................10
Algemeen:..............................................................................................................................................10
Financiën-Belastingdienst......................................................................................................................10
Bijlage: Regelgeving open standaarden..........................................................................................................12
Definitie......................................................................................................................................................12
Open standaarden waarop Pas-toe-of-leg-uit van toepassing is................................................................13
Welke organisaties moeten zich houden aan PTOLU?...............................................................................14
Afwijken.....................................................................................................................................................15
Gangbare en wettelijk verplichte standaarden..........................................................................................15
2
3
1. InleidingDeze adviesopdracht vond plaats in het kader van de actie “Serious Ambtenaar”, afgeleid van de landelijk actie “Serious Request” van 3FM. Voor deze actie werden 29 adviesteams samengesteld van ambtenaren met verschillende achtergronden, om zich in korte tijd te buigen over een vraag van één van de deelnemende overheidsorganisaties.
De Directie Concern Informatievoorziening (DCI) van het Ministerie van Infrastructuur en Milieu (IenM) benaderde Serious Ambtenaar met de vraag hoe de verantwoording betreffende het voldoen aan door het Forum Standaardisatie opgelegde open standaarden kan worden aangepakt:
“Hoe gaan wij zorgen dat wij (kunnen aangeven dat wij) aan de standaarden voldoen. Niet alle standaarden zijn even eenduidig. Wij zijn benieuwd hoe anderen daar mee omgaan en hoe wij dat zouden moeten aanpakken.”
ProbleemstellingHet toetsen op het verplicht gebruik van open standaarden moet onderdeel uitmaken van de rechtmatigheidstoets (nakomen verplichtingen en afspraken).
Het toetsen op het gebruik van standaarden kan ook deel uitmaken van de doelmatigheidstoets, omdat het gebruik van standaarden de doelmatigheid vergroot.
De toetsing kan uitgevoerd worden binnen de bestaande toetsingsprocedures en door de bestaande toetsers. Toetsing is praktisch gezien alleen mogelijk als per type proces duidelijk is wat de relevante standaarden zijn en hoe je kunt toetsen of ze daadwerkelijk gebruikt worden. Deze overzichten kunnen door DCI geleverd en bijgehouden worden.
Benutten standaarden kan vergroot worden door bundeling standaarden (techniek /inhoud / infrastructuur) op thema en/of gebruik.
De verantwoording betreffende het voldoen aan de open standaarden is problematisch omdat
1. IenM een complexe fusieorganisatie is en DCI (nog) geen strakke regierol heeft op de informatiehuishouding van de verder van de beleidskern afstaande organisatieonderdelen.
2. De lijst van het Forum Standaardisatie uitgebreid is en erg divers. 3. Het voor DCI nog niet helemaal duidelijk is of zij alleen de informatie willen inwinnen en publiceren, of
ook actief het gebruik van de standaarden wil uitdragen of afdwingen.
1: Regierol in complexe organisatie
Het ministerie van Infrastructuur en Milieu (IenM) is in 2010 ontstaan door de samenvoeging van de ministeries van Volkshuisvesting, Ruimtelijke Ordening en Milieu (VROM) en Verkeer en Waterstaat (VenW). Hiermee is een organisatie ontstaan met zeer heterogene onderdelen.
4
Naast de beleidskern (directoraten) zijn er de grote organisaties Rijkswaterstaat en het KNMI. Dit zijn getalsmatig grote onderdelen, die een veel langere geschiedenis hebben dan het ministerie van IenM en zijn voorgangers. Deze agentschappen zijn zeer informatie-intensief, en hebben een autonome informatiehuishouding. Ze zijn wat betreft samenwerking en het delen van informatie meer gericht op partners buiten het ministerie dan daarbinnen; waar mogelijk ook andere standaarden heersen.
Het kleinere, puur op beleidsontwikkeling gerichte agentschap Planbureau voor de Leefomgeving kent weer een heel andere dynamiek. In vergelijking met de uitvoeringsorganisaties gaan hier minder grote informatievolumes om, maar de mate van governance is hier ook minder. De Inspectie voor de leefomgeving bevindt zich tussen deze uitersten.
Zelfstandige bestuursorganen kunnen voor deze opdracht buiten beschouwing worden gelaten, want deze zijn zelf verantwoordelijk voor de rapportage aan de Algemene Rekenkamer.
DCI is de regie-organisatie voor de informatievoorziening binnen het ministerie, en heeft binnen deze pluriformiteit de taak de informatievoorziening zo effectief en efficiënt mogelijk in te richten voor het hele departement. In de praktijk heeft DCI deze regiefunctie vooral voor de beleidskern en ondersteunende diensten (die als fusie-organisatie al uitdagend zijn) en in wisselende mate voor de organisatieonderdelen die meer op afstand staan.
2: Lijst van Standaarden
Overheidsorganisaties zijn verplicht om gebruik te maken van bepaalde, door het Forum en College Standaardisatie verplichte standaarden. Zij dienen hierover verantwoording af te leggen in het jaarverslag. DCI heeft de opdracht om deze verantwoording op te stellen. De lijst met standaarden is echter erg divers, en van een groot deel van deze standaarden is de toepassing op een lager niveau in de organisaties belegd dan waar DCI zicht op heeft. DCI kan momenteel niet beoordelen of alle organisatieonderdelen al deze standaarden toepassen. Momenteel staan er 97 standaarden op de lijst, waarvan voor 50 het zogenaamde “pas toe of leg uit” principe geldt. Dit varieert van globale richtlijnen zoals aansluiting bij de referentiearchitectuur NORA en toepassing van de Webrichtlijnen, tot hele specifieke voorschriften zoals het gebruik van JPEG als bestandsformaat voor afbeeldingen.
3: Overzicht versus actieve regie
De opdracht is in essentie tweeledig. Enerzijds heeft DCI de behoefte om een overzicht te krijgen van de huidige status quo wat betreft het gebruik van de standaarden in de gehele organisatie: aan welke “pas toe of leg uit” standaarden wordt, voldaan, aan welke niet, en waarom niet. Dit overzicht heeft DCI nodig om te rapporteren in het jaarverslag, maar ook om de regierol te versterken.
Anderzijds geeft DCI aan om, in haar rol als regievoerder het toepassen van de standaarden te willen stimuleren en mogelijk zelfs af te dwingen. In het geschetste krachtenveld van IenM kunnen dit tegengestelde doelstellingen zijn. Om de regierol uit te breiden, is een goed overzicht op de informatievoorziening van de organisatieonderdelen van IenM nodig. Dit overzicht kan alleen worden verkregen door goede onderlinge contacten en vertrouwen. Door eerst informatie in te winnen over het
5
gebruik van de standaarden, en vervolgens de autonomie van de organisatieonderdelen in te perken, kan leiden tot weerstand bij deze organisaties en een minder open opstelling naar DCI.
Voorlichting over nut en noodzaak bij gegevensuitwisseling, communicatie, analyse van gegevens en op basis van dwarsverbanden tussen verschillende gegevensbronnen het maken van beleidsanalyses.
Dit speelt eens te meer als de organisatie bestaat uit relatief zelfstandige eenheden werkzaam op zeer verschillende terreinen.
Daarnaast wordt het aansluiten op bovendepartementale verbanden ook steeds gebruikelijk. De bruikbaarheid van de beschikbare gegevens voor alle deelnemers wordt vooral bepaald door het gebruik van (open) standaarden en een heldere metagegevensstructuur.
DoelstellingDe relatief grote afstand van de nieuwe DCI ten opzichte van de meer autonome, langer bestaande organisatieonderdelen, is het achterliggende probleem waardoor het niet eenvoudig is om een verantwoording over het gebruik van open standaarden te formuleren.
Dit achterliggende probleem is echter een van de grote uitdagingen voor het informatiemanagement van IenM. Het oplossen van dit probleem, of het leveren van een plan daartoe, is te veel gevraagd voor de aard en duur van deze Serious Ambtenaar opdracht.
DCI gaf aan dat zij van ons vooral verwachten om te kunnen sparren over oplossingsrichtingen, en stelt prijs op tips en best practices van onze eigen organisaties.
Het doel van deze adviesopdracht is voor ons dan ook om, ondanks het complexe krachtenveld, te komen tot praktische tips die de verantwoording van DCI vereenvoudigen.
6
2. Rollen:
We onderscheiden vier verschillende rollen met bijbehorende taken:
CIO (Beleidsdepartement): Dirigent CIO’s (afzonderlijke diensten) DCI (Eigenaar) Accountant / EDP auditor (Toetsend kader)
CIO Beleidsdepartement: Zoeken naar sponsoren en eerst 1:1 spreken Definiëren van pijnpunten (Op zoek naar gemeenschappelijk interest en vertrouwen) Onderbouwing m.b.v. business case:
o Kwantitatieve aspecten (Financieel)o Kwalitatief
Inbrengen van agendapunt op CIO’s Overleg (CIO BD = Schakel tussen DCI en CIO’s) Draagvlak creëren voor DCI in het CIO’s overleg ACTIEVE (op basis van KPI) deelname in college standaardisatie.
CIO’s: Gezamenlijk architectuur opzetten (door aanwijzen van een trekker) Ervoor zorgen dan de DCI’s decentraal met elkaar overleggen Koppelvlakken in kaart brengen extern (interne organisatie laten we nog ongemoeid) Laten meenemen bij inkoop- en acceptatievoorwaarden (ongeacht aanbesteding) de software voldoet
aan standaarden die daadwerkelijk getoetst zijn via compliancy omgevingen.
DCI: Vakinhoudelijk / Expertrol Zijn operationeel betrokken (zorgen voor uitvoering van de pijl) Definiëren de koppelvlakken Brengen de soort beschikbare standaarden in kaart Mappen de standaarden op de koppelvlakken. Brengen compliancy in kaart of richten in (Brengen toetsend kader in)
7
3. PlanDit deel beschrijft een mogelijk pad tot inzicht krijgen en behouden over in welke mate de dienstonderdelen voldoen aan de standaarden. Een uitgangspunt hiervoor is het zorgen dat de benodigde werkzaamheden (het verzamelen en rapporteren over de standaarden) ingebed zijn in de dagelijkse werkzaamheden.
Het plan kent een aantal fasen:
Draagvlak Overzicht Inzicht Informatie architectuur
DraagvlakOm een rapportage over standaarden te kunnen doen is een draagvlak bij de betrokken dienstonderdelen en hun vertegenwoordiging een must. Het draagvlak zorgt voor ruimte tot het verkrijgen van overzicht, inzicht en commitment voor de architectuur en haar veranderingen in relatie tot de standaarden.
Creatie en onderhoudCreëren draagvlak binnen het de organisatieonderdelen met stakeholders voor het gebruik van de standaarden vanuit de business. Het draagvlak gaat over het delen van nut en noodzaak tot het gebruik van standaarden. Draagvlak gaat hierbij ook over de afspraken die worden gemaakt over het bijhouden van het gebruik, het inzichtelijk hebben en over de toepassing van standaarden binnen de eigen informatie huishouding en vertrouwen.
Het jaarlijks rapporteren is dan een formaliteit om anderen te vertellen over het gebruik en toekomstig gebruik van standaarden binnen de organisatie en de dienstonderdelen.
Wat is het doel? Rapporteren op zich kan geen doel zijn! Wie zijn stakeholder vanuit beleid en vanuit inhoud (de CIO’s en/of informatie managers van de
afzonderlijke organisatieonderdelen, maar ook andere sleutelfiguren op het gebied van communicatie en informatievoorziening.).
Ontwikkelen en versterken van de relaties op het vlak van de informatie architectuur om van hieruit te kunnen inzoomen naar de standaarden vanuit bijvoorbeeld een gedragen architectuurprincipe.
Mogelijkheden om het gebruik van standaarden te bevorderen zijn:
formuleren van concrete eisen op te nemen in p.v.e. aanbestedingen. overzicht maken van leveranciers met producten, die binnen het ministerie gebruikt worden of kunnen
worden, en de mate waarin die voldoen aan het gebruik van open standaarden. overleg starten met gebruikersgroepen, bijvoorbeeld op het terrein van geoinformatie, meta data,
koppelingen, etc., binnen het ministerie over het ontwikkelen en gebruiken van standaarden die binnen hun processen van belang zijn.
8
OverzichtOverzicht gaat over het weten wie wanneer rapporteert aan DCI over het gebruik van de standaarden. Overzicht gaat over de afspraken die DCI maakt ten aanzien van het aanleveren van de informatie en welke zelfstandigheid en verantwoordelijkheid heeft een dienstonderdeel t.o.v. DCI.
NulmetingOm overzicht te krijgen is nodig om aan de hand van een eerste meting het bijhouden en verzamelen van informatie over het gebruik of nieuw gebruik van standaarden te promoten. Deze nulmeting brengt in kaart welke standaarden uit de “Pas toe en leg uit”-lijst worden gebruikt door een dienstonderdeel en waarom, met andere woorden welke standaarden vind een dienstonderdeel relevant en motiveert waarom de andere niet. Deze eerste inventarisatie is globaal en geredeneerd vanuit een belang bij de standaarden en niet wat er gebruikt wordt door een dienstonderdeel. In de Bijlage: Regelgeving open standaarden staat meer informatie over wat precies wordt bedoeld met de Open Standaarden, de “Pas toe of leg uit”-verplichting en de juridische grondslag van deze verplichting.
TijdlijnEen eerste globale inventarisatie over de afgesproken standaarden kan worden gemaakt. Deze verschijnt in de eerste rapportage.
Vervolgens worden meetpunten gedefinieerd waar in regulier werk zoals uitbreiding van de functionaliteit, onderhoud of nieuwe werken meteen een inventarisatie wordt gedaan op betreffend systeem voor de afgesproken standaarden. Hierbij zijn afspraken noodzakelijk over een minimaal aantal systemen per jaar en de inspanning vanuit het dienstonderdeel.
De exacte afspraken over de lengte van de tijdlijn en de inhoud van de tijdlijn is afhankelijk van beschikbare gelden, draagvlak, verwachte personele inspanning en het bestuur.
ToetsingWe beginnen met een uiteenzetting van wat precies de wordt bedoeld met de Open Standaarden, de “Pas toe of leg uit”-verplichting en de juridische grondslag van deze verplichting (zie bijlage).
Toepassen open standaarden:
afname van een rijksbrede voorziening (voldoet of heeft uitgelegd) afname van een voorziening waarvan vaststaat dat deze open standaarden gebruikt (certificaat) afname van een voorziening door een aanbesteding (gebruik open standaarden is een gespecificeerde
eis) overige voorzieningen (leg uit hoe open standaarden gebruikt worden) focus op generiek toepasbare standaarden en niet op product-standaarden
Toetsing kan in meerdere fasen:
toetsing van de aanbestedingsprocedure, toetsing van het proces en toetsing van de output van een proces
Om de toetsing praktisch realiseerbaar te houden is het verstandig de 80/20 benadering te gebruiken:
9
Bepaal binnen een dienst de top10 van toepassingen, toets deze en maak eventueel plan om ze te baseren op open standaarden of leg uit waarom niet
RapportageDe eerste jaarlijkse rapportage van DCI aan bevat de initiële meting met de relevante standaarden per dienstonderdeel en de tijdlijn om tot een totale inventarisatie te komen.
Bij de volgende rapportages is een groei te zien in het aantal geïnventariseerde systemen en als het goed gaat ook een groei in het gebruik van het aantal standaarden.
De volgende rapportages zijn verschilrapportages ten opzichte van de oorspronkelijke nulmeting.
InzichtAls er overzicht komt het tot het inzicht waar de verandergebieden liggen ten aanzien van de toepassing van standaarden. Welke veranderingen in de informatiestructuur verzorgen een verbreding of verbetering van toepassingen voor de standaarden. Welke veranderingen met welke impact zijn een onderdeel van de jaarlijkse rapportage.
Nieuwe werkenBij nieuwe werken voor informatiesystemen is het gebruik van standaarden een uitgangspunt. Met de “pas te en leg uit” lijst onderbouwt de aannemer de toepassing van standaarden. Het nieuwe gebruik wordt toegevoegd aan het overzicht van toepassing voor een dienstonderdeel. In de jaarrapportage kan hiermee worden gerapporteerd over nieuw uitgevoerde werken en de compliance die wordt betracht.
Functionele uitbreidingenBij kleinere functionele uitbreidingen aan informatiesystemen kan in het werk worden meegenomen om het systeem te scannen op gebruikte standaarden. Op basis van de “pas toe en leg uit” lijst kan worden gemotiveerd of het gebruik van de standaarden voldoende is. Als deze onvoldoende is kan in de jaarplannen een aanpassing worden geduid, waarbij het gebruik tot voldoende wordt opgerekt.
Zowel het voldoende als onvoldoende gebruik kan worden opgenomen in de jaarlijkse rapportage.
InformatiearchitectuurOm ook op het vlak van de informatiearchitectuur het gebruik van standaarden te borgen is een plaats van het gebruik voor standaarden in de concernarchitectuur vanzelfsprekend.
ArchitectuurprincipeIn de concernarchitectuur krijgen de standaarden een plaats als een architectuurprincipe. Hiermee is het een onderdeel van diverse bedrijfsonderdelenarchitecturen en domeinarchitecturen onder de concernarchitectuur. Hiermee hebben de dienstonderdelen de standaarden te benoemen in hun architectuur en deze op te nemen in de transitieplannen in de doorkijk van de architectuur. Deze doorkijk kan weer worden gekoppeld met de jaarlijkse rapportage.
VeranderingenBenoemde veranderingen in de bedrijfsonderdelenarchitectuur voor de transitie zullen in de beschouwing van het verandergebied moeten onderbouwen waarom en hoe er compliance is met de standaarden. Hoe de veranderingen het gebruik van standaarden gaan inzetten in het verandergebied. De hieruit volgende
10
ontwerpproducten werken dit gebruik uit naar de detaillering voor de uit te voeren werken bij de dienstonderdelen.
ComplianceDe compliance in de architectuur en ontwerpproducten kunnen worden bewaakt in een architectuurboard met hierin bijvoorbeeld de CIO’s van de verschillende dienstonderdelen. Mandaat kan zijn advisering of afwijzen van de producten indien deze niet voldoen aan………..
Tips en Tricks
Algemeen: Richt je op sponsorship Zet een convenant op Softwarecatalogus inzetten ook i.v.m. releaseplanning Richt je op de 10 belangrijkste koppelvlakken De Pas Toe Leg Uit lijst (PTOLU) geldt alleen voor aanbestedingen boven 50.000 euro. Werk samen met inkoop (of Haagse Inkoop Centrale). Zorg dat in inkoop- en acceptatievoorwaarden
wordt voldaan aan standaarden. Maak daarbij gebruik van testplatforms en Blijkbaar zijn eisen al verwerkt in inkoopbeleid, zou
alleen terugkoppeling naar DCI dus beter moeten worden geborgd. Tweede oplossingsrichting waar we het over hebben gehad is het verbeteren van het netwerk van sleutelpersonen, dus niet per se communicatie altijd via hiërarchische hark, maar een netwerk van personen uit ICT, Communicatie, informatievoorziening en de lijn. Waar we het in de Pleio discussies eerder ook over hadden. SZW-SVB:
SVB is bezig om aan te sluiten bij Webrichtlijnen 2.0. De SVB slaat Webrichtlijnen 1.0
over, omdat deze toch bijna worden vervangen door Webrichtlijnen 2.0. SVB laat geregeld folders en formulieren ontwerpen die te downloaden zijn van de website. Een
paar inkopers zijn gespecialiseerd in inkoop van grafische ontwerpen. Deze inkopers hebben opleiding en instructie gehad in de Webrichtlijnen. Zij hebben een checklist om te beoordelen of deze grafische ontwerpen voldoen aan de Webrichtlijnen.
Financiën-BelastingdienstBij het toepassen van standaarden, maar geldt eveneens voor (architectuur-)principes en kaders, spelen twee aspecten een belangrijke rol. Ten eerste het promoten van standaarden en het inrichten van een governance structuur.
Promoten standaarden, principes en kaders:
Zorg voor een behapbare set standaarden. Tien standaarden en/of principes is een werkbaar aantal. Door een gelaagdheid aan te brengen in standaarden (bv. 10 relevante voor de IT Architecten en 10 relevante voor de ontwerpers / bouwers) kun je het aantal relevante standaarden, indien gewenst, opvoeren.
Zorg dat de logica van de standaard helder is. Geef een toelichting op de standaard en communiceer hierover.
Organiseer een sessie met belangstellenden om standaarden, principes en kaders toe te lichten. Maak duidelijk dat het gezamenlijk toepassen van standaarden toegevoegde waarde oplevert. Publiceer de standaarden. Denk aan een boekje, website en/of app. Gebruik hierbij ook visualisaties,
zodat het goed blijft ‘hangen’.
Inrichten governance structuur:
11
Zorg voor een toetsingskader voor relevante producten. Relevante producten zijn bv. een Business Case, een Globaal Ontwerp, een domeinarchitectuur en demand specificaties.
Communiceer duidelijk op welke punten producten getoetst worden. Een gelaagdheid aanbrengen in toetsende instanties werkt prima. Binnen de Belastingdienst ken ik de
volgende toetsingen: Review door collega’s;
o Toetsing binnen het organisatieonderdeel door een Design Authority; o Toetsing binnen het aandachtsgebied (domein) over organisatiegrenzen heen;o Voorleggen aan de Architectuurboard.
Als je de governance goed inricht wordt de voortgang van een aanbesteding / eigen ontwikkeling slechts minimaal vertraagd.
Doordat het duidelijk is waarop getoetst wordt is er ook (relatief) weinig discussie over het genomen besluit van een toetsingskader.
12
Bijlage: Regelgeving open standaarden
Voor de overheid is het gebruik van open standaarden “verplicht”. De term standaard kan in het geval van ICT worden gebruikt in twee betekenissen: enerzijds als term om een ‘normatief document’ mee aan te duiden en anderzijds in de betekenis van een bepaalde mate van uniformiteit. In het eerste geval gaat het specifiek om een document opgesteld met consensus en goedgekeurd door een erkende normalisatie-instelling, dat voor gemeenschappelijk en herhaald gebruik voorziet in regels, richtlijnen of kenmerken voor activiteiten of de resultaten daarvan, met het doel een optimale mate van orde te bereiken in een bepaalde context. Dit wordt ook wel een normalisatienorm genoemd. In het tweede geval gaat het om het aanwijzen en gebruiken van een voorkeursassortiment van interface, protocollen en dataformaten waardoor een zo groot mogelijke uniformiteit kan worden verkregen. In Nederland beperkt de Rijksoverheid zich voornamelijk tot deze tweede vorm van standaardisatie: het vaststellen van te gebruiken voorkeursstandaarden binnen de overheid. Die taak is opgedragen aan het Forum en College Standaardisatie. Het instellingsbesluit noemt over de taak van het College en Forum ondermeer: ‘Het College en Forum hebben een belangrijke taak bij het duidelijk maken welke standaarden door (semi-) publieke instellingen (bij voorkeur) gebruikt kunnen worden in hun communicatie onderling en met burgers en bedrijven.’
Het College Standaardisatie bestaat uit zestien hoge ambtenaren die de verschillende ministeries waaronder die van I&M, de uitvoeringsorganisaties, de gemeenten, de provincies en de waterschappen vertegenwoordigen. Elk lid zorgt er voor dat zijn organisatie op de hoogte is van de aanbevelingen van het College en dat deze ook uitgevoerd worden. Het Forum Standaardisatie is een adviesorgaan van het College en bestaat uit vertegenwoordigers van de overheid, het bedrijfsleven en de wetenschap.
DefinitieBij open standaarden gaat het vooral om de openheid van het gebruikte interpretatieformaat voor de input en de output van software, bijvoorbeeld omdat het in een normatief document is opgenomen, en waarbij andere producenten de mogelijkheid hebben om dat interpretatieformaat zonder beperkingen te gebruiken in hun eigen softwareproducten. De term open standaard wordt daarom gebruikt in de betekenis van normatief document. De Nederlandse overheid volgt daarbij de definitie uit het European Interoperability Framework v. 1.0 (Hierna: EIF) van de Europese Commissie (programma IDABC). Deze geeft de volgende vier kenmerken waaraan standaarden moeten voldoen om als open te worden beschouwd:
1. Open besluitvormingsprocedure. Dit kenmerk zorgt ervoor dat de gebruiker van een standaard niet afhankelijk is van één partij voor het beheer en de doorontwikkeling van die standaard. De open besluitvormingsprocedure maakt het mogelijk dat bij het beheer en de doorontwikkeling rekening zal worden gehouden met diverse belangen. Het biedt de gebruiker zelf ook de theoretische mogelijkheid om eventueel invloed uit te oefenen op de ontwikkelingsrichting van de standaard.
2. Eenvoudig beschikbaar. Publicatie van een standaard maakt het mogelijk dat de standaard onafhankelijk van de beheerder kan worden geïmplementeerd. Hierdoor is de gebruiker niet afhankelijk van één organisatie bij het uitwisselen van gegevens. Vooral in informatieketens waarin veel partijen participeren is het bevorderlijk voor de toegankelijkheid dat de standaard is gepubliceerd. Wanneer gegevens voor langere tijd worden vastgelegd, zorgt de beschikbaarheid van de beschrijving van het bestandsformaat ervoor dat de gegevens ook in de toekomst kunnen worden geopend.
3. Geen intellectuele eigendom claims. Voor het gebruik van standaarden worden geen licentiegelden op basis van intellectuele eigendomsrechten in rekening gebracht. Dit zorgt ervoor dat er geen financiële drempel voor andere deelnemers in de informatieketen en voor andere softwareontwikkelaars is om
13
de standaard te implementeren of zelfs maar te gebruiken. Dit is een belangrijke randvoorwaarde voor de toekomstige beschikbaarheid van informatie. Ook is het een randvoorwaarde voor het kunnen implementeren van de standaard in open source software.
4. Geen beperkingen voor hergebruik. Beperkingen betreffende het hergebruik van de standaard kan bepaalde partijen binnen de informatieketen uitsluiten van het gebruik van de betreffende standaard. Een standaard zou bijvoorbeeld alleen voor overheidspartijen kunnen gelden. Indien dan marktpartijen in de informatieketen zitten, dan zijn deze in dat geval uitgesloten van het gebruik van de standaard. Voor een organisatie kan dit betekenen dat derden waaraan zij gegevens verstrekt of waarvan zij gegevens ontvangt geen gebruik kunnen maken van de standaard. In dat geval kan de standaard veel minder toegevoegde waarde hebben. Ook dit kenmerk is een randvoorwaarde voor het implementeren van de standaard in open source software.
Opgemerkt moet worden dat deze definitie spreekt over goedkeuring en handhaving door een non-profit organisatie en niet alleen over een erkende normalisatie-instelling.
Uit de definitie blijkt verder dat het specificatiedocument van een standaard algemeen beschikbaar moet zijn en dat die standaard kan worden toegepast en hergebruikt zonder dat een specifieke leverancier het gebruik van de standaard kan monopoliseren, bijvoorbeeld in de vorm van royalty’s. Het zijn juist deze onderdelen van de definitie waar een aantal grotere ICT-producenten bezwaar tegen maken en waarop de door hen gebruikte definities van het begrip open standaard afwijken. De belangrijkste overheidsorganisaties in Europa beschouwen de definitie uit het EIF echter als de meest correcte. Dit ondanks het feit dat de Europese Commissie in 2010 een tweede versie van het EIF publiceerde waarin voor open standaarden geen definitie meer is opgenomen, en nog slechts wordt gesproken over de openheid van specificaties, waarbij het gebruik van specificaties niet per definitie meer gratis hoeft te zijn. Het verschijnen van het EIF 2.0 is voor de Nederlandse regering echter geen aanleiding geweest om het geldende beleid aan te passen. Zo heeft de minister van Economische Zaken, Landbouw en innovatie in 2012 nog aangegeven zowel nationaal als Europees in te zetten op het gebruik van open standaarden, waarbij het dan zou gaan om standaarden die vrij te gebruiken zijn. De minister grijpt daarbij dus terug op de definitie uit het eerste EIF.
Open standaarden waarop Pas-toe-of-leg-uit van toepassing is.
Het eerder genoemde College en forum standaardisatie hanteren een zogeheten basislijst voor Pas-toe-of-leg-uit (PTOLU). Deze lijst is te vinden op www.forumstandaardisatie.nl .
Voor het gebruik van de standaarden die op deze basislijst zijn geplaatst, geldt voor de overheid het principe ‘pas toe of leg uit’. Dit principe komt er op neer dat organisaties in de (semi)publieke sector bij inkoop of aanbesteding van softwareoplossingen zullen moeten eisen dat de aangeboden oplossingen gebruik maken of ondersteuning geven aan de bij het toepassingsgebied behorende open standaarden, indien deze op de basislijst voorkomen. Als er goede gronden zijn aan te voeren om dat niet te doen, dient te worden vastgelegd welke die goede gronden zijn. Het principe laat dus de mogelijkheid open om na een gedegen afweging te kiezen voor niet op open standaarden gebaseerde ICT-diensten of -producten. Het principe is niet van toepassing voor ICT-opdrachten waarbij de waarde naar verwachting minder zal bedragen dan €50.000, - (exclusief BTW). De keuze voor dit drempelbedrag is in zekere mate arbitrair, maar in de meeste gevallen zal het bij investeringen onder dit bedrag gaan om kleine aanpassingen van al bestaande ICT-systemen. Organisaties in de (semi)publieke sector dienen daarom bij de aanschaf van ICT-diensten of -producten boven dat drempelbedrag na te gaan of het beoogde toepassingsgebied voorkomt op de basislijst.
14
Op die lijst zijn diverse standaarden en toepassingsgebieden opgenomen. Ik noem er niet-limitatief een aantal:
1. “Web richtlijnen 2.0” voor web gebaseerde informatie-, interactie-, transactie-, en participatiediensten.
2. “DKIM” voor het faciliteren van het vaststellen van organisatorische herkomst voor e-mail afkomstig van overheidsdomeinen, als deze over een onbeveiligde, publieke internetverbinding wordt verstuurd wanneer verdere authenticatie ontbreekt.
3. “DNSSEC” voor het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’).
4. “XBRL” voor elektronisch verkeer dat te kenmerken is als verantwoordingsverkeer waarin financiële informatie de kern vormt.
5. “StUF” voor de uitwisseling en bevraging van zaakgegevens die behoren tot de producten- en dienstenportfolio van gemeenten; uitwisseling van domein- of sectorspecifieke gegevens waarin ook basis- en/of zaakgegevens voorkomen en waarvoor geen andere (inter)nationale (XML-gebaseerde) berichtenstandaard is vastgesteld; uitwisseling en bevraging van basisgegevens die behoren tot een aantal wettelijk vastgestelde basisregistraties.
6. “OSB-ebMS standaard” voor meldingen tussen informatiesystemen; 7. “OSB-WUS standaard” voor de (geautomatiseerde) bevraging van informatiesystemen.8. “IPv6 en IPv4” voor communicatie op netwerkniveau over organisatiegrenzen heen tussen organisaties,
individuele eindgebruikers, apparaten, diensten en sensoren.9. “SAML 2.0” voor federatieve (web)browser-based single-sign-on (SSO) en single-sign-off. Dat wil zeggen
dat een gebruiker na eenmalig inloggen via zijn browser toegang krijgt tot verschillende diensten van verschillende partijen.
10. “ISO 32000-1:2008 (PDF 1.7)” voor het uitwisselen en publiceren van niet, of beperkt, reviseerbare documenten, waarbij duiding van oorsprong of functierijkheid onderdeel zijn van het document en waarbij PDF/A-1 als standaard niet kan worden ingezet.
Als het toepassingsgebied van de te verwerven ICT-oplossing voorkomt op de basislijst dan dient de aanbestedende organisatie de bij dat toepassingsgebied genoemde standaard of standaarden mee te nemen bij de besluitvorming betreffende het programma van eisen. Daarbij dient de aanbestedende organisatie te overwegen of het opnemen van de betreffende standaard als eis in het bestek tot onoverkomelijke problemen zou kunnen leiden. Een eis is over het algemeen een knock-out criterium waar leveranciers aan zullen moeten voldoen, willen ze mee kunnen dingen naar een opdracht. Wanneer een leverancier niet aan de eis kan voldoen dan mag deze in de lopende aanbestedingsprocedure niet meer meedoen.
De basislijst met standaarden verschaft niet alleen duidelijkheid aan de bij de verwerving betrokken ambtenaren, maar ook ICT-leveranciers kunnen er in het kader van hun productontwikkeling vanuit gaan dat bepaalde standaarden door de overheid gevraagd zullen worden en anderen niet. Ook is er voor leveranciers op de website van het Forum standaardisatie de nodige informatie beschikbaar om de implementatie van de standaarden mee uit te voeren.
Welke organisaties moeten zich houden aan PTOLU?
Voor het Ministerie van I&M is PTOLU als juridische verplichting opgenomen in het "Besluit van de staatssecretaris van Economische Zaken, handelende mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, en in overeenstemming met het gevoelen van de raad van ministers, tot vaststelling van de Instructie rijksdienst inzake aanschaf van ICT-diensten en ICT-producten", in de wandelgangen ook wel bekend als de Rijksinstructie. Hoewel de naam “Rijksinstructie” anders doet
15
vermoeden, gaat het in juridische zin om een beleidsregel in het kader van het aanbestedingsrecht. Bij de beoordeling of er sprake is van een beleidsregel, gaat het namelijk niet om de naam of kwalificatie die het bestuursorgaan heeft gegeven aan de betreffende regel, maar om de vraag of regel herkenbaar is als beleidsregel.
De Rijksinstructie is bij besluit vastgesteld door de staatssecretaris van Economische Zaken, een bestuursorgaan in de zin van artikel 1:1 lid 1 Awb, handelend in overeenstemming met het gevoelen van de raad van ministers. Dat besluit is gepubliceerd in de Staatscourant. Het gaat daarbij conform artikel 1:3 Awb om een schriftelijke beslissing van een bestuursorgaan, inhoudende een publiekrechtelijke rechtshandeling. Dat de overige ministers zich hiermee akkoord verklaren is van belang omdat de Rijksinstructie volgens art. 2 in acht moet worden genomen door alle ministers en staatssecretarissen en op grond van artikel 10:6 Awb de onder hen ressorterende dienstonderdelen. Onder die dienstonderdelen vallen de departementen en alle baten-lastendiensten. Voor het ministerie van I&M gaat het dan in het bijzonder om de volgende dienstonderdelen die derhalve op grond van de Rijksinstructie gebonden zijn aan het PTOLU principe:
KNMI Rijkswaterstaat Inspectie voor Leefomgeving en Transport (ILT, een fusie van de VROM-Inspectie en de Inspectie
Verkeer en Waterstaat)
Deze diensten dienen daarom zelfstandig te voldoen aan het gebruik van de standaarden op de basislijst. Voor DCI ligt op dit gebied een coördinerende rol voor de hand aangezien het de minister van I&M is die verantwoordelijk is voor de naleving door zowel het departement alsook de baten-lasten diensten.
AfwijkenSlechts in een aantal situaties kan de aanbestedende organisatie gebruik maken van de afwijkingsmogelijkheid. Daarbij schrijft artikel 4 Rijksinstructie voor dat van dat afwijken een verantwoording moet worden opgenomen in de bedrijfsvoeringparagraaf van het jaarverslag. De Rijksinstructie noemt de volgende drie situaties:
1. Een dienst of product dat gebruik maakt van de voorgeschreven open standaard zal naar verwachting onvoldoende worden aangeboden. De open standaard wordt in een dergelijk geval niet door meerdere leveranciers ondersteund op meerdere platforms.
2. Een dienst of product dat gebruik maakt van de voorgeschreven open standaard zal naar verwachting onvoldoende veilig of onvoldoende zeker functioneren. De bedrijfsvoering en/of dienstverlening komen daardoor op onaanvaardbare wijze in gevaar, inclusief beveiligingsrisico's.
3. Andere redenen van bijzonder gewicht. Hierbij zal het gaan om aspecten van geld, tijd en capaciteit.
Volgens de toelichting op de Rijksinstructie mag met deze afwijkingsmogelijkheden niet al te lichtvaardig worden omgegaan. Het kabinet is bijvoorbeeld van mening dat de eventuele extra kosten van een migratie naar een interoperabel en op open standaarden gebaseerd ICT-systeem in beginsel geen reden mag zijn voor het gebruik van de explain-optie. Ook het niet zelf beschikken over voldoende capaciteit is volgens de toelichting op de instructie geen goede reden indien die capaciteit eenvoudig valt in te huren of indien in de organisatie nooit aandacht besteed wordt aan het op peil brengen van bestaande tekorten in de eigen capaciteit. Overigens heeft het Ministerie van Financiën nog tot 2012 gewacht met het aanpassen van de Rijksbegrotingsvoorschriften1. Pas vanaf dat moment is de rapportageplicht daadwerkelijk opgenomen in het model van de bedrijfsvoeringparagraaf2.
1 Zie: http://rbv.minfin.nl/Regeling%20RBV/regeling/2 Zie: http://rbv.minfin.nl/model/324
16
Gangbare en wettelijk verplichte standaardenStandaarden kunnen ook juridische gelding krijgen door verwijzing daarnaar in regelgeving. Het is dan die regelgeving die de rechtsgevolgen regelt door op enigerlei wijze te bepalen dat de standaard in acht moet worden genomen. Volgens de Afdeling Bestuursrechtspraak zijn normen waar op een dergelijke wijze naar wordt verwezen weliswaar burgers bindende regels, maar worden ze daarmee zelf nog geen vanwege het Rijk vastgestelde algemeen verbindende voorschriften.
I&M dient er dus rekening mee te houden dat de vrijblijvendheid van bepaalde standaarden door achterliggende wettelijke regelingen minder groot is dan aanvankelijk gedacht. Zo kan gedacht worden aan het verplichte gebruik van de normen NEN 1888 en NEN 5825 die op basis van de Wet GBA zijn voorgeschreven in het Besluit standaard schrijfwijze persoonsgegevens. Ook kan gedacht worden aan het gebruik van bepaalde Pdf-formaten op basis van Wet elektronische bekendmaking. Het Forum Standaardisatie heeft op haar website een lijst staan met alle standaarden waarvoor de verplichtstelling in acht moet worden genomen.
Hieruit mag overigens niet de conclusie worden getrokken dat van alle andere technische normen geen werking kan uitgaan.
Normen kunnen naast verbindende werking in juridische zin ook feitelijke gelding verkrijgen indien er een praktische dwang bestaat tot het volgen van een norm. Denk aan de lengtemaat meter en de inhoudsmaat liter, of aan de technische normen die noodzakelijk zijn voor het kunnen gebruiken van het internet. Naast de basislijst met “pas toe of leg uit” standaarden, en een lijst met wettelijk verplichte open standaarden, heeft het Forum standaardisatie ook een lijst in beheer met “gangbare” open standaarden.
De gangbare open standaarden zijn standaarden die al grootschalig worden toegepast en waardoor het niet noodzakelijk is om dat gebruik te stimuleren door een verplichting. Vrijwel alle standaarden op die lijst hebben te maken met websites of email. Denk bijvoorbeeld aan CSS, HTML, IMAP, http, en UTF-8.
17