Overheid vraagt bij aanbestedingen te weinig om verplichte open standaarden
Nederlandse overheidsinstanties vragen bij aanbestedingen te weinig om verplichte open standaarden, zo blijkt uit de Monitor Open Standaarden 2025. In slechts vijftig procent van de gevallen wordt om de verplichte open standaarden gevraagd. Een percentage dat al jaren nagenoeg onveranderd is, aldus het Forum Standaardisatie dat het onderzoek uitvoerde.
Volgens het Forum Standaardisatie worden sommige belangrijke open standaarden te weinig gebruikt, waardoor de digitale samenleving kwetsbaar, inefficiënt of niet toegankelijk is voor iedereen. Er is daarom besloten een lijst op te stellen met open standaarden waar instanties bij het aanbesteden van diensten of producten om moeten vragen. Alleen in bepaalde gevallen mag er van worden afgeweken. Het 'Pas toe of leg uit'-beleid geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties.
"In 2024 is voor het derde jaar op rij geen significante groei zichtbaar in het toepassen van open standaarden bij overheidsaanbestedingen. Slechts 51 procent van de verplichte standaarden werd daadwerkelijk uitgevraagd, vrijwel gelijk aan het vijfjarig gemiddelde van rond de vijftig procent. Daarmee lijkt het verzadigingspunt inmiddels wel bereikt", zo stelt het Forum Standaardisatie.
De organisatie noemt verschillende redenen waarom overheidsinstanties niet om open standaarden vragen. Zo zijn instanties niet met de open standaarden bekend. "Een andere verklaring ligt in de machtsverhouding tussen aanbestedende diensten en leveranciers. Er wordt vaak gewezen op het probleem van (grote, dominante) leveranciers die open standaarden niet willen of kunnen toepassen vanwege gebrek aan kennis, conflicterende technologie of commerciële belangen. Men is bang dat als de open standaarden geëist worden, er minder of zelfs geen inschrijvingen komen op aanbestedingen."
Forum Standaardisatie merkt op dat de macht van leveranciers groot is. Overheidsinstanties krijgen het advies om meer gezamenlijk in te kopen, wat kan helpen om die verhouding meer in balans te brengen. Een andere aanbeveling betreft het versterken van de handhaving op het toepassen van alle verplichte open standaarden. Verder raadt het Forum Standaardisatie aan om anders de aandacht te richten op specifieke open standaarden die vaak relevant zijn, maar slechts gemiddeld of zelfs beneden gemiddeld gevraagd worden, zoals DNSSEC, SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane.
"In een tijd waarin digitale soevereiniteit steeds urgenter wordt, is het belangrijk om te weten dat open standaarden daar een essentiële bijdrage aan leveren", zo laat het Forum Standaardisatie verder weten. Het Forum is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.
Ik zou liever zien dat er een paar hoog-profiel aanbestedingen om deze reden ingetrokken werden met veel kabaal... Dan kan men zich niet meer verschuilen achter "wist ik niet."
Dat ze het niet vragen is 1 ding maar wordt het wel aangeboden en is het onderdeel van de uiteindelijke oplossing? Dat is veel belangrijker.
Leveranciers hebben baat bij supplier lock-in. Een belangrijke reden voor open standaards is dat die precies dat helpen doorbreken. Mij verbaast het niet dat leveranciers niet staan te trappelen om daar uit zichzelf mee te komen.
Neem bijvoorbeeld IPv6, lijkt overbodig maar is voor sommige mensen broodnodig.
Er zijn al landen waar je geen of nauwelijks IPv4 verbinding hebt door overbevolkte CG-NAT.
Hier is IPv6 de enige optie om een echt stabiele verbinding te krijgen.
Ik zit regelmatig bij de overheid en niemand kent ze. En als je ermee te maken hebt, dan weet je direct waarom iedereen ze liever vergeet....
Het meest teleurstellend is de technische kennis van het forum. Ze volgens helemaal niet wat er in de praktijk gebeurd of wat nodig is voor innovatie. Politiek drijven is daar veel belangrijker dan standaarden handhaven of promoten. Ze staan verder niet open voor kritiek en hebben geen zelfreflectie (doen we hier wel wat goed is voor Nederland?).
Dat ze nu dan ook stagnatie constateren hebben ze volledig aan zichzelf te danken. Maar zoals gezegd, zelfreflectie is niet onderdeel van takenpakket daarzo. Daarom negeren commerciële partijen ze ook en dan lopen ze als kinderen te janken. Het is echt triest.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?