Open standaarden
Begrijpen
De Nederlandse overheid hanteert een openstandaardenbeleid omdat open standaarden bijdragen aan betere communicatie en samenwerking en om minder afhankelijk te zijn van één leverancier. Bij aanbestedingen vanaf € 50.000,- zijn deze open standaarden verplicht. Bij kleinere projecten wordt vaak niet expliciet om het gebruik van open standaarden gevraagd en zijn de standaarden niet verplicht maar wel zeer gewenst, daarom vragen we iedereen zoveel mogelijk aan deze standaarden te voldoen.
De onderstaande lijst met standaarden is een selectie van de standaarden die met name voor webapplicaties relevant zijn. De volledige lijst is te vinden op de website van het Forum Standaardisatie.
Per standaard is hieronder aangegeven op welk gebied deze van toepassing is, zodat je snel kunt bepalen of de betreffende standaard relevant is voor jouw webapplicatie. Onder het tabblad 'onderzoeken' vind je links naar beschrijvingen of tools om snel te bepalen of een site aan de betreffende standaard voldoet. Onder het tabblad 'verbeteren' staan tips om beter aan de verschillende standaarden te voldoen. Voor meer gedetailleerde omschrijvingen en documentatie verwijzen we je naar de website van het Forum Standaardisatie of kijk op digitaleoverheid.nl.
| Standaard | Toepassingsgebied |
|---|---|
| CMIS Content Management Interoperability Services | Moet worden toegepast op het ontsluiten van ongestructureerde gegevens in content repositories van CMS’en en van DMS’en, met als doel deze gegevens uit te wisselen met andere CMS’en en DMS’en. |
| Digi koppeling | Moet worden toegepast op alle digitale gegevensuitwisseling met behulp van gestructureerde berichten die plaatsvindt met voorzieningen die onderdeel zijn van de GDI, waaronder de basisregistraties, of die sector-overstijgend is. |
| Digitoegankelijk (EN 301 549 met WCAG 2.1, voorheen ook wel bekend als 'drempels weg' en 'webrichtlijnen') | Verplicht voor alle webapplicaties. Zie de pagina 'Digitoegankelijk' op deze website. |
| DKIM DomainKeys Identified Mail (DKIM) Signatures | Moet worden toegepast op alle overheidsdomeinnamen waarvandaan wordt gemaild én op alle mailservers waarmee de overheid e-mail verstuurt en ontvangt. |
| DMARC Domain-based Message Authentication, Reporting, and Conformance | Moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt. |
| SPF Sender Policy Framework | Moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt. |
| DNSSEC Domain Name System Security Extensions | Moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien. |
| GEO-standaarden | Uitwisseling van geografische informatie tussen organisaties, waarbij de ruimtelijke dimensie van significant belang is. |
| HTTPS en HTST HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS) | Voor de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices. |
| IPv6 en IPv4 Internet Protocol versie 4 en 6 | Moeten in combinatie (‘dual stack’) worden toegepast op communicatie tussen toepassingen in (een) netwerk(en). |
| NEN-ISO/IEC 27001 | Deze standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s van een organisatie. Deze standaard is niet vereist voor álle ICT-producten, alleen als er specifiek om gevraagd is. |
| NEN-ISO/IEC 27002 | Deze standaard geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. Ook hiervoor geldt dat voldoen aan deze standaard alleen vereist is als er specifiek om gevraagd is.Uiteraard is het wel wenselijk om een zo goed mogelijke informatiebeveiliging na te streven ook zonder certificering. |
| ODF Open Document Formaat | Voor de uitwisseling van reviseerbare documenten. |
| Open Api Specification (OAS 3.0) | Voor het beschrijven/specificeren van een REST API |
| OWMS Overheid.nl Web Metadata Standaard | Moet worden toegepast op het aanbieden van metadata over publieke informatieobjecten (zoals artikelen, kamerstukken, bekendmakingen en formulieren) op internet. Het gebruiken van meta-data is op zich niet verplicht maar als een website meta-data gebruikt, is OWMS verplicht. |
| PDF (NEN-ISO) | Moet worden toegepast op de uitwisseling en publicatie van niet- of beperkt reviseerbare documenten. |
| SAML Security Assertion Markup Language | Moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten |
| SKOS Simple Knowledge Organization System | Moet worden toegepast op de publicatie van niet geformaliseerde systemen voor kennisrepresentatie op het internet, met name begrippenlijsten, digitale woordenboeken en taxonomieën. |
| TLS Transport Layer Security | Moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie. |
Onderzoeken
| Standaard | Test |
|---|---|
| CMIS | Zie de toetsingsdocumentatie |
| Digi koppeling | Zie de toetsingsdocumentatie |
| Digitoegankelijk | Zie de pagina 'Digitoegankelijk' op deze website |
| DKIM | https://internet.nl/mail https://dkimcore.org/tools/keycheck.html |
| DMARC | https://internet.nl/test-mail/ https://dmarcian.com/dmarc-inspector/ |
| SPF | https://internet.nl/test-mail/ https://www.kitterman.com/spf/validate.html |
| DNSSEC | https://internet.nl/ http://dnsviz.net/ |
| GEO-standaarden | Zie de toetsingsinformatie |
| HTTPS en HTST | https://internet.nl/ https://www.ssllabs.com/ssltest/ |
| IPv6 en IPv4 | https://internet.nl https://www.ip6.nl |
| NEN-ISO/IEC 27001 | Vraag of uw organisatie en/of uw hosting-provider aan deze standaard voldoet. |
| NEN-ISO/IEC 27002 | Vraag of uw organisatie en/of uw hosting-provider aan deze standaard voldoet. |
| ODF | Er zijn verschillende tools om te achterhalen welk typen bestanden op een website gebruikt worden. Bijvoorbeeld Siteimprove kent een onderdeel Quality Assurance waar je onder de Inventory kunt zien welke bestandstypen gebruikt worden. Vaak kun je ook in de beheeromgeving (CMS) van een applicatie een lijst opvragen van gebruikte bestanden. Uiteraard kun je ook een zoekmachine gebruiken om office-bestanden op te sporen. |
| Open Api Specification | Navragen bij ESB: specificatie testen met Soapui of iets degelijks? |
| OWMS | nog beschrijven |
| PDF (NEN-ISO) | https://www.pdf-online.com/osa/validate.aspx En zie de toetsingsinformatie op https://www.forumstandaardisatie.nl/standaard/pdf-nen-iso |
| SAML | Nog beschrijven |
| SKOS | Nog beschrijven |
| TLS | https://internet.nl/ |
Verbeteren
| Standaard | Mogelijke verbeteringen |
|---|---|
| CMIS | Indien van toepassing, zie de specificaties |
| Digi koppeling | |
| Digitoegankelijk | Zie de pagina over digitale toegankelijkelijkheid op deze site |
| DKIM | Achterhaal de benodigde keys en vraag de DNS-beheerder om de benodigde DNS-records aan te maken |
| DMARC | Vraag de DNS-beheerder om voor elk (sub-)domein de benodigde DNS-records aan te maken |
| SPF | Vraag de DNS-beheerder om voor elk (sub-)domein de benodigde DNS-records aan te maken |
| DNSSEC |
|
| GEO-standaarden | Zie de specificatiedocumenten |
| HTTPS en HTST | Stap 1: Zorg dat elk (sub-)domein een geldig en betrouwbaar certificaat heeft. [nog specificeren in welke gevallen welk type betrouwbaar geacht wordt.] Als de IRVN de eigenaar van de domeinnaam is of kan worden, kan de IRVN voor het benodigde certificaat zorgen. Vraag de hostingprovider om een CSR voor het certificaat en neem contact met ons op. Stapt 2: Implementeer HSTS op alle betrokken webservers. Zie voor een instructie bijvoorbeeld https://www.globalsign.com/en/blog/what-is-hsts-and-how-do-i-use-it/ |
| IPv6 en IPv4 |
|
| NEN-ISO/IEC 27001 | Neem contact met ons op als je hulp wilt bij het voldoen aan deze standaard. |
| NEN-ISO/IEC 27002 | Neem contact met ons op als je hulp wilt bij het voldoen aan deze standaard. |
| ODF | Bepaal eerst of de gevonden bestanden inderdaad reviseerbaar moeten zijn. Als dat niet zo is kun je de bestanden vervangen door een html-, EPUB- of een PDF-versie. Wijzig de resterende bestanden in een ODF-formaat: .odt voor tekstdocumenten, .ods voor spreadsheets, .odp voor presentaties, .odg voor graphics. Microsoft Office en bijvoorbeeld OpenOffice biedt de mogelijkheid om bestanden in dit formaat op te slaan. |
| Open Api Specification | Zie het onderdeel hulpmiddelen op www.forumstandaardisatie.nl/standaard/openapi-specification |
| OWMS | nog beschrijven |
| PDF (NEN-ISO) | Het verbeteren van bestaande PDF's is vaak een lastige klus. Zorg er daarom voor dat je vanaf het begin let op het toegankelijk maken van documenten door goede sjablonen te gebruiken. Zie ook: https://www.forumstandaardisatie.nl/open-standaarden/pdf-nen-iso |
| SAML | Nog beschrijven |
| SKOS | Nog beschrijven |
| TLS | Vraag de hosting provider of beheerder om de TLS-configuratie te optimaliseren volgens de beveiligingsrichtlijnen van het NCSC |