20 november 2009
Het Forum Standaardisatie meet met twee maten . Door de meest basale open standaarden niet af te dwingen, dreigt de overheid afhankelijk te blijven van enkele spelers in de markt. Aanleiding voor de irritatie is de uitvoering van het actieplan NOiV, waarbij open standaarden de norm zijn. Een overheidsorganisatie die toch anders kiest, moet dat uitleggen. Maar ja, als slechts voor een paar standaarden dit beleid geldt (de meest belangrijke standaarden worden namelijk niet afgedwongen) stelt dat ook niets voor. Het Forum Standaardisatie is verantwoordelijk voor de lijst van open standaarden, waarvoor ‘pas toe of leg uit’ geldt. Hierop staan het Open Document Format, PDF/A, de beeldformaten PNG en JPEG, diverse overheidsstandaarden voor het uitwisselen van informatie (zoals STUF) en twee NEN-beveiligingsnormen. Deze week werden aan de lijst nog drie standaarden toegevoegd (PDF 1.7, SAML en Web Services for Remote Portlets). Het probleem zit in de ontbrekende standaarden, die zeer basaal zijn. Zo zijn de internetprotocollen IP versie 4 en 6, TCP en UDP, protocollen om karakters goed op het scherm te zetten, e-mailstandaarden (SMTP, POP3 en IMAP) of LDAP als protocol om een directory te bouwen, niet opgenomen. Die zijn door het Forum Standaardisatie wel op een lijst gezet, maar is dat een lijst met ‘gangbare standaarden’. Die zijn dus niet verplicht of afdwingbaar.
Het probleem van de twee lijsten is dat de gangbare standaarden te negeren zijn, waardoor toch gekozen kan worden voor gesloten oplossingen. ‘Zolang er een separate lijst kan bestaan van standaarden, die niet aan het bindende principe van ‘pas toe of leg uit’ onderworpen zijn, ligt er een bom onder het in het actieplan geëiste ‘level playing field”, zo stelt Marc Vloemans, voorzitter van de belangenvereniging voor leveranciers van open oplossingen OSSLO. ‘Dat sluit open leveranciers potentieel uit en het plan zal schiet hierdoor tekort’. ‘De pas-toe-of-leg-uit lijst is bedoeld om focus te krijgen op open standaarden met een overheidsbrede impact op interoperabiliteit en waarvoor is afgesproken dat overheden die moeten toepassen en waarvoor ze zich moeten verantwoorden, indien ze daarvan afwijken’, reageert Esther Benschop van het Ministerie van Economische Zaken. ‘Het gaat hierbij om standaarden die er toe doen voor interoperabiliteit en leveranciersonafhankelijkheid en waarvoor extra actie nodig is’. Dat er grotere standaarden buiten de lijst dreigen te vallen is volgens haar niet zo vreemd. ‘Het betreft open standaarden die al op veel boodschappenlijstjes voorkomen van (overheids)organisaties die op dit gebied voorop lopen’, stelt Benschop. ‘Dit zijn standaarden waarover geen discussie bestaat over de openheid en waarbij er van wordt uitgegaan dat die standaarden ook automatisch breed worden toegepast en een pas-toe-of-leg-uit regime voor die standaarden niet nodig is. Dit heeft geresulteerd in een lijst met ‘gangbare’ open standaarden (de zogenaamde open open-deur standaarden)’. Tja, dat klinkt heel mooi, maar de GOUD-desktop bij het Rijk spreekt toch een ander verhaal. Daar werd de keuze beïnvloed door het gebruik van Microsoft Active Directory in plaats van LDAP, waardoor het kiezen van een niet-Windows-desktop nagenoeg onmogelijk is. Bij de vanzelfsprekende standaarden staat ook MD5 (allang gekraakt). Het risico wordt onderkend, maar er wordt geen alternatief gekozen. Vloemans is van mening dat het tijd voor ingrijpen is, want van ‘level playing field’ is volgens hem geen sprake. Ook de SP reageert geïrriteerd. ‘Hoe moeilijk kan het zijn? Iets is open of het is het niet. Je bent ook niet een beetje zwanger’, verzucht kamerlid Arda Gerkens. Ze zegt bezorgd te zijn en ook te vrezen dat het de overheid maar niet de afhankelijkheid van leveranciers weet te doorbreken. De kritiek van de SP hoeft niet aan dovemans oren gericht te zijn, want het ministerie ziet nog wel mogelijkheden om in te grijpen als het nodig is: ‘Mocht blijken dat sommige standaarden van de lijst niet breed gebruikt worden kan overwogen worden om specifieke standaarden van die lijst voor te dragen voor de pas-toe-of-leg-uit lijst’. Ik stel voor het geneuzel te beperken en die standaarden nu al aan die lijst toe te voegen. Bespaart heel veel gepraat en veel heize straks, als het fout gaat….