Verplichte standaarden

Uit ROSA Wiki
Ga naar: navigatie, zoeken

Voor bepaalde standaarden bestaat een (wettelijke) verplichting deze toe te passen. De verplichting vloeit voor uit de wet Digitale Overheid waarin de minister van BZK de bevoegdheid krijgt standaarden als verplicht aan te wijzen in een AMvB. De juridische afdeling van OCW (WJZ) heeft geconcludeerd dat bekostigde scholen en onderwijsinstellingen binnen scope van deze wet vallen.

Per sector kan besproken moeten worden hoe wordt omgegaan met de implementatie. Dit kan bijvoorbeeld in ketenregie overleggen. Het ketenregie overleg kan dan de impact bepalen. Als in de betreffende sector implementatie tot onoverkomelijke bezwaren leidt kan OCW gevraagd worden om bij AMvB een nadere scope te bepalen. Dit zal dan onderbouwd moeten worden conform de hiervoor geldende criteria(art.3.3e lid).

Om welke standaarden gaat het

Toegankelijkheidsstandaarden (gebaseerd op een EU-richtlijn)

De verplichting dat overheidsinstanties de noodzakelijke maatregelen moeten nemen om hun websites en mobiele apps toegankelijker te maken is ingegaan op 1 juli 2018. De invoering van de verplichting verloopt in fasen: op 23 september 2019 voor websites die na 23 september 2018 zijn gepubliceerd, op 23 september 2020 voor alle andere websites en op 23 juni 2021 voor mobiele applicaties (apps). Van overheidsinstanties wordt verwacht dat zij, nadat de verplichting van kracht is geworden, op hun websites en in hun mobiele apps een toegankelijkheidsverklaring publiceren. Die verklaring moet voldoen aan een door de Europese Commissie vastgesteld model. Het model wordt nu gereed gemaakt voor gebruik in Nederland en vervolgens geïntegreerd in een reeds bestaand instrument: een invulassistent voor toegankelijkheidsverklaringen. Naar verwachting is dit eind 2018 gereed. Vanaf 23 september 2019 moet de toegankelijkheidsverklaring gepubliceerd worden.

Beveiligingsstandaarden

De verplichting voor implementatie van beveiligingsstandaarden verloopt gefaseerd. Voor eind 2017, 2018 en 2019 wordt aangegeven welke standaarden geïmplementeerd moeten zijn.

RealisatiedatumStandaardDoel standaard
Eind 2017TLS/HTTPS
Het NCCS heeft aanvullende eisen t.a.v. cipher suites
Beveiligde verbinding
DNSSECDomeinnaambeveiliging
SPFAnti-phishing email
DKIMAnti-phishing email
DMARCAnti-phishing email
Eind 2018HTTPS, HSTS en TLS conform NCSC richtlijnBeveiligde verbinding
Eind 2019STARTTLS en DANE. Voor gebruik van DANE gelden strikte policiesEncryptie van mailverkeer
SPF en DMARCStrikte policies voor emailstandaarden

Duiding standaarden in onderwijscontext

Voor standaarden die verplicht (gaan) worden, kan binnen Edustandaard de toepassing verder worden geduid. Dit helpt onderwijsinstellingen en andere onderwijsorganisaties bij het vaststellen in welke vorm en voor welke situaties deze standaarden toegepast moet worden.

Aanspreekpunt voor de duiding van de beveiligingsstandaarden is de Edustandaard Werkgroep Uniforme beveiligingsvoorschriften.

Zie ook