Open standaard bij aanbestedingen 2024 ('pas toe' en 'leg uit')

Versie: 0.95

Samenvatting: niveau van adoptie stabiliseert

In 2024 is voor het derde jaar op rij geen significante groei zichtbaar in het toepassen van open standaarden bij overheidsaanbestedingen. Slechts 51 procent van de verplichte standaarden werd daadwerkelijk uitgevraagd, vrijwel gelijk aan het vijfjarig gemiddelde van rond de vijftig procent. Daarmee lijkt het verzadigingspunt inmiddels wel bereikt.

Enkele opvallende ontwikkelingen

Zowel de rijksoverheid als de medeoverheden laten een lichte stijging zien (resp. +2% en +1%), maar de verschillen zijn klein.
Standaarden binnen het thema veilig internet blijven het meest van belang (driekwart van de relevante standaarden), maar worden voor slechts de helft uitgevraagd.
Economie en werk scoort met een hoge uitvraag van 88 procent, mede dankzij standaarden als NLCIUS (e-facturatie).
Uitwisselingsfundament daalt naar 47 procent, ondanks het toenemend belang van API-standaarden.
Toegankelijkheid neemt af: Digitoegankelijk wordt minder vaak geëist, wat opvallend is gezien de wettelijke plicht.

Positieve uitzonderingen

Zeven aanbestedingen behaalden een perfecte score (100% uitvraag). Succesvolle voorbeelden zijn onder andere Rijkswaterstaat, Belastingdienst en de Provincie Noord-Brabant. Logius en ICTU deden ook perfecte aanbestedingen. Ook werden (bijna) perfecte scores behaald in complexe aanbestedingen van o.a. de gemeente Amsterdam en de tweemaal door de RDW.

Lerende praktijk: ‘Leg uit’ en hoor-wederhoor

Hoewel het ‘leg uit’-principe verplicht om jaarlijks te rapporteren over de naleving van het open standaarden beleid, wordt dit in veel gevallen niet toegepast in jaarverslagen. De wederhoorronde leverde een aantal waardevolle inzichten op.

Tot slot: prioriteit

Met deze nieuwe meting wordt bevestigd dat de groei eruit is: het niveau van adoptie van open standaarden is gestabiliseerd rond de 50 procent. Hoewel er geen cijfermatig beleidsdoel is, lijkt het ons dat dit onvoldoende is en dat er (beleidsmatige) actie nodig is. In het licht van eventuele beleidsaanpassingen, kan nadere prioritering overwogen worden. Er is een aantal open standaarden in het belangrijke domein van veilig internet, dat vaak relevant is en relatief weinig wordt uitgevraagd. Het bevorderen van de adoptie van deze digitale veiligheidsstandaarden - waaronder SPF, DKIM, STARTTLS, DMARC, IPv4 en IPv6 en STARTTLS en Dane – zou met nadruk aangepakt kunnen worden. Daarbij is het van belang dat niet alleen de handhaving zou kunnen worden verstevigd, maar dat er bij overheidsorganisaties tevens behoefte is aan meer kennis en ondersteuning bij het bepalen van de relevante standaarden, en hoe deze uit te vragen in ICT-aanbestedingen.

Voorwoord

Het centrale instrument van het open standaardenbeleid is het 'pas toe of leg uit'-principe. Dat houdt in: bij de aanschaf van ICT de relevante open standaarden van de lijst met 43 verplichte standaarden meenemen in de eisen en verantwoording afleggen in het jaarverslag wanneer relevante open standaarden niet worden uitgevraagd.

In het kader van de Monitor Open standaarden 2025 is voor het veertiende jaar op rij onderzoek gedaan naar de toepassing van open standaarden bij aanbestedingen door overheden, dit jaar over aanbestedingen uit 2024. Daarbij gaat het om 68 aanbestedingen. Per aanbesteding is vastgesteld welke open standaarden van de ‘Pas toe of leg uit’-lijst van toepassing waren en in hoeverre daar daadwerkelijk om is gevraagd ('pas toe'). Vervolgens is nagegaan in hoeverre overheden in hun jaarverslag verantwoording hebben afgelegd over de naleving van het open standaardenbeleid. ('leg uit').

De opzet van deze rapportage is als volgt. In paragraaf 1 staat ‘Pas toe’ bij aanbestedingen centraal. Daarna volgt paragraaf 2 waarin de juiste uitvraag van de relevante standaarden van de onderzochte aanbestedingen centraal staat. Na deze beschrijving van de kern van dit deelonderzoek volgt in paragraaf 3 een aanvullend inzicht vanuit een andere invalshoek: een screening van de verantwoording van het al dan niet uitvragen van open standaarden in de jaarverslagen van departementen (formele route) en reacties van aanbestedende diensten op het expertoordeel van de onderzochte aanbestedingen (informele route). Paragraaf 4 geeft inzicht in de relevantie van standaarden en de mate waarin deze daadwerkelijk zijn uitgevraagd bij de onderzochte aanbestedingen in 2024, in relatie tot de voorgaande vijf jaar. De achtergrond en aanpak van dit onderzoek zijn terug te vinden in de bijlagen, alsmede een korte beschouwing van het open standaarden beleid van een aantal landen om ons heen.

1. “Pas toe” bij aanbestedingen (kwantitatief)

Uitgevraagde versus relevante open standaarden (over de hele linie)

In de 68 aanbestedingen uit 2024 die voor deze monitor zijn beoordeeld had in totaal om 963 open standaarden gevraagd moeten worden. Feitelijk is er echter 488 keer om een open standaard gevraagd. Dat levert een uitvraag-percentage op van 51%. Met wat lichte schommelingen door de afgelopen jaren heen lijkt het beeld erop te wijzen dat er sprake is van een stabilisatie (zie figuur 1). Van een doorbraak de goede kant op met structureel hogere uitvraag-percentages is in elk geval nog geen sprake.

Figuur 1: Uitgevraagde versus relevante standaarden bij verheidsaanbestedingen (2011-2024, procentueel). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Uitgevraagde versus relevante open standaarden (naar bestuurslaag)

Achter een vrijwel gelijkblijvend uitvraagpercentage van 51 procent gaat het volgende beeld schuil:

Bij de Rijksoverheid is sprake van een lichte stijging van 51procent vorig jaar naar 53 procent dit jaar. Daarbij moet worden opgemerkt dat met name bij de rijksaanbestedingen lagere en hogere uitvraagpercentages elkaar de laatste jaren vaak afwisselen, zonder een duidelijke richting. Dit keer is dus sprake van een stijging.
Bij medeoverheden is tevens sprake van een lichte stijging van 48% vorig jaar naar 49% dit jaar. Ter herinnering: vorig jaar was sprake van een daling (van 52% naar 48%).

Figuur 2: Uitgevraagde versus relevante standaarden bij aanbestedingen naar bestuurslaag (2018 – 2024, procentueel). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Met de beelden uit figuur 1 en 2 kan geconcludeerd worden dat zonder aanvullende beleid dit niet vanzelf zal verbeteren. Het percentage van de uitgevraagde standaarden ten opzichte van de relevante standaarden ligt al jaren op ongeveer vijftig procent.

Uitgevraagde versus relevante open standaarden (naar inhoudelijk domein)

Zoomen we verder in, wat zijn dan de ontwikkelingen door de jaren heen in het uitvragen van standaarden door overheidspartijen over de verschillende inhoudelijke domeinen? Omwille van de betrouwbaarheid van de cijfers zijn in Tabel 1 ook de vijfjaargemiddelden opgenomen, waarmee inzicht wordt gegeven in de ontwikkeling door de jaren heen.

	2024	2024	2020-2024	2020-2024	2020-2024
Domein	Relevant (absoluut)	Percentage uitgevraagd	Relevant (absoluut)	Percentage Uitgevraagd	Aandeel relevant in totaal relevant
Veilig internet	669	48%	2971	49%	75%
Openbaar en toegankelijk	157	55%	540	59%	14%
Economie en werk	42	88%	85	72%	2%
Uitwisselingsfundament	89	47%	323	54%	8%
Schoon water en beschermde bodem	3	33%	5	60%	0%
Bouwen en wonen	2	50%	5	40%	0%
Bestuur en recht	0	-	4	25%	0%
Onderwijs en cultuur	1	0%	8	25%	0%
Eindtotaal	963	51%	3941	51%	100, %

Tabel 1: uitgevraagde versus relevante standaarden bij aanbestedingen (procentueel), uitgesplitst naar domein. Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Over de open standaarden die zijn uitgevraagd binnen de betreffende inhoudelijke domeinen is het beeld relatief stabiel en schommelt het overall-percentage in de afgelopen vijf jaar telkens rond de vijftig procent.

Figuur 3: relevantie van open standaarden bij aanbestedingen naar domein (2024, procentueel, aantal). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

In figuur 3 komt tot uiting dat het de open standaarden die vallen onder veilig internet, verreweg het vaakst relevant zijn bij aanbestedingen (669 keer in 2024). Bijna zeventig procent van de relevant geachte standaarden vallen in dit domein en dat heeft daarom een forse impact op het totaal en het gemiddelde. Dat is op zich logisch want het merendeel van de standaarden van het Forum zijn in dit domein opgenomen en in de aanbestedingen die we onderzochten zien we door de tijd steeds meer nadruk op clouddiensten en ingewikkelde webapplicaties, waarbij internetveiligheid de boventoon voert. Verder zien we een relatief klein aandeel van standaarden binnen de domeinen schoon water en beschermde bodem, bouwen en wonen, bestuur en recht en onderwijs en cultuur. ICT-aanbestedingen in deze domeinen worden relatief weinig uitgeschreven ten opzichte van de andere domeinen. In de Monitor Open Standaarden onderzoeken we alleen overheidsaanbestedingen met CPV-codes voor ICT-producten en ICT-diensten. Er worden door overheden op allerlei aanpalende gebieden aanbestedingen gedaan, bijvoorbeeld op het terrein van bouw en onderwijs. In dat soort aanbestedingen zitten ook regelmatig ICT-componenten, waarop open standaarden van toepassing zouden kunnen zijn. Het zou interessant zijn om een keer onderzoek te doen naar de toepassing van open standaarden in aanbestedingen op andere terreinen.

Het beeld van het domein economie is wat grilliger. Daarbij dient te worden opgemerkt dat de standaarden binnen dit domein ook relatief ondervertegenwoordigd zijn in de onderzochte standaarden. Dat geldt overigens voor alle domeinen, met uitzondering van het domein Veilig Internet; de standaarden in dit domein zijn ruim oververtegenwoordigd in de lijst van het Forum voor Standaardisatie.

Hoe vaak relevant en hoe vaak daadwerkelijk uitgevraagd?

In de onderstaande grafiek (figuur 4) wordt door middel van de staafjes getoond hoe vaak open standaarden relevant waren (licht paars) en hoe vaak ze daadwerkelijk uitgevraagd werden (de lichtblauwe staafjes). De blauwe stippen in de figuur laten bovendien per standaard het uitvraagpercentage zien. De open standaarden zijn geordend aan de hand van dit uitvraagpercentage: links de standaarden die het vaakst uitgevraagd worden, rechts de open standaarden die het minst frequent uitgevraagd worden. In de figuur zijn niet alle open standaarden opgenomen, de ondergrens voor opname was dat de standaard in 2024 minimaal 15 keer relevant werd geacht.

Figuur 4: Relevant (>15x), uitgevraagd en uitvraagpercentage per open standaard (2024). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Top vijf : zowel vaak relevante als vaak uitgevraagde standaarden

Welke standaarden zijn relatief vaak relevant en kennen een hoog uitvraagpercentage in de onderzochte aanbestedingen in 2024? In figuur 5 is af te lezen welke standaarden dat zijn.

Figuur 5: Top 5 standaarden: relevant (>15x), uitgevraagd en uitvraagpercentage en hoogste percentage uitgevraagd (2024). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

ISO 27001 en 27002 waren in 2024 zowel het vaakst relevant en als het meest uitgevraagd (hitrate), gevolgd door PDF, NLCIUS en Ades. Kijken we wat verder terug, dan is het beeld van de meest gevraagde en zowel relevante standaarden over de afgelopen vijf jaar als volgt (figuur 6).

Figuur 6: Relevant (>50x), uitgevraagd en uitvraagpercentage per open standaard (gemiddeld 2020-2024). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

StUF en NLCIUS kennen de relatief hoogste ‘hitrate’: in achtereenvolgens 89 en 86 procent in de afgelopen vijf jaar. In termen van aantal keer relevant geldt dat beide standaarden in de onderzochte aanbestedingen in ongeveer vijftien procent van de aanbestedingen gewenst zijn geweest. ISO 27001/27002, TLS, HTTPS, IPv4 en IPv6 zijn in absolute aantallen ook vaak relevant. Verder zien we in deze grafiek een driedeling:

Standaarden die vaak relevant zijn en veel worden uitgevraagd: ISO 27001 en 27002 en PDF;
Standaarden die vaak relevant en gemiddeld worden uitgevraagd in ongeveer de helft van de gevallen: Digitoegankelijk, TLS, HTTPS, HSTS en Authenticatie (OpenID.NLGov en SAML);
En tot slot standaarden die vaak relevant zijn en relatief weinig worden uitgevraagd: DNSSEC, SPF, DKIM, IPv4 en IPv6, DMARC, STARTTLS en Dane.

Beide ISO-standaarden worden zeer vaak uitgevraagd (ieder meer dan 300 keer in de afgelopen 5 jaar, zie ook figuur 6). Een deel van de verklaring daarvoor is dat ze opgenomen zijn in de Baseline Informatiebeveiliging Overheid (BIO) waarin het basisniveau voor informatiebeveiliging voor de overheid is beschreven. De BIO geniet brede bekendheid. En als in de aanbesteding gevraagd wordt om te voldoen aan de BIO worden deze standaarden als uitgevraagd beschouwd. Een andere verklaring is dat ISO 27001 en 27002 relevant zijn om aan te tonen dat men voldoet aan wetgeving zoals de AVG. Voor PDF geldt dat deze afkorting inmiddels dusdanig ingeburgerd is dat die ook als synoniem is gaan gelden voor een onbewerkbare gestolde versie van een document.

Voor de standaarden in de tweede categorie geldt dat ze al vrij lang relatief goed onder de aandacht gebracht worden. Dat geldt bijvoorbeeld voor Digitoegankelijk en voor TLS, HTTPS en HSTS (die sterkt aan elkaar gerelateerd zijn en alle drie als gevraagd worden beschouwd als één van de drie gevraagd wordt). Bovendien speelt mee dat Digitoegankelijk, HTTPS en HSTS wettelijk verplicht zijn. Dat ze in sommige gevallen ontbreken komt mogelijk doordat ze van toepassing zijn als in een aanbesteding mede gevraagd wordt om webfunctionaliteit. In sommige gevallen bestaat deze gevraagde webfunctionaliteit uit de vraag naar een beheer- en/of ondersteuningsportaal. Vaak is dit portaal slecht een bijzaak in het grotere geheel van de aanbesteding, en daarmee lijkt het erop dat de relevante standaarden voor het portaal over het hoofd gezien worden.

Iets vergelijkbaars geldt waarschijnlijk voor het feit dat de standaarden in de derde categorie relatief weinig uitgevraagd worden. Ook geldt dat deze standaarden (ook) relevant zijn als sprake is van webfunctionaliteit, en dat dit niet altijd wordt meegenomen als slechts sprake is van bijvoorbeeld beheer- en/of ondersteuningsportaal, en dit geen onderdeel uitmaakt van het primaire doel van de aanbesteding. Bovendien zijn deze standaarden niet wettelijk verplicht.

Categorie die aandacht verdient: relevante en vaak niet-uitgevraagde standaarden

Welke standaarden zijn relatief vaak relevant en kennen een laag uitvraagpercentage in de onderzochte aanbestedingen in 2024? In figuur 7 zijn de vijf standaarden met de laagste uitvraagpercentages opgenomen.

Figuur 7: Relevant (>15x), uitgevraagd en uitvraagpercentage en laagste percentage uitgevraagd (2024). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Security.txt is in veel gevallen een relevante standaard, maar wordt in slechts veertien procent meegenomen in de uitvraag bij de onderzochte aanbestedingen in 2024. Hierbij de kanttekening dat deze standaard pas sinds anderhalf jaar verplicht is. Voor ODF is dit in vijftien procent het geval. Zowel de standaarden IPv4 en IPv6 (31%) , STARTTLS en DANE (23%) en NL GOV/OAuth (21%) scoren laag in 2024. Opvallend is dat deze standaarden zich allen bevinden in het domein veilig internet, met uitzondering van ODF.

Kijken we ook hier wat verder terug, dan is de ontwikkeling van de minst uitgevraagde ten opzichte van relevante standaarden over de afgelopen jaren als volgt (figuur 8).

Figuur 8: Relevant (>15x), uitgevraagd en uitvraagpercentage en laagste percentage uitgevraagd (2020-2024). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Vaak relevant en weinig uitgevraagd waren de standaarden STARTTL en DANE, REST-API (design rules), NLGOV/OAuth en ODF en RPKI.

Samenvattende conclusie: geen groei in uitvraag relevante standaarden

Kijken we naar het toepassen van open standaarden bij aanbestedingen over de afgelopen jaren, dan kan geconcludeerd worden dat er geen groei is waar te nemen. Al jaren ligt het percentage uitgevraagde versus relevante standaarden rond de vijftig procent. Ook als we inzoomen naar de onderzochte bestuurslagen, ontlopen de percentages elkaar niet of nauwelijks. Hetzelfde beeld geldt voor de verschillende domeinen. Het verzadigingspunt lijkt daarmee bereikt: de helft van de relevante open standaarden wordt uitgevraagd bij de onderzochte aanbestedingen. Verreweg het grootste aandeel van de relevante standaarden speelt in het domein veilig internet (driekwart). Er zijn standaarden die eruit springen en goed scoren: ISO 27001 en 27002, PDF, NLCIUS en Ades. Deze scoren waarschijnlijk vooral goed omdat ze ook in andere zaken zijn meegenomen, waaronder de BIO en standaard aanbestedingsteksten. Er zijn tot slot ook standaarden die in veel aanbestedingen relevant zijn, maar niet worden uitgevraagd. De meest frequente zijn: ODF, IPv4 en IPv6, STARTTLS en DANE en NL GOV/OAuth.

2. Toepassing van standaarden bij aanbestedingen in 2024

Ook dit jaar hebben we – net als voorgaande jaren – weer aanbestedingen beoordeeld. In totaal achtenzestig: de helft rijksoverheden (34 departementen en rijksuitvoeringsorganisaties) en de andere helft medeoverheden (34 gemeenten, provincies, waterschappen en samenwerkingsverbanden). We trokken een aselecte steekproef van aanbestedingen die in 2024 gepubliceerd werden op het aanbestedingsplatform Tenderned. Een team van inhoudelijke experts beoordeelde vervolgens de kwaliteit van de aanbestedingen. In het bijzonder keken ze naar het feit of relevante open standaarden in de aanbesteding (op de juiste wijze) werden uitgevraagd. Kortom, welke open standaarden hadden er volgens de experts gevraagd moeten worden, en welke daarvan zijn in de praktijk daadwerkelijk uitgevraagd? De beoordelaars hebben de volgende categorieën bij hun oordeel toegepast:

'perfect’ (alle relevante standaarden zijn gevraagd)
‘op weg naar perfect’ (aanbestedingen waarbij om 67% tot 99% van de relevante standaarden gevraagd is);
‘de middenmoot’ (met uitvraag-scores van 34% - 66%);
‘nog een heel eind te gaan’ (met uitvraag-scores van 1% - 33%);
‘onvoldoende (geen van de relevante standaarden is gevraagd).

Aanbestedingen 2024

Over het jaar 2024 leidt dit tot het volgende beeld (figuur 9), waarbij de beoordelingen van 2024 staan samengevat, uitgesplitst naar bestuurslaag.

Figuur 9: beoordelingen van de aanbestedingen in 2024, uitgesplitst naar bestuurslaag (absoluut). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

In figuur 9 met oordelen over aanbestedingen is uiteengezet hoe in de onderzochte aanbestedingen in 2024 de toepassing van open standaarden is uitgevallen. Van de onderzochte aanbestedingen uit 2024, hebben de experts er in totaal zeven als ‘perfect’ beoordeeld. Dat wil zeggen dat alle relevante standaarden in deze aanbestedingen daadwerkelijk zijn uitgevraagd, dat is 'pas toe' in strikte zin.

Dit waren vijf aanbestedingen vallend in de categorie rijksoverheid: Rijkswaterstaat, Belastingdienst, Rijksdienst voor het Wegverkeer (tweemaal), Stichting ICTU en Logius. Verder is één van de zeven perfect-scores toegekend aan een van de beoordeelde medeoverheden, te weten de Provincie Noord-Brabant. Daarnaast werd bij 62 aanbestedingen (90%; vorig jaar 83%) gevraagd om een deel van de voor die aanbesteding relevante standaarden (‘op de goede weg’). Bij één aanbesteding waren wel standaarden relevant, maar werd om geen enkele gevraagd en was in de aanbestedingsdocumenten in het geheel geen aandacht voor open standaardenbeleid terug te vinden (‘slecht’). Vorig jaar bedroeg dit aantal nog vijf.

Verwijzing in de helft van de gevallen

Tot slot nog een laatste inzicht in de kwaliteit van de aanbestedingen. In iets meer dan de helft van de onderzochte aanbestedingen in 2024 (figuur 10) werd er in algemene zin verwezen naar het open standaardenbeleid of de Pas toe of Leg Uit-lijst van het Forum Standaardisatie. Een dergelijke verwijzing dient als vangnet voor het geval men vergeten heeft om relevante standaarden expliciet uit te vragen. Hieruit moeten we ook concluderen dat in iets minder dan de helft van de onderzochte aanbestedingen dit vangnet niet aanwezig is.

Figuur 10: Verwijzing naar open standaardenbeleid of PTOLU of in aanbestedingen (2024). Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Casuïstiek: (bijna) perfecte aanbestedingen

Ook dit jaar brengen we weer enkele goede voorbeelden van aanbestedingen voor het voetlicht. Bij de keuze van de volgende voorbeelden is het oordeel ‘perfect’ niet leidend geweest, sommige aanbestedingen scoren ‘perfect’ waarbij er slechts een paar standaarden relevant waren, terwijl er ook complexe aanbestedingen zijn bestudeerd die bijna perfect scoorden.

Rijkswaterstaat: Water, Verkeer en Leefomgeving

Deze opdracht heeft als doel een samenwerking vorm te geven (‘Samenwerking SMP’), om uitvoering te geven aan het Programma Strategische Modelvernieuwing Personenvervoer (SMP) in de periode 2025-2028. Deze samenwerking is onderdeel van een bredere samenwerking (alliantie) tussen overheid, markt en kennisinstituten zoals TNO en universiteiten.
De volgende acht standaarden zijn relevant en allemaal uitgevraagd: NEN-ISO/IEC 2700, NEN-ISO/IEC 27002, Digitoegankelijk (EN 301 549 met WCAG 2.1), ODF,
PDF (NEN-ISO), Digikoppeling, Geo-Standaarden en NLCIUS

Belastingdienst

Het betreft hier een opdracht rond diensten voor digitale toegankelijkheid waaronder: audits (volledig onderzoek, content onderzoek en hercontroles), standaard opleidingen en consultancy. Het geprognotiseerde aantal audits ligt tussen de 65-80 per jaar. De volgende onderverdeling is te maken: 30 tot 40 volledige onderzoeken websites/webapplicaties (techniek en content); 15 tot 20 content onderzoeken websites/webapplicaties en circa 20 hercontroles. De opdrachtgever wil op verzoek ook opleidingen bij de opdrachtnemer kunnen afnemen.
De volgende drie standaarden zijn relevant en uitgevraagd: PDF (NEN-ISO), Digitoegankelijk (EN 301 549 met WCAG 2.1) en NLCIUS.

Rijksdienst voor het wegverkeer (RDW)

Deze opdracht betreft het (door)ontwikkelen van de pilot-versie van de EUDI-wallet (LSP-project). RDW heeft zich de afgelopen jaren voorbereid op de komst van mobiele documenten, in het bijzonder het mobiele rijbewijs (mobile driving license). Het gaat hier om een volledig digitale verschijningsvorm van het rijbewijs.
De volgende vijf standaarden zijn zowel relevant als uitgevraagd: Authenticatie-standaarden (OpenID.NLGov en SAML), NEN-ISO/IEC 27001, NEN-ISO/IEC 27002, Ades Baseline Profiles en NLCIUS.

Ministerie van Binnenlandse Zaken, Logius

Deze opdracht is bedoeld om te voorzien in de gewenste effectieve en efficiënte diensten voor taxonomie ontwikkeling, het beheer van ontwikkelde en reeds bestaande taxonomieën en het beschikbaar stellen van XBRL
De volgende twee standaarden zijn zowel relevant als uitgevraagd waarmee een score van 100 procent is gerealiseerd: NLCIUS en XBRL.

Stichting ICTU

Hier draait het om de toetsing van software en softwarebroncode. De levering van diensten in relatie tot beveiligingsaudits, pentesten en onderhoudbaarheidsaudits.
NEN-ISO/IEC 27001, NEN-ISO/IEC 27002, PDF (NEN-ISO) en NLCIUS waren hier relevante standaarden en tevens allen uitgevraagd, hetgeen leidde tot een score van 100 procent.

Ministerie van Infrastructuur en Waterstaat

Werkbezoekapplicatie is een interne applicatie voor de Directies Communicatie van het ministerie van Infrastructuur en Waterstaat (IenW), het ministerie van Volksgezondheid, Welzijn en Sport (VWS) en, na gunning, het ministerie van Sociale Zaken en Werkgelegenheid (SZW), voor het ontvangen, verwerken en weergeven van uitnodigingen voor werkbezoeken van de ministers en staatssecretarissen. De overeenkomst met de huidige applicatiebeheerder expireert op 29 juli 2024. De aanbestedende dienst heeft als doel het afsluiten van één overeenkomst met één opdrachtnemer op het gebied van het beheer en de doorontwikkeling van werkbezoekapplicaties.
Het betreft hier een complexe aanbesteding, waar maar liefst vijftien standaarden relevant waren, waarvan veertien uitgevraagd. Geen perfecte score, maar wel bijna.

Rijksdienst voor het wegverkeer (RDW)

Deze opdracht betreft een aanvraag naar de volgende diensten: het in beheer nemen van de huidige RDW-apps; het beheren van deze apps, inclusief het uitvoeren van onderhoud, het oplossen van verstoringen en het doorvoeren van wijzigingen.
De volgende vier standaarden zijn zowel relevant als uitgevraagd: NEN-ISO/IEC 27001, NEN-ISO/IEC 27002, Digitoegankelijk (EN 301 549 met WCAG 2.1) en NLCIUS.

Gemeente Sittard-Geleen

Het doel van de aanbesteding is het op een rechtmatige en doelmatige manier aanbesteden van een overeenkomst met één leverancier die verantwoordelijk is voor de levering en het onderhoud van een kwalitatief goed leerlingvolgsysteem en optioneel leerlingenvervoer en de daarbij gevraagde dienstverlening en ontwikkeling.
Ook hier net geen perfecte score, maar het betrof zeventien relevante standaarden waarvan er zestien zijn uitgevraagd.

Gemeente Amsterdam

De Gemeente Amsterdam wil een nieuwe overeenkomst voor de verwerking van Pin- en Onlinebetalingsverkeer in werking laten treden middels een Europese openbare Aanbesteding.
Tevens zien we hier een complexe aanbesteding, met twaalf relevante standaarden waarbij alleen de relevante standaard NL GOV Assurance profile for OAuth 2.0 niet is uitgevraagd (score 92 procent).

Provincie Noord-Brabant

De Provincie Noord-Brabant zocht een opdrachtnemer die een team beschikbaar stelt voor de werkzaamheden ten behoeve van het Klimaatportaal Brabant. De opdracht bestond uit de volgende (hoofd)onderdelen: beheer, ontwikkeling en onderhoud van het kennisportaal; helpdeskwerkzaamheden en advisering.
Drie standaarden waren relevant, die allen zijn uitgevraagd (score 100 procent): NEN-ISO/IEC 2700, NEN-ISO/IEC 27002 en Digitoegankelijk (EN 301 549 met WCAG 2.1).

Bevindingen door de jaren heen

We keken terug en vergeleken de cijfers van 2024 met die van de zes edities daarvoor. Deze staan in de onderstaande grafiek (figuur 11) afgebeeld.

Figuur 11: beoordeling aanbestedingen 2018-2024. Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Cumulatief scoorden de bestudeerde aanbestedingen in 2024 iets beter dan in de voorgaande drie jaar, als we kijken naar de oordelen ‘perfect’ en ‘op weg naar perfect’. Op één outlier na (2020) zien we dat het aandeel ‘perfect’ en ‘op weg naar perfect’ in de afgelopen zeven jaren duidelijk toeneemt.

Verder zien we dat de middengroep (‘op de goede weg’) in de afgelopen jaren kleiner wordt, omdat ‘perfect’ en ‘op weg naar perfect’ groeit en omdat de categorie ‘nog een heel eind te gaan’ is toegenomen. De categorie ‘onvoldoende’ neemt in diezelfde periode duidelijk af.

Figuur 12: aantal relevante standaarden per aanbesteding (2013-2024). (Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

De bovenste blauwe lijn hebben we al eerder laten zien in deze rapportage. Hier wordt de ontwikkeling van het aantal relevant geachte standaarden per aanbesteding inzichtelijk (gemiddeld 14,2 per aanbesteding in 2024) en de stijging die zich daar van jaar op jaar in voordoet. Kortom, naarmate de tijd vordert neemt het aantal relevant geachte standaarden per aanbesteding duidelijk toe. Er is een toename van standaarden in de lijst van het Forum Standaardisatie. Daarnaast zien we bij de onderzochte aanbestedingen dat er steeds vaker sprake is van het gebruik van clouddiensten en webtechnologie, waardoor de veilig internet standaarden steeds vaker relevant zijn.

Samenvattende conclusie

Het aantal ‘perfecte’ aanbestedingen was in 2024 wederom vrij beperkt. Slechts zeven van de 68 onderzochte aanbestedingen scoorden ‘perfect’ Zes daarvan waren van rijksoverheden, één van een medeoverheid. Er is een grote middencategorie: ‘op de goede weg’, 62 aanbestedingen (90%) vroegen om een deel van de relevante standaarden. In slechts één aanbesteding werd geen enkele relevante standaard uitgevraagd. Dit is een verbetering t.o.v. vorige jaren (waar dit er steeds vijf waren). In bijna de helft van de aanbestedingen wordt niet verwezen naar het beleid rond open standaarden of de ‘pas toe of leg uit’-lijst. Het aantal relevante standaarden per aanbesteding neemt al jarenlang toe. Het gemiddelde aantal relevant geachte standaarden per aanbesteding is gestegen naar ruim veertien in 2024 – het hoogste aantal ooit gemeten. Goede voorbeelden uit o.a. Rijkswaterstaat, Belastingdienst, RDW, ICTU en gemeenten als Amsterdam en Sittard-Geleen laten zien dat het mogelijk is om complexe aanbestedingen bijna perfect te scoren, mits er expliciete aandacht is voor standaarden in de documenten.

3. "Leg uit” bij aanbestedingen (kwalitatief)

‘Leg uit’ voor aanbestedingen uit 2024: de formele route

In de laatste kolom van tabel 2 is te zien dat van de aanbestedingen die in de afgelopen vijf jaar werden onderzocht, er 31 de kwalificatie perfect kregen. Dat betekent dat alle relevante open standaarden werden uitgevraagd. Alle overige aanbestedingen – 283 in de afgelopen 5 jaar – voldeden niet aan het open standaardenbeleid en daarover zou dus eigenlijk in de jaarverslagen van de betreffende organisaties uitleg moeten volgen over de afwijking van de verplichting om relevante open standaarden toe te passen. Dat geldt dus voor 90 procent van de aanbestedingen die in de afgelopen jaren werden bestudeerd.

	Rijk	Mede- overheden	Totaal
Perfect	24	7	31
Leg uit verplicht: aantal aanbestedingen	131	152	283
Leg uit verplicht: aandeel van het totaal	85%	96%	90%

Rijk

Mede-

overheden

Totaal

Perfect

Leg uit verplicht: aantal aanbestedingen

131

152

283

Leg uit verplicht: aandeel van het totaal

85%

96%

90%

Tabel 2. Leg uit-verplichting naar bestuurslaag (gemiddeld, 2020-2024). Bron: Onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Er is naar de jaarverslagen van alle twaalf ministeries gekeken, hoewel strikt genomen alleen de volgende tien departementen onderwerp van onderzoek zijn in 2024: Binnenlandse Zaken en Koninkrijksrelaties, Financiën, Infrastructuur en Waterstaat, Justitie en Veiligheid, Volksgezondheid, Welzijn en Sport, Buitenlandse Zaken, Defensie, Sociale Zaken en Werkgelegenheid, Economische Zaken en Klimaat en tot slot Onderwijs, Cultuur en Wetenschap. Van deze tien departementen zijn namelijk aanbestedingen beoordeeld uit 2024, met een beoordeling die noodzaakt tot 'leg uit'.

Het overall-beeld voor 'Leg uit' door de 12 departementen is als volgt:

Open standaarden worden volgens de departementen breed toegepast, vrijwel alle ministeries bevestigen in hun jaarverslag naleving van het 'Pas toe of leg uit'-beleid.
Echter, uitleg (‘leg uit’) ontbreekt vrijwel overal, zelfs in gevallen waarin op basis van omvangrijke ICT-projecten (bijv. BZK, BuZa, JenV) afwijkingen voorstelbaar zijn.
Open source wordt nauwelijks benoemd, met uitzondering van BZK en BuZa. Concrete projecten of implementatievoorbeelden ontbreken overal.
Ondanks de beleidsverplichting ontbreekt de verantwoording over de praktijk van aanbestedingen.

In onderstaand overzicht zijn de bevindingen samengebracht.

A. Leg uit’ is voor één of meer aanbestedingen noodzakelijk

Ministerie	Uitvoering ‘leg uit’
BZK	BZK bevestigt dat het gebruik van open standaarden verplicht is bij ICT-aanbestedingen, in overeenstemming met het 'Pas toe of leg uit'-beleid. Het ministerie stimuleert de toepassing van open standaarden binnen de hele rijksdienst. Er wordt géén specifieke toelichting gegeven op afwijkingen van dit beleid (‘leg uit’), noch op concrete aanbestedingen waarbij afwijking speelde. BZK vervult een actieve rol als beleidsverantwoordelijke voor het stimuleren van zowel open standaarden als open source binnen de rijksoverheid. Toch blijft ook hier de verantwoording over afwijkingen ('leg uit') beperkt tot een algemene bevestiging van het beleid, zonder concrete voorbeelden of casussen uit 2024. (Bron: Jaarverslag van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2024)
Buza	Open source – open standaarden ICT-projecten De instructie rĳksdienst inzake open standaarden en open source wordt over het algemeen gevolgd, maar is nog niet bĳ alle relevante inkoop- of verwervingsprocessen onderdeel van de standaard werkwĳze. In de in het eerste kwartaal van 2025 vast te stellen Sourcingstrategie BZ zal deze instructie worden verwerkt. Met de implementatie van de Sourcingstrategie zal naleving van de instructie naar verwachting verder worden geborgd. (Bron: Jaarverslag van het Ministerie van Buitenlandse Zaken, 2024)
EZK	EZK meldt dat het in 2024 volledig conform het 'Pas toe of leg uit'-beleid heeft gehandeld zonder afwijkingen, maar verstrekt geen nadere onderbouwing of casuïstiek (Bron: Jaarverslag van het Ministerie van Economische Zaken, 2024).
Fin	Het ministerie meldt dat het bij de aanschaf van ICT-diensten of -producten handelt in overeenstemming met het 'Pas toe of leg uit'-beleid van Forum Standaardisatie. Er wordt expliciet aangegeven dat in 2024 geen nieuwe ICT-diensten of -producten zijn aangeschaft waarbij is afgeweken van de verplichte open standaarden . Hiermee conformeert het ministerie zich formeel aan de beleidsverplichting, maar het verslag bevat verder geen inhoudelijke toelichting op hoe deze standaarden zijn toegepast in specifieke projecten of aanbestedingen (Bron: Jaarverslag van het Ministerie van Financiën, 2024).
I&W	Het Ministerie van Infrastructuur en Waterstaat geeft aan volledig te voldoen aan het 'Pas toe of leg uit'-beleid voor open standaarden, zonder afwijkingen in 2024. Er is echter geen aanvullende toelichting op de praktijk of specifieke ICT-projecten. In het verslag staat expliciet dat er in 2024 geen sprake was van afwijking van de voorgeschreven open standaarden (Bron: Jaarverslag van het Ministerie van Infrastructuur en Waterstaat, 2024).

OCW	OCW verklaart dat het ministerie bij de aanschaf van ICT-diensten of -producten handelt volgens de richtlijnen van het 'Pas toe of leg uit'-beleid van Forum Standaardisatie. Er wordt gesteld dat er in 2024 niet is afgeweken van de lijst met open standaarden, wat impliceert dat alle ICT-aanbestedingen conform beleid zijn uitgevoerd. (Bron: Jaarverslag van het Ministerie van OCW, 2024)
VWS	VWS bevestigt in het verslag dat het in 2024 volledig heeft voldaan aan het 'Pas toe of leg uit'-beleid zonder afwijkingen. De toelichting is summier en bevat geen praktijkvoorbeelden. Er is geen verdere toelichting opgenomen over concrete standaarden of aanbestedingen, noch over de aard van de implementatie (Bron: Jaarverslag van het Ministerie van VWS, 2024)
DEF	Het ministerie stelt expliciet dat in 2024 is gehandeld in overeenstemming met het 'Pas toe of leg uit'-beleid bij de aanschaf van ICT-diensten en -producten. Er wordt ook vermeld dat niet is afgeweken van het gebruik van de open standaarden die verplicht zijn gesteld op basis van deze lijst. Er is geen verdere toelichting op specifieke aanbestedingen of standaarden, en ook geen vermelding van eventuele afwijkingen die een uitleg ('leg uit') zouden vereisen (Bron: Jaarverslag van het Ministerie van Defensie, 2024)
J&V	Het ministerie geeft aan dat het zich houdt aan de verplichtingen van het 'Pas toe of leg uit'-beleid bij ICT-aanbestedingen. Dit houdt in dat bij het verwerven van nieuwe ICT-diensten of -producten gebruik wordt gemaakt van open standaarden die op de lijst van het Forum Standaardisatie staan, tenzij dit om zwaarwegende redenen niet mogelijk is. In het verslag wordt géén specifieke toelichting gegeven op gevallen waarin is afgeweken van dit beleid ('leg uit'), noch wordt aangegeven hoeveel aanbestedingen zijn uitgevoerd en of daaruit afwijkingen zijn voortgekomen (Bron: Jaarverslag van het Ministerie van Justitie en Veiligheid, 2024)
SZW	Het ministerie van SZW meldt formele naleving van het ‘Pas toe of leg uit’-beleid, zonder afwijkingen in 2024. Het verslag bevat echter geen inhoudelijke toelichting op aanbestedingen of toegepaste standaarden. Specifiek wordt gemeld dat in 2024 niet is afgeweken van de verplichte open standaarden (Bron: Jaarverslag van het Ministerie van SZW, 2024)

B. Geen aanbestedingen beoordeeld waarvoor ‘Leg uit’ noodzakelijk is

Ministerie	Uitvoering ‘leg uit’
AZ	Gebruik open standaarden en open source software. Er zĳn geen bĳzonderheden te melden (Bron: Jaarverslag van het Ministerie van Algemene Zaken, 2024)
LNV	In het Jaarverslag van het Ministerie van Landbouw, Natuur en Voedselkwaliteit (LNV) 2024 worden open standaarden en het 'Pas toe of leg uit'-beleid beknopt genoemd. Het ministerie verklaart dat het in 2024 bij ICT-aanbestedingen heeft gehandeld conform het 'Pas toe of leg uit'-beleid van het Forum Standaardisatie. Er wordt verder vermeld dat er geen afwijkingen zijn geweest van de voorgeschreven open standaarden. Er worden geen specifieke voorbeelden, aanbestedingen of toegepaste standaarden besproken (Bron: Jaarverslag van het Ministerie van Landbouw, Natuur en Voedselkwaliteit, 2024).

Ministerie

Uitvoering ‘leg uit’

Gebruik open standaarden en open source software. Er zĳn geen bĳzonderheden te melden (Bron: Jaarverslag van het Ministerie van Algemene Zaken, 2024)

LNV

In het Jaarverslag van het Ministerie van Landbouw, Natuur en Voedselkwaliteit (LNV) 2024 worden open standaarden en het 'Pas toe of leg uit'-beleid beknopt genoemd. Het ministerie verklaart dat het in 2024 bij ICT-aanbestedingen heeft gehandeld conform het 'Pas toe of leg uit'-beleid van het Forum Standaardisatie. Er wordt verder vermeld dat er geen afwijkingen zijn geweest van de voorgeschreven open standaarden. Er worden geen specifieke voorbeelden, aanbestedingen of toegepaste standaarden besproken (Bron: Jaarverslag van het Ministerie van Landbouw, Natuur en Voedselkwaliteit, 2024).

Overall-beeld

In de verantwoordingsrapportages van ministeries over het jaar 2025 wordt het gebruik van open standaarden behandeld in het kader van het ‘Pas toe of leg uit’-beleid. Dit beleid - dat sinds 2009 van kracht is - verplicht overheden om bij de aanschaf van ICT-diensten en -producten de open standaarden toe te passen die door het Forum Standaardisatie op de lijst zijn geplaatst. Alleen wanneer toepassing niet haalbaar, veilig of doelmatig is, mogen overheden hiervan afwijken, mits deze afwijking expliciet wordt gemotiveerd in de bedrijfsvoeringsparagraaf van het jaarverslag.

Uit de rapportages (over 2024) blijkt dat het 'Leg uit'-deel van het beleid niet werkte zoals bedoeld; bij vrijwel alle onderzochte departementen ontbrak de verplichte verantwoording over aanbestedingen geheel of grotendeels.

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) stelt in zijn bedrijfsvoering dat het de instructies voor de rijksdienst volgt bij ICT-inkoop en actief het gebruik van open source software en open standaarden bevordert. Ook het Ministerie van Financiën rapporteert dat er geen afwijkingen zijn geweest bij nieuwe ICT-aanbestedingen met betrekking tot de voorgeschreven standaarden. Dit wijst op toepassing van het beleid, al blijft de rapportage hierover veelal summier en vaak zonder concrete onderbouwing van individuele aanbestedingen.

Wat betreft de implementatie van specifieke standaarden zijn er duidelijke patronen zichtbaar. Standaarden zoals HTTPS en HSTS (voor veilige webcommunicatie), PDF/A en PDF (voor duurzame documentopslag), SPF, DKIM en DMARC (voor e-mailbeveiliging), en DNSSEC (voor domeinnaambeveiliging), worden in de meeste gevallen genoemd als toegepast. Daarnaast worden domeinspecifieke standaarden zoals Digikoppeling (voor gegevensuitwisseling tussen overheden) en StUF (voor gemeentelijke gegevensuitwisseling) regelmatig toegepast, vooral bij keteninformatisering en koppelingen met basisregistraties.

Toch is er ook sprake van structurele verbeterpunten. De cijfers uit de Monitor Open Standaarden door de jaren heen suggereren dat de daadwerkelijke naleving van het beleid in de praktijk achterblijft bij de formele verantwoording daarover in jaarverslagen. Daarbij komt dat afwijkingen ('leg uit') niet expliciet worden benoemd of inhoudelijk gemotiveerd, wat duidt op een tekortschietende verantwoording en beperkte controleerbaarheid van de beleidsuitvoering.

Kortom, hoewel ministeries volgens de jaarverslagen voldoen aan het 'Pas toe of leg uit'-beleid, blijft de praktische toepassing van open standaarden bij ICT-aanbestedingen divers. De beperkte motivering van afwijkingen en de ontbrekende verantwoording per aanbesteding bemoeilijken toezicht op naleving. Voor een effectievere borging van interoperabiliteit, leveranciersonafhankelijkheid en transparantie in de digitale overheid is het wenselijk dat ministeries explicieter en inhoudelijker rapporteren over het gebruik en de toepassing van open standaarden.

Hoor en wederhoor: de informele route

De oordelen van de experts over de 68 bestudeerde aanbestedingen zijn voorgelegd aan de aanbestedende diensten. Hieronder een korte weergave van de reacties.

Een Rijksdienst

Een Rijksdienst uitte frustratie over het feit dat het oordeel over de aanbesteding komt ná afronding van de aanbesteding, waardoor het geen ruimte biedt voor aanpassingen. De dienst noemt dit “mosterd na de maaltijd”.

De organisatie geeft aan de hulpmiddelen van Forum Standaardisatie (zoals de PTOLU-lijst, beslisboom en handreiking) niet te kennen. De organisatie vindt het dan ook onredelijk om op onbekende criteria beoordeeld te worden.

De reactie vanuit ICTU legt uit dat:

De Monitor Open Standaarden geen invloed heeft op lopende aanbestedingen, maar bedoeld is voor stimulering en bewustwording.
Het Forum beoordeelt achteraf op de expliciete uitvraag van standaarden in aanbestedingsstukken, zoals vastgelegd in hun FAQ.
Het oordeel moet worden gezien als een leerinstrument voor toekomstige aanbestedingen.

Het zou volgens de betreffende organisatie veel beter zijn als het Forum tijdens een lopende aanbesteding al hulp biedt, zoals een documentcheck van aanbestedingsstukken. Dit zou het leereffect directer en praktischer maken.

De onderzochte aanbestedende dienst geeft aan dat haar team van aanbesteders graag een presentatie van het Bureau Forum Standaardisatie wil.

Een provincie

In reactie op het voorlopige oordeel over een aanbesteding voor een softwarebroker, gaf de Provincie aan dat de beoordeling naar hun mening gebaseerd was op een onjuiste interpretatie. Zij benadrukten dat het hier om een raamovereenkomst ging waarin nog géén specifieke software was geselecteerd, en dat de eisen rond REST-API’s, WCAG en BIO pas in latere nadere opdrachten gesteld zouden worden. Ook werd betoogd dat het genoemde portaal slechts intern en door één gebruiker wordt gebruikt, zonder publieke taak of externe koppelingen, en daarom buiten de scope van het open standaardenbeleid valt.

Na herbeoordeling door het expertteam is het oorspronkelijke oordeel gehandhaafd. In het Programma van Eisen werden namelijk wel degelijk expliciete eisen opgenomen over REST-API’s, digitale toegankelijkheid (WCAG) en informatiebeveiliging (BIO), waardoor deze standaarden volgens het Forum relevant zijn en getoetst moeten worden. Ook het portaal, dat toegang biedt tot actuele licentie- en financiële informatie, valt daarmee binnen de beoordelingscriteria. Het uitgangspunt blijft dat standaarden alleen meetellen als zij expliciet zijn uitgevraagd in het PvE.

Deze casus onderstreept het belang van duidelijke en expliciete formuleringen in aanbestedingsdocumenten, juist bij raamovereenkomsten waarin keuzes voor specifieke producten of diensten later plaatsvinden. Tegelijk laat het zien dat bij de aanbestedende dienst en de beoordelaars de interpretatie van het toepassingsbereik van standaarden kan verschillen en dat dit goede afstemming vergt.

Een kennisinstituut

Naar aanleiding van het voorlopige oordeel over de aanbesteding van het instituut voor de ontwikkeling van extranetten heeft het verantwoordelijke Ministerie inhoudelijk gereageerd. Voor de open standaard security.txt werd erkend dat deze ten onrechte niet in de aanbesteding was opgenomen. Het instituut voldoet hier inmiddels aan, en ook voor extranetten wordt dit nu alsnog doorgevoerd. De standaard is toegevoegd aan de interne lijst met vereisten voor toekomstige aanbestedingen.

Ten aanzien van de geo-standaarden gaf het verantwoordelijke departement aan dat deze niet van toepassing zijn op extranetten, omdat deze platforms geen geografische data verwerken of uitwisselen; dit gebeurt uitsluitend via het Data Platform van het betreffende instituut, dat wel voldoet aan de relevante standaarden.

De standaard NLCIUS (voor e-facturatie) was volgens de reactie impliciet meegenomen in de overeenkomst en de bijgevoegde aanbestedingsstukken, inclusief expliciete verwijzingen naar de officiële overheidsrichtlijnen voor e-facturering.

De wederhoor bevat heldere toelichtingen, correcties en toezeggingen en illustreert het belang van expliciete standaarduitvragen in het PvE, evenals het verschil tussen eisen in het aanbestedingsdocument en de uiteindelijke overeenkomst.

Een andere Rijksdienst

Dit oordeel betrof een raamovereenkomst over het beheer en de (door)ontwikkeling van apps. Naar aanleiding van het voorlopige oordeel op een aanbesteding van de Rijksdienst gaf de organisatie aan dat de open standaard ISO 27001 wel degelijk expliciet was uitgevraagd in het aanbestedingsdocument.

Na toetsing door de expert is dit bevestigd. Omdat ISO 27001 en ISO 27002 als één blok worden beoordeeld, is het uitvragen van ISO 27001 voldoende om voor beide standaarden het oordeel "relevant en voldoet" te krijgen. Het totaaloordeel is daarop aangepast naar 100% (‘perfect’). Deze casus toont aan dat de wederhoorfase effectief bijdraagt aan een zorgvuldige en correcte weergave in de Monitor Open Standaarden.

Een onderwijsdienst

In reactie op een voorlopige beoordeling met een score van 22% gaf het verantwoordelijke ministerie, samen de betreffende dienst, aan verrast te zijn door het lage resultaat. De aanbesteding betrof het contracteren van een beheerpartij voor maatwerksoftware. Volgens de betrokken partijen was bij de totstandkoming van de aanbesteding niet duidelijk dat open standaarden expliciet in het Programma van Eisen (PvE) moesten worden opgenomen. Zij gingen ervan uit dat implementatie van standaarden als HTTPS en HSTS pas later, tijdens de uitvoering, relevant zou zijn. Bovendien werd opgemerkt dat ICTU betrokken was bij het opstellen van de technische eisen, wat vragen opriep over consistentie in het proces.

ICTU bevestigde dat slechts 22% van de als relevant beoordeelde standaarden expliciet was uitgevraagd en dat alleen deze meetellen in de beoordeling, conform de uitgangspunten van het Forum Standaardisatie. De inhoudelijke beoordeling was dus gebaseerd op het PvE zoals dat gepubliceerd is. Deze casus onderstreept het belang van expliciete standaarduitvraag in het PvE, ook bij gefaseerde opdrachten. Daarnaast laat het zien dat aanvullende voorlichting over het moment van toepassing van standaarden zinvol blijft.

Een Waterschap

De aanbesteding van het waterschap betrof een raamovereenkomst voor de levering van IT-infrastructuurhardware. Naar aanleiding van het voorlopige oordeel gaf de aanbestedende dienst aan dat het logisch is dat nog niet alle relevante open standaarden zijn uitgevraagd, aangezien de feitelijke productselectie pas via nadere uitvragen plaatsvindt binnen de raamovereenkomst. Op basis van deze toelichting is de casus opnieuw beoordeeld in overleg met het expertteam en het Bureau Forum Standaardisatie.

Daarbij is geconcludeerd dat deze aanbesteding niet in aanmerking komt voor beoordeling binnen de Monitor Open Standaarden, omdat er nog geen concrete functionele of softwarematige eisen zijn gesteld waarop toepassing van open standaarden kan worden getoetst. Dit is in lijn met het uitgangspunt dat raamovereenkomsten waarin pas later invulling wordt gegeven aan specifieke eisen en wensen in het kader van dit onderzoek buiten beschouwing blijven, tenzij het gaat om bijvoorbeeld softwarelicenties waarbij in het hoofdcontract wel eisen zijn opgenomen.

Deze casus onderstreept het belang van het maken van een duidelijk onderscheid tussen verschillende typen raamovereenkomsten en de mate waarin zij toetsbaar zijn op de toepassing van open standaarden.

Een departement

Het betreffende Ministerie reageerde op het voorlopige oordeel dat er in een aanbesteding geen verwijzing zou zijn opgenomen naar het open standaardenbeleid van het Forum Standaardisatie. De aanbestedende dienst wees erop dat in het Programma van Eisen expliciete eisen zijn opgenomen rond meerdere open standaarden, waaronder DKIM, DMARC, SPF, STARTTLS en DANE, inclusief verwijzingen naar de bijbehorende pagina’s op de website van het Forum.

Na herbeoordeling werd erkend dat deze standaarden inderdaad correct en expliciet zijn uitgevraagd. Het oordeel is daarop aangepast naar “relevant en voldoet”. Deze casus onderstreept het belang van expliciete en traceerbare verwijzingen naar open standaarden in aanbestedingsdocumenten en laat zien hoe de wederhoorfase bijdraagt aan een zorgvuldige en evenwichtige beoordeling in de Monitor Open Standaarden.

Samenvattende conclusie

De hoor- en wederhoorfase in de Monitor Open Standaarden 2025 laat zien dat deze fase een belangrijke bijdrage kan leveren aan de zorgvuldigheid, correctheid en transparantie van het beoordelingsproces. In een aantal gevallen leidde de inhoudelijke terugkoppeling van aanbestedende diensten tot herbeoordeling of bijstelling van het oordeel. Zo werd in de casus van een Rijksdienst een aanvankelijk gemiste standaard alsnog erkend, wat resulteerde in een perfecte score. Ook een departement kreeg op basis van aanvullend bewijs een oordeel aangepast.

Tegelijkertijd laten andere casussen – zoals die van een onderwijsdienst en een provincie – zien dat er bij aanbestedende diensten nog onduidelijkheid bestaat over het moment en de wijze waarop open standaarden moeten worden uitgevraagd, met name in complexe of gefaseerde aanbestedingen. Dit bevestigt het belang van expliciete formuleringen in het Programma van Eisen (PvE) en van meer voorlichting en ondersteuning tijdens het aanbestedingsproces.

Een belangrijk signaal kwam ook van een uitvoeringsorganisatie, die pleitte voor een actiever ondersteuningsaanbod tijdens lopende aanbestedingen. Deze suggestie – bijvoorbeeld in de vorm van documentchecks of AI-toepassingen – biedt aanknopingspunten voor doorontwikkeling van het beleid en het ondersteuningsinstrumentarium.

Ten slotte onderstreept de casus van het waterschap de noodzaak van een helder onderscheid tussen raamovereenkomsten waar standaarden geëist kunnen worden en die daarom ook inhoudelijk toetsbaar zijn en raamcontracten die slechts de leveringsstructuur regelen.

De hoor- en wederhoorfase vervult daarmee niet alleen een correctieve functie, maar draagt ook bij aan het lerend vermogen van zowel beoordelaars als aanbestedende diensten en levert waardevolle inzichten voor verbetering van het beleid rond open standaarden.

4. De afzonderlijke open standaarden

Relevante open standaarden

In het voorgaande zijn we vooral ingegaan op het overall-beeld van de relevantie en uitvraag van open standaarden bij aanbestedingen van de Nederlandse overheid. In deze paragraaf gaan we een niveau dieper en brengen de afzonderlijke standaarden onder de aandacht.

In de tabel hieronder staat een overzicht van het aantal relevante standaarden per aanbesteding in de periode van 2020-2024. Dit geeft inzicht in de relevantie van standaarden en de mate waarin deze daadwerkelijk zijn uitgevraagd bij de onderzochte aanbestedingen in 2024, in relatie tot de voorgaande vijf jaar.

Tabel 2: Open standaarden in 2024 en gemiddeld over 2020-2024

	2024	2024	2020-2024	2020-2024
	Relevant	% uitgevraagd	Relevant	% uitgevraagd
1. Veilig internet	669	48%	2971	49%
Authenticatie	40	60%	189	58%
DKIM	49	33%	228	31%
DMARC	50	32%	229	30%
DNSSEC	51	35%	244	32%
HTTPS en HSTS	57	60%	273	63%
IPv4 en IPv6	54	33%	273	32%
ISO 27001	66	86%	307	86%
ISO 27002	66	86%	307	86%
NL GOV/OAuth	19	21%	57	19%
RPKI	8	50%	63	10%
security.txt	50	14%	50	14%
SPF	50	34%	230	31%
STARTTLS en DANE	47	23%	225	26%
STIX en TAXII	1	100%	9	44%
TLS	58	64%	274	64%
WPA2 Enterprise	3	0%	13	15%
2. Openbaar en toegankelijk	157	55%	540	59%
Ades	15	87%	23	83%
Digitoegankelijk	57	54%	177	67%
ODF	41	15%	132	19%
OWMS	0	n.v.t.	2	50%
PDF	43	81%	204	75%
SKOS	1	100%	2	100%
3.Economie en werk	42	88%	85	72%
NLCIUS	39	90%	59	86%
SETU	2	50%	7	57%
SIKB0101	0	n.v.t.	1	0%
XBRL	1	100%	18	33%
4.Uitwisselingsfundament	89	47%	323	54%
Digikoppeling	17	65%	72	74%
Geo-standaarden	12	33%	31	48%
OpenAPI	25	36%	84	38%
REST-API	24	33%	72	22%
StUF	11	91%	64	89%
5.Schoon water en beschermde bodem	3	33%	5	60%
Aquo	1	0%	1	0%
GWSW	2	50%	4	75%
6.Bouwen en wonen	2	50%	5	40%
IFC	0	n.v.t.	1	0%
NLCS	1	100%	2	100%
VISI	1	0%	1	0%
WDO Datamodel	0	n.v.t.	1	0%
7.Bestuur en recht	0	n.v.t.	4	25%
8.Onderwijs en cultuur	1	0%	8	25%
E-portfolio	1	0%	6	17%
NL LOM*	n.v.t.	n.v.t.	2	50%
Eindtotaal	963	51%	3941	51%

*NL LOM is vanaf 2024 van de lijst afgevoerd, voor het gemiddelde over de periode 2020-2024 zijn de getallen voor SAML en Authenticatie samengevoegd. Bron: onderzoek aanbestedingen 2024, uitgevoerd in 2025.

Zoals al eerder geconcludeerd, is de uitvraag van open standaarden in aanbestedingen in 2024 met een gemiddelde score van 51% gelijk gebleven aan het vijfjaargemiddelde van eveneens 51%. Deze stagnatie wijst op een gebrek aan structurele vooruitgang in de toepassing van het open standaardenbeleid binnen overheidsaanbestedingen.

Binnen het domein ‘Veilig internet’, dat verreweg het grootste deel van de relevante standaarden vertegenwoordigt, blijft de gemiddelde uitvraag steken onder de 50%. Terwijl standaarden als ISO 27001 en 27002 goed worden toegepast (86,4%), blijft de adoptie van essentiële internetveiligheidsstandaarden zoals security.txt, SPF, DMARC en DKIM hardnekkig laag (tussen 14% en 34%). Een opvallende positieve uitschieter is RPKI, dat in 2024 50% toepassing laat zien tegenover slechts 9,5% in voorgaande jaren.

In het domein ‘Openbaar en toegankelijk’ is sprake van een lichte terugval: de uitvraag daalt van 58,9% (2020–2024) naar 54,8% in 2024. Vooral de daling in het gebruik van de standaard Digitoegankelijk is zorgelijk, gezien de wettelijke verplichting voor overheden om aan toegankelijkheidseisen te voldoen. ODF blijft, net als in voorgaande jaren, onderbenut.

Positief is de ontwikkeling binnen het domein ‘Economie en werk’, dat in 2024 met 88,1% de hoogste uitvraag laat zien. Standaarden voor e-facturatie (zoals NLCIUS) worden vrijwel consistent goed toegepast. Ook XBRL wordt dit jaar volledig uitgevraagd, al is de steekproef daarvoor klein.

Het domein ‘Uitwisselingsfundament’ laat daarentegen een afname in toepassing zien, met een daling van 53,6% naar 47,2%. Met name Digikoppeling, OpenAPI en REST-API worden nog onvoldoende structureel opgenomen, ondanks hun grote relevantie voor moderne gegevensuitwisseling.

De overige domeinen – waaronder ‘Schoon water en bodem’, ‘Onderwijs en cultuur’ en ‘Bestuur en recht’ – laten een beperkt aantal waarnemingen zien en blijven qua toepassing overwegend laag.

Samenvattende conclusie

Het algemene beeld is er één van beperkte vooruitgang en hardnekkige verschillen per domein. Hoewel enkele standaarden breed ingeburgerd raken, blijft de toepassing van andere standaarden achter. Dit benadrukt het belang van voortdurende monitoring, gerichte ondersteuning én handhaving van het open standaardenbeleid.

Bijlagen

Bijlage 1: Onderzoeksverantwoording

Voor dit rapport is gebruik gemaakt van een kwalitatieve documentanalyse en interactie met aanbestedende diensten, gericht op het open standaardenbeleid in Nederland.

Selectie

Op Tenderned selecteerden we alle overheidsaanbestedingen in 2024 waarin open standaarden een rol speelden. De steekproef betrof twee clusters van aanbestedingen, die uiteindelijk leidde tot 34 beoordeelbare aanbestedingen in de sector rijk en eveneens 34 aanbestedingen van medeoverheden. De steekproef was aselect, elke aanbesteding had als het ware een gelijke kans om geselecteerd te worden.

Bij de Rijksoverheid zijn de steekproefnummers geselecteerd met behulp van de tool Calculator.net. Bij de medeoverheden trokken we een selectie van 60 aanbestedingen, waarvan 35 voor de voorselectie en 25 voor de reservelijst. We hanteerden daar een gestratificeerde steekproef: 497 aanbestedingen gedeeld door zestig gaf het vervolgnummer acht. Geselecteerd zijn vervolgens de nummers 1, 9, 17, 25, etc.

Daarmee kan worden geconcludeerd dat de selectie van de beoordeelde aanbestedingen aselect was (elke aanbesteding had een gelijke kans om geselecteerd te worden).

Duiding en interpretatie van de procentuele verschillen.

Binnen het kader van dit onderzoek richt de aandacht zich op een steekproef met een beperkte omvang van in totaal 68 aanbestedingen. Dat impliceert dat de score van elke afzonderlijke aanbesteding staat voor ongeveer 1,5%. Daar waar een uitsplitsing wordt gemaakt tussen rijksoverheid en medeoverheden, laat deze beperking van de steekproefomvang zich nog sterker voelen. Met een steekproef van twee maal 34 aanbestedingen staat een score van elke afzonderlijke aanbesteding voor 3% (op het totaal van 100%).

Representativiteit en betrouwbaarheid

In totaal bedroeg het steekproefkader 91 rijksoverheidsaanbestedingen en 497 aanbestedingen van medeoverheden. Is de beoordeling van 68 aanbestedingen daarmee representatief?

Tabel 3: Betrouwbaarheidsmarges steekproef

Rijksoverheid	Medeoverheden
Aantal aangetroffen aanbestedingen op Tenderned (2024): 91	Aantal aangetroffen aanbestedingen op Tenderned (2024): 497
Minimale steekproefomvang bij een betrouwbaarheidsniveau van 99%: 74	Minimale steekproefomvang bij een betrouwbaarheidsniveau van 99%: 217
Minimale steekproefomvang bij een betrouwbaarheidsniveau van 95%: 68	Minimale steekproefomvang bij een betrouwbaarheidsniveau van 95%: 175

Het antwoord is ‘nee’. Voor een representatief beeld is het aantal van 34 aanbestedingen voor zowel de Rijksoverheid als de medeoverheden helaas te klein. Gezien de beschikbare tijd en kaders, was een hoger aantal te beoordelen aanbestedingen niet haalbaar. Het aantal beoordeelde aanbestedingen is niet robuust genoeg voor een wetenschappelijk overall-beeld, maar wel degelijk genoeg om een inzichtelijke doorsnede van de praktijk te geven. Omwille van de betrouwbaarheid, waar dat mogelijk is, hebben we om die reden ook 5-jaarsgemiddelden in deze rapportage laten zien omdat daarmee een stabieler en betrouwbaarder beeld wordt geschetst.

Bijlage 2: Overzicht verplichte open standaarden (“Pas toe of leg uit”-lijst)

Domein:	Standaard:	Met als doel:
Internet & Beveiliging	DKIM, DMARC, SPF	Bescherming tegen e-mailspoofing en phishing.
	DNSSEC	Beveiliging van domeinnamen tegen manipulatie.
	HTTPS & HSTS	Versleuteling van webverkeer; wettelijk verplicht.
	TLS, STARTTLS & DANE	Beveiligde communicatie over internet en e-mail.
	IPv6 & IPv4	Internetadressering voor netwerken.
	ISO 27001 & 27002	Managementsysteem en richtlijnen voor informatiebeveiliging.
	RPKI	Beveiliging van internetroutering.
	SAML, OpenID.NLGov, OAuth 2.0	Authenticatie- en autorisatiestandaarden.
	STIX & TAXII	Uitwisseling van cyberdreigingsinformatie.
	WPA2 Enterprise	Beveiligde toegang tot WiFi-netwerken.
	security.txt	Publicatie van contactinformatie voor beveiligingsmeldingen.
Document & Content	AdES Baseline Profiles	Digitaal ondertekenen van documenten.
	Digitoegankelijk (EN 301 549)	Toegankelijkheid van websites en documenten; wettelijk verplicht.
	ODF, PDF (NEN-ISO)	Open formaten voor documenten en archivering.
	SKOS	Structureren van thesauri en begrippenlijsten.
	OWMS	Metadata voor overheidsinformatie.
REST API's	OpenAPI Specification	Beschrijven van RESTful API's.
	REST-API Design Rules	Richtlijnen voor het ontwerpen van REST API's.
E-facturatie & Administratie	NLCIUS, SETU, WDO, XBRL	Elektronisch factureren, douane-informatie en bedrijfsrapportages.
Stelsel standaarden	Digikoppeling, StUF, Geo-standaarden	Veilige gegevensuitwisseling en geografische informatie.
Water & Bodem	Aquo-standaarden, GWSW, SIKB0101/0102	Standaarden voor waterbeheer en bodeminformatie.
Bouw	IFC, NLCS, VISI	Bouwwerkinformatiemodellen en bouwprocesinformatie.
Juridisch & Verkiezingen	BWB, ECLI, EML_NL, JCDR	Identificatie van wet- en regelgeving en verkiezingsgegevens.
Onderwijs & Loopbaan	E-Portfolio NL, NL_LOM	Uitwisseling van werkervaring, competenties en metadata voor onderwijscontent.

Bijlage 3: Open standaarden: Nederland en over de grens

Internationaal beleid open standaarden – positie van Nederland

Nederland behoort tot de voorhoede in Europa op het gebied van open standaardenbeleid in de publieke sector. Sinds 2007 geldt het principe “pas toe of leg uit”: overheidsorganisaties zijn verplicht om bij ICT-aanbestedingen open standaarden van de officiële lijst toe te passen, of – bij afwijking – dit publiekelijk toe te lichten. Deze aanpak wordt ondersteund door het Forum Standaardisatie, een lijst met verplichte standaarden en een compliance-mechanisme.

Toch roept het beleid vragen op. Want hoewel het juridisch verplichtend is, blijkt uit de Monitor Open Standaarden dat de toepassing al vijf jaar stagneert rond 50%. Dat roept de vraag op hoe effectief ‘verplicht’ is, als de naleving feitelijk uitblijft.

Europese Unie: aanjager, maar geen verplichting

De EU stimuleert interoperabiliteit en digitale soevereiniteit met kaders als het Interoperable Europe Act, maar verplicht lidstaten niet tot het gebruik van open standaarden. Het blijft veelal bij aanbevelingen en strategische richtsnoeren.

Vergelijking met een aantal Europese landen

Duitsland heeft een duidelijk strategisch beleid, onderbouwd in het OZG 2.0 en het SAGA-raamwerk. Het verplicht gebruik van open source en open standaarden is in opbouw. ODF wordt vanaf 2027 de verplichte standaard voor overheidsdocumenten.
Denemarken is het enige andere EU-land dat – net als Nederland – open standaarden wettelijk verplicht heeft gesteld. Sinds 2008 zijn zeven standaarden verplicht voor publieke IT-oplossingen. De Deense aanpak is diep verankerd in wetgeving én architectuurprincipes.
Frankrijk zet zwaar in op open source en interoperabiliteit via het Référentiel Général d’Interopérabilité (RGI). De nadruk ligt meer op open source dan op juridisch afdwingbare standaarden. Er is een nationale coördinatie (OSPO), maar geen harde verplichting tot open standaarden.
Estland en Finland blinken uit in technologische toepassing. Met name via het X-Road-platform faciliteren zij gestandaardiseerde data-uitwisseling. Toch ontbreekt in beide landen een juridisch kader dat verplicht tot het gebruik van open standaarden.
Verenigd Koninkrijk heeft een goed uitgewerkt richtsnoerenbeleid via de Open Standards Principles. Implementatie is breed, maar juridisch niet verplicht. De adoptie van ODF als standaarddocumentformaat is een opvallende uitzondering.
Zweden volgt een decentrale benadering. Regionale initiatieven en burgerparticipatie bevorderen open source en standaarden. Er is geen nationaal afdwingend beleid, maar wél een digitale overheidsstrategie die inzet op interoperabiliteit

Beleidskoploper met een uitvoeringskloof

Nederland is uniek door zijn juridisch verplichte kader voor open standaarden in de publieke sector. Andere landen hebben wel ambities, pilots of richtlijnen, maar vaak zonder dwingend nationaal mechanisme. Denemarken is hierin een zeldzame uitzondering. Tegelijkertijd blijkt uit de praktijk dat het Nederlandse nalevingspercentage al jaren stagneert. Daarmee is het risico reëel dat Nederland beleidsmatig wel koploper is, maar praktisch een papieren tijger.

De internationale vergelijking leert dat succesvolle toepassing van open standaarden niet alleen afhangt van verplichtingen, maar ook van ondersteuning, controle, technische integratie en heldere rolverdeling. Alleen beleid op papier is niet genoeg.

Bijlage 4: Overzicht van beoordeelde aanbestedingen Rijk

Aanbesteder	Titel	Korte omschrijving	Gevraagde standaarden	Niet gevraagde standaarden	Oordeel tekst	Oordeel procent
ministerie van Financiën (belastingdienst)	GTIS Producten en Diensten 2024	De opdracht heeft betrekking op de levering van GTIS (Gebouwgebonden Technische Infrastructuur) Producten en Diensten ten behoeve van het Datacenter van de Belastingdienst (ODC-BD) en de (rijks)kantoren die aan de Belastingdienst in het kader van zijn taak als ICT dienstverlener Pand (IDV-P) zijn toegewezen.	ISO 27001, ISO 27002	Digitoegankelijk, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, NLCIUS, security.txt, SPF, STARTTLS en DANE, TLS, VISI	Nog een heel eind te gaan	15%
RWS (Rijkswaterstaat)	Strategische Modelvernieuwing Personenvervoer (SMP)	Deze opdracht heeft als doel een samenwerking vorm te geven (‘Samenwerking SMP’), om uitvoering te geven aan het Programma Strategische Modelvernieuwing Personenvervoer (SMP) in de periode 2025-2028. Deze samenwerking is onderdeel van een bredere samenwerking (alliantie) tussen overheid, markt, kennisinstituten zoals TNO en universiteiten.	Digikoppeling, Digitoegankelijk, Geo-standaarden, ISO 27001, ISO 27002, NLCIUS, ODF, PDF		Perfect	100%
ministerie van Financiën (belastingdienst)	Digitale toegankelijkheid	Diensten digitale toegankelijkheid waaronder: audits (volledig onderzoek, content onderzoek en hercontroles), standaard opleidingen, consultancy.	Digitoegankelijk, NLCIUS, PDF		Perfect	100%
Landelijk Dienstencentrum voor de Rechtspraak (LDCR)	Multifunctioneel printen	De Rechtspraak digitaliseert geleidelijk haar processen, waardoor de behoefte aan printen afneemt. Momenteel zijn er circa 1200 printers. Een SAAS-platform moet het beheer en de aansturing overnemen en zorgen voor continue beschikbaarheid van printfunctionaliteit tijdens de overgang naar volledig digitaal werken.	Authenticatie, DKIM, DMARC, IPv4 en IPv6, ISO 27001, ISO 27002, PDF, SPF	DNSSEC, HTTPS en HSTS, NL GOV/OAuth, NLCIUS, ODF, OpenAPI, REST-API, security.txt, STARTTLS en DANE, TLS, WPA2 Enterprise	Op de goede weg	42%
DJI (Dienst Justitiële Inrichtingen)	Opslagsysteem voor verpakt celmateriaal t.b.v. het NFI	De aanbesteding betreft de levering van een opslagsysteem voor verpakt celmateriaal, inclusief installatie, scholing, onderhoud, verbruiksartikelen en service. Eén opdrachtnemer wordt verantwoordelijk voor acceptatie, dienstverlening en opties zoals opgenomen in het prijzenblad, gedurende de technische levensduur.	ISO 27001, ISO 27002, TLS	DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, NLCIUS, OpenAPI, REST-API, SPF, STARTTLS en DANE	Nog een heel eind te gaan	23%
RIVM	Grafische dienstverlening	Deze aanbesteding is opgedeeld in twee (2) percelen: perceel 1 - Drukwerk, printing en DTP-diensten De scope omvat in breedste zin: grafisch advies en productie van communicatie print- en drukwerk, opmaak volgens de rijks- of RIVM-huisstijl en digi-toega	Digitoegankelijk, HTTPS en HSTS, NLCIUS, PDF, TLS	DKIM, DMARC, DNSSEC, IPv4 en IPv6, ISO 27001, ISO 27002, ODF, OpenAPI, REST-API, SPF, STARTTLS en DANE	Nog een heel eind te gaan	31%
ministerie van Infrastructuur en Waterstaat	Doorontwikkeling, Beheer en Onderhoud Extranetten en KNMI.nl	De opdracht betreft de doorontwikkeling en het beheer en onderhoud van de publieke website KNMI.nl en de besloten informatievoorziening Extranetten. Daarnaast zijn er met betrekking tot beheer en onderhoud nog een tweetal kleinere websites (portal voor klimaatscenario's en sit daggegevens.knmi.nl).	Digitoegankelijk, ISO 27001, ISO 27002, NLCIUS	security.txt	Op weg naar perfect	80%
ministerie van Financiën (belastingdienst)	Process Mining	Levering en Implementatie van een on-premise, Process Mining Capability oplossing met inbegrip van Onderhoud en Support (hierna: Oplossing) en de levering van Additionele dienstverlening	HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, TLS	Authenticatie, Digitoegankelijk, ODF, OpenAPI	Op de goede weg	56%
ministerie van Financiën (belastingdienst)	Data Storage Platform	De opdracht betreft een 5-jarige overeenkomst voor levering, beheer en onderhoud van een Data Storage Platform met uitwijk. Inclusief aanvullende diensten, met verlengingsoptie tot 5 jaar. De oplossing moet uiterlijk 7 juli 2025 volledig operationeel zijn.	Authenticatie, HTTPS en HSTS, ISO 27001, ISO 27002, PDF, TLS	Digitoegankelijk, DKIM, DMARC, IPv4 en IPv6, NL GOV/OAuth, OpenAPI, REST-API, security.txt, SPF, STARTTLS en DANE	Op de goede weg	38%
DJI (Dienst Justitiële Inrichtingen)	Huren van Digitale Kiosken	De scope van de aanbesteding bestaat uit het, onder de Overeenkomst, huren van Digitale Kiosken. De benodigde Digitale Kiosken worden in principe voor een periode van 6 jaar gehuurd (gelijk aan de duur van de Overeenkomst).	NLCIUS	ISO 27001, ISO 27002, ODF	Nog een heel eind te gaan	25%
ministerie van Justitie en Veiligheid	Europese aanbesteding LMS	Onderhavige aanbesteding heeft samengevat betrekking op de rijksbrede aanbesteding inzake een softwareoplossing ter vervanging van het huidige Learning Management Systeem (LMS), LeerRijk (portaal/database) en moodle.	Ades, Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS, ODF, OpenAPI, PDF, REST-API, security.txt, SKOS, SPF, STARTTLS en DANE, TLS	Ades, E-portfolio, NL GOV/OAuth	Op weg naar perfect	91%
ministerie van Buitenlandse Zaken	BZ - EA Project Zephyr – Vastgoedbeheersysteem	Het ministerie van Buitenlandse Zaken, Directie Huisvesting en Facilitaire zaken (DHF), wil een Dienstverleningsovereenkomst sluiten met één dienstverlener voor een SaaS ICT-oplossing die de vastgoedbeheerprocessen gaat ondersteunen en de standaard in de	Authenticatie, ISO 27001, ISO 27002, NLCIUS, TLS	Digitoegankelijk, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, PDF, security.txt	Op de goede weg	45%
ministerie van Financiën (belastingdienst)	eHerkenningmiddelen Belastingdienst 2024	Deze aanbesteding dient voor de verwerving van eH-middelen die vanaf 1 november 2024 beschikbaar moeten kunnen worden gesteld aan Opdrachtgever.	Ades, ISO 27001, ISO 27002, NLCIUS	Ades, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	29%
ministerie van Defensie	Direct Access Satellite Imagery Portal	The Defence Geographic Agency (DGA) within the Netherlands Ministry of Defence (MoD) has the need for a contracted solution for the direct access to Very High Resolution (VHR) satellite imagery via an online portal and a solution for the access to Synthet	NLCIUS	Digitoegankelijk, DKIM, DMARC, DNSSEC, Geo-standaarden, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	7%
Landelijk Dienstencentrum voor de Rechtspraak (LDCR)	SaaS oplossing Online Zitten	Doelstelling van De Rechtspraak is om uiteindelijk één platform voor Online Zitten beschikbaar te stellen, dat geschikt is voor alle rechtsgebieden (straf, bestuur, toezicht en civiel) en alle type zittingen (volledig digitale zitting, hybride zitting, bijzondere online zitting en online verhoor).	Authenticatie, Digitoegankelijk, DNSSEC, HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, RPKI, TLS	DKIM, DMARC, IPv4 en IPv6, NL GOV/OAuth, OpenAPI, REST-API, security.txt, SPF, STARTTLS en DANE	Op de goede weg	47%
RWS (Rijkswaterstaat)	RNSS: Routeerbaar Noodstop Systeem	De opdracht betreft het uitbesteden van uitvoeringstaken voor het RNSS-noodstopsysteem, inclusief levering van hardware/software en beheer & onderhoud. De opdrachtnemer voert dit zelfstandig uit, terwijl RWS CIV de regie behoudt over het RNSS-bouwblok na overdracht van taken.	HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, TLS	IPv4 en IPv6, ODF	Op weg naar perfect	71%
ministerie van Justitie en Veiligheid	Europese aanbesteding EAP2024 MJenV	Onderhavige aanbesteding heeft samengevat betrekking op de levering van standaardprogrammatuur en de daaraan gerelateerde dienstverlening ten behoeve van de Staat der Nederlanden en een aantal zelfstandig bestuursorganen.	HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, ODF, PDF, TLS	Digitoegankelijk, DKIM, DMARC, DNSSEC, IPv4 en IPv6, security.txt, SPF, STARTTLS en DANE	Op de goede weg	44%
ministerie van Infrastructuur en Waterstaat	Content Services Platform IenW	De aanbesteding betreft de aanschaf van een Content Services Platform (CSP) voor IenW, inclusief licenties, implementatie, migratie van bestaande content vanuit het huidige DMS/RMA naar het CSP, en het leveren van beheerdiensten voor het platform.	Ades, Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NL GOV/OAuth, NLCIUS, ODF, OpenAPI, PDF, REST-API, RPKI, SPF, TLS	Ades, security.txt	Op weg naar perfect	95%
ministerie van Volksgezondheid, Welzijn en Sport	VWS - EA Uitbesteding kernsystemen Stichting IKZ	Voor de nog op te richten stichting Informatie Knooppunt Zorgfraude (IKZ) zoeken we een flexibele leverancier, die past bij de omvang van de gebruikersorganisatie (circa 20 fte) en een aantal ketenpartners. De opdracht betreft het leveren, implementeren,	Ades, Authenticatie, Digikoppeling, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, ISO 27001, ISO 27002, NL GOV/OAuth, NLCIUS, OpenAPI, PDF, REST-API, RPKI, SPF, STARTTLS en DANE, StUF, TLS	Ades, IPv4 en IPv6, ODF, security.txt	Op weg naar perfect	87%
ministerie van Binnenlandse Zaken en Koninkrijksrelaties	BZK EA Genesys beheerdiensten	Wij, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, nodigen u als Potentiële Inschrijver uit om in te schrijven voor de Aanbesteding ‘Genesys beheerdiensten’. Schrijft u in en gunnen wij de Opdracht aan u? Dan sluit u een Overeenkomst met O	ISO 27001, ISO 27002, NLCIUS	DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, OpenAPI, REST-API, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	21%
ministerie van Infrastructuur en Waterstaat	Raamovereenkomst Referentiemetingen motorvoertuigen NDW	NDW wil een onafhankelijke leverancier contracteren voor het uitvoeren van referentiemetingen op meetlocaties. De metingen richten zich op intensiteit, snelheid en voertuiglengte. NDW stelt eisen: ≥95% nauwkeurigheid en ≥98% betrouwbaarheid. Resultaten worden gerapporteerd aan NDW of haar partners.	NLCIUS	ISO 27001, ISO 27002, ODF, PDF	Nog een heel eind te gaan	20%
ministerie van Financiën (belastingdienst)	Aanmeldtool Evenementen	De opdracht betreft het implementeren en 24/7 onderhouden van een aanmeldtool voor evenementen, inclusief registratie, check-in en badge-uitgifte. De overeenkomst loopt van april 2024 tot mei 2028, met vier verlengingsopties van één jaar. De oplossing moet uiterlijk 20 mei 2024 operationeel zijn.	Ades, Authenticatie, Digitoegankelijk, HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, PDF, TLS	Ades, DKIM, DMARC, DNSSEC, IPv4 en IPv6, NL GOV/OAuth, ODF, OpenAPI, REST-API, security.txt, SPF, STARTTLS en DANE	Op de goede weg	45%
RWS (Rijkswaterstaat)	AIS Centraal Verwerkingssysteem en diensten	RWS CIV wil een nieuw centraal AIS-verwerkingssysteem en bijbehorende diensten aanbesteden ter vervanging van bestaande software en support. Doel is continuïteit en een toekomstvaste oplossing. De overeenkomst loopt vijf jaar, met twee verlengopties van drie en twee jaar.	Geo-standaarden, HTTPS en HSTS, ISO 27001, ISO 27002, TLS	Digitoegankelijk, DKIM, DMARC, DNSSEC, IPv4 en IPv6, OpenAPI, REST-API, security.txt, SPF, STARTTLS en DANE	Nog een heel eind te gaan	33%
RDW	Raamovereenkomst beheer en (door)ontwikkeling apps	Onder de scope van deze opdracht vallen de volgende diensten: - Het in beheer nemen van de huidige RDW apps. - Het beheren van deze apps, inclusief het uitvoeren van onderhoud, het oplossen van verstoringen en het doorvoeren van wijzigingen.	Digitoegankelijk, ISO 27001, ISO 27002, NLCIUS		Perfect	100%
RDW	(Door)ontwikkelen pilot-versie van de EUDI wallet (LSP project)	RDW heeft zich de afgelopen jaren voorbereid op de komst van mobiele documenten, in het bijzonder het mobiele rijbewijs (mobile driving license, mDL). Het gaat hier om een volledig digitale verschijningsvorm van het rijbewijs, die een burger	Ades, Authenticatie, ISO 27001, ISO 27002, NLCIUS	Ades	Perfect	100%
RDW	Implementatie, levering en support van de EbMS Adapters (een container in de cloud en een appliance of MSI variant on premise)	Aanleiding en algemene doelstellingen: Het doel van deze aanbesteding is het afsluiten van een overeenkomst met één leverancier die voor de RDW een passende ebMS-adapters (container in de cloud en een appliance of MSI variant on premise) beschikbaar stelt	Digikoppeling, Digitoegankelijk, HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, TLS	Authenticatie	Op weg naar perfect	88%
Kadaster	(Heraanbesteding) Customer Identity and Access Management	Het Kadaster wil een overeenkomst sluiten voor levering van een CIAM-oplossing met één opdrachtnemer. De dienstverlening moet stabiel, continu en conform het Programma van Eisen zijn, en gebaseerd op gestandaardiseerde dienstverlening van de inschrijver.	Ades, Authenticatie, Digikoppeling, ISO 27001, ISO 27002, OpenAPI, REST-API	Ades, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, NL GOV/OAuth, PDF, RPKI, security.txt, SPF, STARTTLS en DANE, TLS	Op de goede weg	35%
UWV	Managed Print Services UWV	De Dienstverlening omvat de Managed Print Services ten behoeve van het kunnen printen, scannen en kopiëren.	Ades, Authenticatie, Digitoegankelijk, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS, PDF, TLS	Ades, DKIM, DMARC, DNSSEC, NL GOV/OAuth, ODF, OpenAPI, REST-API, security.txt, SPF, STARTTLS en DANE	Op de goede weg	50%
Stichting ICTU	EA Toetsing Software en Softwarebroncode	Toetsing van software en softwarebroncode. De levering van diensten in relatie tot beveiligingsaudits, pentesten en onderhoudbaarheidsaudits.	ISO 27001, ISO 27002, NLCIUS, PDF		Perfect	100%
ministerie van Binnenlandse Zaken en Koninkrijksrelaties	BZK-LOGIUS-EA Ontwikkeling en beheer van XBRL dienstverlening	Deze Opdracht is bedoeld om te voorzien in de gewenste effectieve en efficiënte diensten voor taxonomie ontwikkeling, het beheer van ontwikkelde en reeds bestaande taxonomieën en het beschikbaar stellen van XBRL experts op aanvraag van Opdrachtgever.	NLCIUS, XBRL		Perfect	100%
ministerie van Defensie	Mobile User Devices en toebehoren 2024	Het Ministerie van Defensie heeft behoefte aan een raamovereenkomst voor Mobile User Devices en toebehoren. Voor verdere informatie zie aanbestedingsdocumenten.	NLCIUS, PDF	DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, ODF, security.txt, SPF, STARTTLS en DANE, TLS, WPA2 Enterprise	Nog een heel eind te gaan	13%
ministerie van Infrastructuur en Waterstaat	Werkbezoekapplicatie (WBA)	De werkbezoekapplicatie ondersteunt communicatiedirecties van IenW, VWS en straks SZW bij het beheren van werkbezoeken. De huidige overeenkomst eindigt op 29 juli 2024. Er wordt één nieuwe overeenkomst voorzien voor beheer en doorontwikkeling met één opdrachtnemer.	Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS, PDF, security.txt, SPF, STARTTLS en DANE, TLS	ODF	Op weg naar perfect	93%
RVO (Rijksdienst voor Ondernemend Nederland)	Print Scan Management Oplossing	De Rijksoverheid zoekt een SaaS-gebaseerde Print Scan Management-oplossing waarmee rijksmedewerkers rijksbreed kunnen printen, scannen en kopiëren. De oplossing fungeert als centrale printomgeving en ondersteunt alle beschikbare MFP’s in rijkskantoren, conform de eisen in de aanbestedingsdocumenten.	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NL GOV/OAuth, NLCIUS, ODF, OpenAPI, PDF, REST-API, SPF, TLS	security.txt, STARTTLS en DANE, WPA2 Enterprise	Op weg naar perfect	85%
ministerie van Onderwijs, Cultuur en Wetenschap	Beheer, onderhoud en doorontwikkeling software leerlingen- en studentenraming	De Opdracht betreft het Beheer, Onderhoud en Doorontwikkeling (BOD) van nog te ontwikkelen software voor de referentieraming landelijke onderwijsdeelname van het ministerie van Onderwijs, Cultuur en Wetenschap (hierna OCW). Deze jaarlijkse raming van het	ISO 27001, ISO 27002	Digitoegankelijk, HTTPS en HSTS, IPv4 en IPv6, ODF, PDF, security.txt, TLS	Nog een heel eind te gaan	22%

Bijlage 5: Overzicht van beoordeelde aanbestedingen Medeoverheden

Aanbesteder	Titel	Korte omschrijving	Gevraagde standaarden	Niet gevraagde standaarden	Oordeel tekst	Oordeel procent
ministerie van Financiën (belastingdienst)	GTIS Producten en Diensten 2024	De opdracht heeft betrekking op de levering van GTIS (Gebouwgebonden Technische Infrastructuur) Producten en Diensten ten behoeve van het Datacenter van de Belastingdienst (ODC-BD) en de (rijks)kantoren die aan de Belastingdienst in het kader van zijn taak als ICT dienstverlener Pand (IDV-P) zijn toegewezen.	ISO 27001, ISO 27002	Digitoegankelijk, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, NLCIUS, security.txt, SPF, STARTTLS en DANE, TLS, VISI	Nog een heel eind te gaan	15%
Gemeente Wijk bij Duurstede	Beheersoftware Openbare Ruimte	De gemeente Wijk bij Duurstede wil met deze opdracht het beheer en onderhoud van de openbare ruimte ondersteunen met een ICT-oplossing. Dit betreffen Kunstwerken, Verhardingen, Groenonderhoud, Water, Meubilair, Speeltoestellen en ondergronden, Riolering en Kabels en leidingen.	Ades, Authenticatie, Digikoppeling, Digitoegankelijk, DNSSEC, GWSW, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, PDF, STARTTLS en DANE, TLS	Ades, Aquo, DKIM, DMARC, Geo-standaarden, ODF, security.txt, SPF	Op de goede weg	65%
Gemeente Sittard-Geleen	Software leerlingvolgsysteem, optioneel leerlingenvervoer	Het doel van de aanbesteding is het op een rechtmatige en doelmatige manier aanbesteden van een overeenkomst met één leverancier die verantwoordelijk is voor de levering en het onderhoud van een kwalitatief goed leerlingvolgsysteem en optioneel leerlingenvervoer en de daarbij gevraagde dienstverlening en ontwikkeling.	Ades, Authenticatie, Digikoppeling, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, ODF, PDF, SPF, STARTTLS en DANE, TLS	Ades, security.txt	Op weg naar perfect	94%
Provincie Noord-Brabant	Service Management Tool	Het leveren van een SMT op Microsoft Azure IaaS die gebruikers ondersteunt bij het verwerken en afhandelen van verschillende meldingen. Dit omvat onder andere aanvragen van middelen, wijzigingen, workflows en reserveringen binnen de organisatie-infrastructuur. De opdracht omvat eveneens de implementatie inclusief datamigraties, training en adoptie, en de opleiding van functioneel beheerders. Verder omvat het applicatiebeheer van de SMT en flexibele ondersteuning voor functioneel beheer.	Ades, Digikoppeling, Digitoegankelijk, ISO 27001, ISO 27002, PDF, security.txt	Ades, Authenticatie, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, NL GOV/OAuth, ODF, SPF, STARTTLS en DANE, TLS	Op de goede weg	39%
Samenwerking De Bevelanden	Sociaal Domein-software ter ondersteuning van de uitvoering van de Jeugdwet	Het Dagelijks Bestuur van Gemeenschappelijke Regeling de Bevelanden, is voornemens de opdracht voor de levering van een ICT-oplossing voor het Sociaal Domein ter ondersteuning van de uitvoering van de Jeugdwet aan te besteden.	Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, PDF, security.txt, SPF, STARTTLS en DANE, StUF, TLS	Authenticatie, ODF	Op weg naar perfect	88%
Veiligheidsregio Midden- en West Brabant	Microsoft 365 en Azure Cloud beheerdiensten	De doelstelling van deze aanbesteding, “Microsoft 365 en Microsoft Azure Cloud beheerdiensten”, is het sluiten van een overeenkomst met één opdrachtnemer voor het leveren van ICT-diensten voor de bestaande Microsoft 365 en Microsoft Azure Cloud-omgeving van de opdrachtgever.	Ades, ISO 27001, ISO 27002	Ades, Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ODF, OpenAPI, PDF, REST-API, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	17%
Gemeente Heemskerk	Raadsinformatiesysteem	De aanbesteding beoogt één leverancier te contracteren voor een integraal RaadsInformatieSysteem (RIS) met streaming voor raad en griffie. Optioneel kan later een papierloos vergadersysteem (BIS) voor ambtenaren en college worden toegevoegd. Het RIS moet voldoen aan de eisen in het PvE.	Authenticatie, Digikoppeling, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, ISO 27001, ISO 27002, PDF, STARTTLS en DANE, StUF, TLS	IPv4 en IPv6, NL GOV/OAuth, ODF, security.txt, SPF	Op weg naar perfect	72%
Bizob (Stichting Bureau inkoop en aanbesteden Zuidoost-Brabant)	WOZ dienstverlening, gemeente Waalre	WOZ dienstverlening inclusief gebruik applicatie.	Authenticatie, HTTPS en HSTS, ISO 27001, ISO 27002, PDF, StUF, TLS	Digitoegankelijk, DKIM, DMARC, DNSSEC, Geo-standaarden, IPv4 en IPv6, ODF, security.txt, SPF, STARTTLS en DANE	Op de goede weg	41%
Gemeente Amsterdam	Pin en Online betalingsverkeer voor de gemeente Amsterdam	De Gemeente Amsterdam is voornemens om een nieuwe Overeenkomst voor de verwerking van Pin- en Onlinebetalingsverkeer in werking te laten treden. Middels een Europese openbare Aanbesteding wordt daarom het Pin & Online Betalingsverkeer van de Gemeente Amst	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, ISO 27001, ISO 27002, NLCIUS, SPF, TLS	NL GOV/OAuth	Op weg naar perfect	92%
Gemeente Heerenveen	e-HRM systeem	Zie bijgevoegde stukken..	Digitoegankelijk, HTTPS en HSTS, ISO 27001, ISO 27002, PDF, SETU, StUF, TLS	DKIM, DMARC, DNSSEC, IPv4 en IPv6, ODF, security.txt, SPF, STARTTLS en DANE	Op de goede weg	50%
Provincie Noord-Brabant	Klimaatportaal Brabant	De Provincie Noord-Brabant zoekt een opdrachtnemer die een team beschikbaar stelt voor de volgende werkzaamheden ten behoeve van het Klimaatportaal Brabant. De opdracht bestaat uit de volgende (hoofd)onderdelen: - Beheer, ontwikkeling en onderhoud van het kennisportaal; - Helpdeskwerkzaamheden; - Advisering.	Digitoegankelijk, ISO 27001, ISO 27002		Perfect	100%
Gemeente Groningen	Vervanging ERP-systeem bij sociaal ontwikkelbedrijf iederz	Deze offerteaanvraag richt zich op het vervangen van het ERP-systeem EniacBS van sociaal ontwikkelbedrijf iederz van de gemeente Groningen. De huidige functionaliteit van het ERP-systeem moet vertaald worden naar een nieuw en moderner ERP-systeem. Een bel	HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, PDF, SPF, TLS	Authenticatie, Digitoegankelijk, DNSSEC, ODF, security.txt, STARTTLS en DANE	Op de goede weg	54%
Gemeente Opmeer	Geo-applicaties Opmeer	Met deze aanbesteding beoogt Opdrachtgever (een) leverancier(s) te contracteren voor de levering, implementatie, het beheer en onderhoud van een applicatie voor het bijhouden van de Basisregistratie Adressen en Gebouwen (BAG), de Basisregistratie Grootschalige Topografie (BGT) en ontsluiting van gegevens via een Geo-Viewer.	Geo-standaarden, StUF	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, ODF, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	13%
Veiligheidsregio IJsselland	Europese aanbesteding Digitaal Dossier Jeugdgezondheidszorg (DD JGZ) - GGD Ijsselland	De aanbestedende dienst zoekt één leverancier voor het leveren van het DD JGZ-systeem en bijbehorende dienstverlening voor kinderen van –9 maanden tot 18 jaar en zwangeren binnen het verzorgingsgebied, ter vervanging van de aflopende overeenkomst.	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, PDF, SPF, TLS	Digikoppeling, security.txt, STARTTLS en DANE	Op weg naar perfect	80%
Gemeente Almere	Nieuw financieel systeem gemeente Almere	financieel systeem en subsidie systeem	Authenticatie, Digitoegankelijk, ISO 27001, ISO 27002, NLCIUS, OpenAPI, PDF, StUF, TLS	DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, NL GOV/OAuth, ODF, REST-API, security.txt	Op de goede weg	50%
Gemeente Soest	Samenhangende basisregistraties (BAG, BRK, WOZ, BGT) gemeente Soest en Baarn	Het doel van deze aanbesteding is dat gemeenten Soest en Baarn beschikken over een nieuwe belastingapplicatie en applicatie(s) voor het integraal beheer van de BAG, WOZ, BGT en BRK. Binnen de omgeving van Baarn moet ook het belastingproces en de WOZ-administratie van gemeente Eemnes worden ondersteund.	Ades, Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, Geo-standaarden, HTTPS en HSTS, ISO 27001, ISO 27002, OpenAPI, PDF, REST-API, SPF, STARTTLS en DANE, StUF, TLS	Ades, Digikoppeling, IPv4 en IPv6, ODF, security.txt	Op weg naar perfect	81%
Gemeente Súdwest-Fryslân	Aanbesteding Licenties Citrix en Ivanti	Het voorwerp van deze aanbestedingsprocedure is het afsluiten van een Raamovereenkomst met één Opdrachtnemer voor het leveren van de verlenging van de software en support van Citrix en Ivanti Licenties ten behoeve van de vernieuwing van de serverinfrastructuur.	Digitoegankelijk, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS	Authenticatie, HTTPS en HSTS, TLS	Op de goede weg	63%
KAREL	Personeelsinformatie- en salarissysteem West-Brabantse gemeenten en organisaties	De inrichting en implementatie van een gezamenlijk personeelsinformatie- en salarissysteem voor West-Brabantse gemeenten en organisaties.	Digikoppeling, ISO 27001, ISO 27002, PDF	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ODF, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	25%
Gemeente Eindhoven	Klantvolgsysteem t.b.v. gemeente Eindhoven	De aanbestedende dienst wil per 1 oktober 2024 één leverancier contracteren voor levering, beheer en hosting van een Klantvolgsysteem. Dit systeem moet samenwerking bij complexe klantcases ondersteunen via effectieve casus- en procesregie tussen opdrachtgever en opdrachtnemer.	Authenticatie, Digitoegankelijk, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, PDF, security.txt, StUF, TLS	DKIM, DMARC, NL GOV/OAuth, ODF, OpenAPI, REST-API, SPF, STARTTLS en DANE	Op de goede weg	58%
Gemeente Hengelo	Camerahandhaving door kentekenregistratie gemeente Hengelo	De gemeente Hengelo als aanbestedende dienst, wil één opdrachtnemer contracteren. De scope de opdracht omvat het leveren, installeren en in stand houden van een systeem ten behoeve van de camerahandhaving in de voetgangerszones in het centrum van gemeen	Authenticatie, ISO 27001, ISO 27002, NLCIUS, PDF	Digikoppeling, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ODF, OpenAPI, REST-API, security.txt, SPF, TLS	Nog een heel eind te gaan	28%
Gemeente Medemblik	e-HRM- en Salarisapplicatie	De opdracht betreft de inkoop van een e-HRM- en Salarisapplicatie voor de gemeente Medemblik en de gemeente Opmeer, inclusief de bijbehorende ondersteunende dienstverlening, waaronder implementatie, ingebruikname en onderhoud van de applicatie, zodat hiermee door de gemeentes toekomstgericht gewerkt kan gaan worden.	HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS, PDF, SPF, TLS	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, ODF, security.txt, STARTTLS en DANE, StUF	Op de goede weg	47%
Gemeente Purmerend	Applicatie tbv Melding Openbare Ruimte (MOR)	Zie leidraad	Authenticatie, Digikoppeling, Digitoegankelijk, DKIM, DMARC, HTTPS en HSTS, ISO 27001, ISO 27002, SPF, TLS	DNSSEC, Geo-standaarden, IPv4 en IPv6, NL GOV/OAuth, ODF, OpenAPI, REST-API, security.txt, STARTTLS en DANE	Op de goede weg	53%
Gemeente Deurne	Integratielaag en Gegevensmagazijn	Door middel van deze aanbesteding wil de aanbestedende dienst een Overeenkomst “Inte-gratielaag en Gegevensmagazijn” sluiten met één (1) Opdrachtnemer voor de komende jaren.	Digikoppeling, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NL GOV/OAuth, OpenAPI, PDF, REST-API, RPKI, security.txt, SPF, StUF, TLS	Authenticatie, Digitoegankelijk, ODF, STARTTLS en DANE	Op weg naar perfect	81%
Gemeente Amersfoort	Handhavingssysteem	De gemeente zoekt een informatiesysteem dat handhavingstaken in de openbare ruimte digitaal en informatiegestuurd ondersteunt. BOA’s moeten hiermee op straat direct toegang hebben tot relevante informatie en zoveel mogelijk administratieve handelingen op locatie (remote) kunnen uitvoeren.	DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, STARTTLS en DANE, TLS	Authenticatie, Digikoppeling, Digitoegankelijk, DKIM, DMARC, Geo-standaarden, NL GOV/OAuth, PDF, security.txt, SPF	Op de goede weg	41%
Gemeente Deurne	Afvalsysteem t.b.v. Brabants Afvalteam	De Opdracht die Aanbestedende dienst heeft in te vullen en waarvoor zij op zoek is naar een Opdrachtnemer om een Overeenkomst mee te sluiten ziet toe op de vervanging van het huidige verouderde ERP-systeem Clear.	HTTPS en HSTS, PDF, TLS	Digikoppeling, Digitoegankelijk, DKIM, DMARC, DNSSEC, IPv4 en IPv6, ISO 27001, ISO 27002, ODF, OpenAPI, REST-API, security.txt, SETU, SPF, STARTTLS en DANE	Nog een heel eind te gaan	17%
Gemeente Beverwijk	Microsoft licenties	De gemeente heeft als doelstelling een dienstverleningsovereenkomst af te sluiten met één leverancier, die door Microsoft is geautoriseerd, voor het leveren en onderhouden van Microsoft licenties (voor de verschillende Microsoft werkplek- en systeemsoftware die de gemeente gebruikt) waarbij de gemeente gebruik maakt van het VNG GT-Microsoft framework.	ISO 27001, ISO 27002	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ODF, PDF, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	14%
Provincie Gelderland	Softwarebroker Standaardsoftware	Door middel van deze Europese aanbestedingaprocedure beoogt Provincie Gelderland om per 1 juli 2024 te komen tot één raamovereenkomst met één softwarebroker voor de aanschaf, beheerdiensten en overige diensten voor standaardsoftware bij eindfabrikanten of	Digitoegankelijk, ISO 27001, ISO 27002	Authenticatie, DKIM, DMARC, DNSSEC, Geo-standaarden, GWSW, HTTPS en HSTS, IPv4 en IPv6, ODF, OpenAPI, PDF, REST-API, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	16%
Gemeente Den Haag	Signalerings- en Registratiesysteem Scheveningen Haven (SRSH)	De haven van Scheveningen is relatief klein, maar heeft verschillende unieke kenmerken, waaronder directe toegang tot de Noordzee samen met diverse essentiële functies. De activiteiten binnen de haven van Scheveningen variëren van maritieme activiteiten,	Digitoegankelijk, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS	DKIM, DMARC, DNSSEC, Geo-standaarden, HTTPS en HSTS, ODF, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	33%
Gemeente Helmond	Integraal Vastgoedbeheersysteem	De gemeente Helmond is voor het Team Vastgoed binnen afdeling Accommodaties en Exploitaties op zoek naar een leverancier voor: 1. Het leveren, implementeren, hosten en onderhouden van het vastgoedbeheersysteem welke de werkprocessen van het team Vastgoed ondersteunt 2. Toegang via een portaal voor externen (klanten en leveranciers) 3. Conversie van de gegevens uit het huidige systeem 4. Opzetten en bestendigen van een langdurige samenwerking	Authenticatie, HTTPS en HSTS, ISO 27001, ISO 27002, PDF, TLS	Digikoppeling, Digitoegankelijk, DKIM, DMARC, DNSSEC, Geo-standaarden, IPv4 en IPv6, ODF, security.txt, SPF, STARTTLS en DANE	Op de goede weg	35%
Waterschap Scheldestromen	Multifunctionals	Omdat de huidige raamovereenkomst voor de levering van Multifunctionals is verlopen, is Waterschap Scheldestromen voornemens een nieuwe leverancier te contracteren voor de levering van Multifunctionals. Waterschap Scheldestromen wenst de apparatuur te le	PDF	Authenticatie, Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, NLCIUS, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	7%
Waterschap Rijn en IJssel	Vaste internetverbindingen op de buitenlocaties	Europese openbare aanbesteding voor de levering van diensten voor vaste internetverbindingen op de buitenlocaties van Waterschap Rijn en IJssel.		Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, RPKI, security.txt, SPF, STARTTLS en DANE, TLS	Onvoldoende	0%
Waterschap Drents Overijsselse Delta	Netwerkverbindingen	De Opdracht omvat het leveren van deze vaste en mobiele netwerkaansluitingen aan Waterschap Drenths Overijsselse Delta (WDO delta). WDO delta heeft een omvangrijk netwerk voor haar kantoor- en proces automatisering.	ISO 27001, ISO 27002, NLCIUS	Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, RPKI, security.txt, SPF, STARTTLS en DANE, TLS	Nog een heel eind te gaan	21%
Hoogheemraadschap van Rijnland	Loggers en sensoren (DIG-15226)	Deze opdracht betreft de levering, uitbreiding en plaatsing en bedrijfsvaardig installeren en onderhouden van loggers en solar stuw en- inlaat besturingen, die de volgende proceswaarden meten: •Waterstand •Neerslag •Elektrisch Geleidend Vermogen •Grondwaterstand •Bodemvocht gehalte De loggers dienen naast levering, geïnstalleerd, getest en bedrijfsklaar aangesloten te worden volgens het protocol zoals door Opdrachtnemer is beschreven in het Plan van Aanpak.	ISO 27001, ISO 27002, NLCIUS, NLCS	ODF, TLS	Op de goede weg	67%
Provincie Flevoland	EA Housing en hosting ICT middelen provincie Flevoland	ICT-middelen van Provincie Flevoland onderbrengen bij een Nieuwe provider, op een wijze die waarborgt dat de continuïteit en kwaliteit van de IV dienstverlening van de Aanbestedende dienst maximaal bijdraagt aan het realiseren van haar doelstellingen	DKIM, DMARC, DNSSEC, HTTPS en HSTS, ISO 27001, ISO 27002, SPF, STARTTLS en DANE, STIX en TAXII, TLS	Digitoegankelijk, IPv4 en IPv6, RPKI, security.txt	Op weg naar perfect	71%
Provincie Gelderland	Service en Facilitair Management Systeem (SFMS)	Het doel is om met één partij een overeenkomst te sluiten voor het leveren van een Service en Facilitair Management Systeem (SFMS) als Software as a Service voor Provincie Gelderland.	Digitoegankelijk, DKIM, DMARC, DNSSEC, HTTPS en HSTS, IPv4 en IPv6, ISO 27001, ISO 27002, OpenAPI, PDF, REST-API, security.txt, SPF, STARTTLS en DANE, TLS	Authenticatie, NL GOV/OAuth	Op weg naar perfect	88%

Documentatie-type

documentatie

Open standaard bij aanbestedingen 2024 ('pas toe' en 'leg uit')

Content

Samenvatting: niveau van adoptie stabiliseert

Enkele opvallende ontwikkelingen

Positieve uitzonderingen

Lerende praktijk: ‘Leg uit’ en hoor-wederhoor

Tot slot: prioriteit

Voorwoord

1. “Pas toe” bij aanbestedingen (kwantitatief)

Uitgevraagde versus relevante open standaarden (over de hele linie)

Uitgevraagde versus relevante open standaarden (naar bestuurslaag)

Uitgevraagde versus relevante open standaarden (naar inhoudelijk domein)

Hoe vaak relevant en hoe vaak daadwerkelijk uitgevraagd?

Top vijf : zowel vaak relevante als vaak uitgevraagde standaarden

Categorie die aandacht verdient: relevante en vaak niet-uitgevraagde standaarden

Samenvattende conclusie: geen groei in uitvraag relevante standaarden

2. Toepassing van standaarden bij aanbestedingen in 2024

Aanbestedingen 2024

Verwijzing in de helft van de gevallen

Casuïstiek: (bijna) perfecte aanbestedingen

Rijkswaterstaat: Water, Verkeer en Leefomgeving

Belastingdienst

Rijksdienst voor het wegverkeer (RDW)

Ministerie van Binnenlandse Zaken, Logius

Stichting ICTU

Ministerie van Infrastructuur en Waterstaat

Rijksdienst voor het wegverkeer (RDW)

Gemeente Sittard-Geleen

Gemeente Amsterdam

Provincie Noord-Brabant

Bevindingen door de jaren heen

Samenvattende conclusie

3. "Leg uit” bij aanbestedingen (kwalitatief)

‘Leg uit’ voor aanbestedingen uit 2024: de formele route

A. Leg uit’ is voor één of meer aanbestedingen noodzakelijk

B. Geen aanbestedingen beoordeeld waarvoor ‘Leg uit’ noodzakelijk is

Overall-beeld

Hoor en wederhoor: de informele route

Een Rijksdienst

Een provincie

Een kennisinstituut

Een andere Rijksdienst

Een onderwijsdienst

Een Waterschap

Een departement

Samenvattende conclusie

4. De afzonderlijke open standaarden

Relevante open standaarden

Tabel 2: Open standaarden in 2024 en gemiddeld over 2020-2024

Samenvattende conclusie

Bijlagen

Bijlage 1: Onderzoeksverantwoording

Selectie

Representativiteit en betrouwbaarheid

Tabel 3: Betrouwbaarheidsmarges steekproef

Bijlage 2: Overzicht verplichte open standaarden (“Pas toe of leg uit”-lijst)

Bijlage 3: Open standaarden: Nederland en over de grens

Internationaal beleid open standaarden – positie van Nederland

Europese Unie: aanjager, maar geen verplichting

Vergelijking met een aantal Europese landen

Beleidskoploper met een uitvoeringskloof

Bijlage 4: Overzicht van beoordeelde aanbestedingen Rijk

Bijlage 5: Overzicht van beoordeelde aanbestedingen Medeoverheden

Documentatie-type