Eigenschap:Toelichting
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Deze eigenschap kan worden gebruikt om elementen te voorzien van een uitgebreide toelichting.
Subeigenschap van
:
Geïmporteerd uit
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
M
Samenwerkende catalogi voldoet aan deze standaard. +
Samenwerkende catalogi is volledig gebaseerd op OWMS. +
De validator van Samenwerkende Catalogi voldoet aan deze standaard. +
De validator van Samenwerkende Catalogi voldoet niet meer aan deze standaard. Gepland is om dit mee te nemen in de migratie naar een andere provider. De verwachting is dat dit in 2020 gaat plaatsvinden. +
Bij verstuurde e-mail wordt DKIM toegepast, bij ontvangst gebeurt dit door de centrale e-mailvoorziening, die Logius als dienst afneemt van het Shared Service Centrum van het Rijk (SSC-ICT). +
Het Afsprakenstelsel Elektronische Toegangsdiensten maakt geen gebruik van e-mailfunctionaliteit, maar de policy voor ondersteunende e-maildiensten is niet voor Q1 2020 aangescherpt. Door een scopewijziging bij een aanbesteding wordt een oude component later dan voorzien uit productie genomen, waardoor de policy nog niet aangescherpt kon worden. De nieuwe planning is uiterlijk Q4 2020 volledig compliant te zijn. (Zie: https://internet.nl/mail/eherkenning.nl/) +
DNSSEC werd in 2015 in de productieomgeving opgenomen. +
HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie en deelnemers in het stelsel. +
Het Afsprakenstelsel Elektronische Toegangsdiensten voldoet aan IPv4 en IPv6. Ondersteunende e-mailservers, die geen onderdeel uitmaken van het netwerk, voldoen niet volledig. (Zie: https://internet.nl/mail/eherkenning.nl/). Voor inkomende e-mail wordt door Logius gebruik gemaakt van de dienstverlening van het Shared Service Centrum van het Rijk (SSC-ICT). +
In het afsprakenstelsel wordt certificering tegen ISO27001 geëist voor de deelnemers. De beheerorganisatie eHerkenning is als stelselbeheerder ook gecertificeerd volgens ISO 27001. Daarvoor is ook een in control statement beschikbaar. +
Primair wordt de stelseldocumentatie via HTML op eherkenning.nl gepubliceerd. Stelseldocumentatie wordt met behulp van officesoftware gepubliceerd in PDF/A-formaat. Overige documenten worden met een aparte tool in PDF/A formaat geconverteerd, omdat het gehanteerde DMS dit niet ondersteunt. +
SAML is een verplichte eis vanuit het stelsel. +
SPF wordt toegepast bij de voorziening, maar wordt vooralsnog niet vereist als toe te passen techniek voor deelnemers. +
STARTTLS is geïmplementeerd voor eherkenning.nl en idensys.nl. DANE voor SMTP is voor de maildomeinen geïmplementeerd bij de centrale e-mailvoorziening, die Logius als dienst afneemt van het Shared Service Centrum van het Rijk (SSC-ICT). +
Het Afsprakenstelsel Elektronische Toegangsdiensten stelt het gebruik van TLS volgens de richtlijnen van het NCSC verplicht. Ondersteunde e-mailservers, die geen onderdeel uitmaken van het netwerk, voldoen niet volledig (zie: https://internet.nl/mail/eherkenning.nl/). Voor inkomende e-mail wordt door Logius gebruik gemaakt van de dienstverlening van het Shared Service Centrum van het Rijk (SSC-ICT). +
E-mails verzonden vanuit TenderNed zijn beveiligd met DKIM (zie: https://internet.nl/mail/tenderned.nl/). +
Dienstverlener DICTU heeft DMARC aangezet. +
Het domein is gesigned met DNSSEC (zie: https://internet.nl/site/www.tenderned.nl/). +
De client-server communicatie van TenderNed is beveiligd met HTTPS en niet met HSTS (zie: https://internet.nl/site/www.tenderned.nl/). +
TenderNed.nl is zowel in 2018 en 2019 als in 2020 niet voorbereid op IPv6 (zie: https://internet.nl/site/www.tenderned.nl/). TenderNed is afhankelijk van de hostingpartij. Wanneer deze een transitie doormaakt naar IPv6 zal TenderNed daarin mee gaan. Er is geen planning om dat wel te doen op dit moment. +
TenderNed is ISO27001/2 gecertificeerd. Dit wordt jaarlijks geaudit. +
De publieke API's worden beschreven door middel van Swagger. Swagger kan je zien als OAS versie 2.0. Swagger als API Specificatie bestaat niet meer en is opgegaan in OAS. TenderNed voldoet daarmee niet aan OAS 3.0. Deze versie is belangrijk omdat deze samenhang aanbrengt in de verschillende manieren om API specificaties op te stellen. +
Geautomatiseerd gecreëerde PDF's (bij de aankondigingen) zijn gemaakt in versie 1.7. +
Per 1 juli 2014 is het mogelijk voor gebruikers om, naast de huidige registreer- en inlogmogelijkheden, gebruik te maken van inloggen via eHerkenning. +
SPF is inmiddels aangezet door de technisch dienstverlener DICTU (zie: https://internet.nl/mail/tenderned.nl/140321/#mailauth). +
STARTTLS en DANE worden ondersteund. +
TenderNed past TLS 1.2 toe (zie: https://internet.nl/site/www.tenderned.nl/). Voor een aantal koppelingen wordt nog TLS 1.0 gebruikt voor compatibiliteit. +
De RDW voldoet niet aan deze standaard. De RDW heeft een aantal PDF-documenten die op een andere manier worden ondertekend. Er liggen op dit moment geen plannen om deze Ades compatible te maken. +
Inmiddels relevant doordat de RDW bezig is met de ontwikkeling van een centraal Document Management Systeem voor de geautomatiseerde processen. Dit systeem wordt ontsloten via CMIS. In de loop van 2019/2020 zal het document management systeem voor de primaire processen geschikt worden gemaakt voor aansluiting door geautomatiseerde processen. CMIS zal als standaard voor de ontsluiting worden gehanteerd. +
De BRV (basisregistratie voertuigen) voldoet aan DKIM. +
De BRV voldoet aan DMARC. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/mail/rdw.nl/. De RDW is in 2017 gestart met een nieuwe leverancier. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. Medio 2020 is deze verbetering doorgevoerd. +
De niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Alle .nl rdw domeinen zijn gesigned met DNSSEC. De diensten op (voertuig)gegevens draaien als microservices in de Azure cloud en het is bekend dat hierop geen DNSSEC en daarmee ook DANE mogelijk is. RDW en andere overheidspartijen hebben bij Microsoft gevraagd om dit op te lossen. +
Implementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/site/rdw.nl/. De RDW is in 2017 gestart met een nieuwe leverancier. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. Medio 2020 is deze verbetering doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS. +
IPv4 wordt ondersteund, IPv6 wordt nog niet ingezet. De BRV is te bevragen via www.rdw.nl. Op dit moment ziet de RDW voor de BRV nog geen noodzaak om op IPv6 over te gaan. +
De BRV voldoet aan deze standaard. +
De huidige SAP implementatie voldoet hier niet aan. Er zal in de komende periode een aanbesteding plaatsvinden voor het Finance domein waarin deze standaard zal worden meegenomen. +
De BRV voldoet aan Open API Specification. +
Bij digitale dienstverlening worden uittreksels en informatie uit de BRV in PDF/A vorm verstrekt. +
De BRV voldoet aan SAML. +
De BRV voldoet aan SKOS. +
RDW ondersteunt en gebruikt de SPF standaard voor email verkeer. +
Deze zullen uiterlijk Q3 2020 geconfigureerd zijn overeenkomstig de overheidsstandaarden (zie: https://internet.nl/mail/rdw.nl/). +
RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling. Er wordt nog gekeken naar verbetering van instellingen, zodat TLS voldoende veilig wordt geïmplementeerd (zie: https://internet.nl/mail/rdw.nl/). +
Alle berichten kunnen worden gedownload (vanaf de Berichtenbox website) in PDF/A formaat. PDF-documenten worden gegenereerd in PDF A/1. +
StUF wordt in combinatie met Digikoppeling gebruikt voor de uitwisseling met alle partijen die via digikoppeling op de Berichtenbox zijn aangesloten. +
Voldoet gedeeltelijk. Verbeteringen nog te doen op het vlak van responsiveness. +
De Berichtenbox ondersteunt veilige TLS-versies. +
De publieke IP-adressen van berichtenbox zijn voorzien van een geldig certificaat. Bij verbindingen naar publieke IP-adressen wordt de geldigheid van handtekeningen gecontroleerd. +
Overheden kunnen via Digikoppeling geautomatiseerd berichten verzenden en ontvangen. Ondernemers kunnen alleen handmatig (via de website) hun Berichtenbox gegevens opvragen. +
De Berichtenbox voor bedrijven voldoet volledig aan HTTPS en HSTS. +
@antwoordvoorbedrijven.nl en @berichtenbox.antwoordvoorbedrijven.nl voldoen hieraan. Dit kan gecontroleerd worden op https://internet.nl/mail/antwoordvoorbedrijven.nl en https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl. N.B. De notificaties de we sturen hebben als afzender noreply-berichtenbox@antwoordvoorbedrijven.nl +
eHerkenning is SAML-based en wordt toegepast voor het inloggen op de Berichtenbox. +
@antwoordvoorbedrijven.nl en @berichtenbox.antwoordvoorbedrijven.nl voldoen hieraan. Dit kan gecontroleerd worden op https://internet.nl/mail/antwoordvoorbedrijven.nl en https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl. N.B. De notificaties de we sturen hebben als afzender noreply-berichtenbox@antwoordvoorbedrijven.nl +
Volgens internet.nl voldoet het domein berichtenbox.antwoordvoorbedrijven.nl (zie: https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/). +
De Berichtenbox voor bedrijven voldoet op 4 van de 5 punten aan IPv6. Enkel de IPv6-bereikbaarheid van nameservers ontbreekt. +
@antwoordvoorbedrijven.nl en @berichtenbox.antwoordvoorbedrijven.nl voldoen hieraan. Dit kan gecontroleerd worden op https://internet.nl/mail/antwoordvoorbedrijven.nl en https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl. N.B. De notificaties de we sturen hebben als afzender noreply-berichtenbox@antwoordvoorbedrijven.nl +
De website van DigiD Machtigen is via IPv4 en IPv6 toegankelijk en ondersteund (zie: https://internet.nl/site/machtigen.digid.nl/). +
De Logius voorziening DigiD Machtigen is aangesloten op IP-reeksen die ontsloten worden via leveranciers uit het raamcontract ON2013. Deze IP-reeksen voldoen aan RPKI. +
Het authenticatiekoppelvlak met eHerkenning voldoet aan de SAML standaard. Het authenticatiekoppelvlak met DigiD maakt gebruik van SAML. Naast authenticatie gebruikt DigiD Machtigen de SAML standaard ook om een getekend machtigingsbewijs af te geven, namelijk als een SAML assertion. +
Recent ontwikkelde koppelvlakken en/of nieuwe versies van bestaande koppelvlakken zijn Digikoppeling compliant (bijvoorbeeld BOP). Er zijn echter nog koppelvlakken waarvan geen Digikoppeling compliant versie is gemaakt en/of koppelvlakken waar nog diensten en afnemers op aangesloten zitten (bijvoorbeeld PBS, een koppelvlak waarover een aangesloten dienstaanbieder kan controleren of iemand daadwerkelijk gemachtigd is om te handelen namens een vertegenwoordigde). Deze koppelvlakken bestaan uit de tijd dat de Digikoppeling standaard in ontwikkeling was en voldoen deels aan de uiteindelijk ontstane Digikoppeling standaard. Vanwege nieuwe ontwikkeling van koppelvlakken, is besloten niet meer te investeren in dit huidige koppelvlak. +
DigiD Machtigen heeft onderzoek gedaan naar de toegankelijkheid van de website. Er wordt nog niet voldaan aan alle toegankelijkheidseisen uit de norm (Status B), er zijn verbetermaatregelen benoemd. DigiD Machtigen is daarom in control over de toegankelijkheid van de website. (zie de diverse verklaringen van DigiD op https://www.toegankelijkheidsverklaring.nl/register?w=digid). Vanaf 21 juni voldoet DigiD Machtigen volledig aan de WCAG. +
Op de Rijksoverheid is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing die is gebaseerd op NEN-ISO27001/2. Logius verantwoord zich over de BIO aan het kerndepartement (BZK). +
Er is een DMARC record geconfigureerd als een van de anti-phishing maatregelen (zie: https://internet.nl/mail/machtigen.digid.nl/). Verder wordt er geen email verstuurd onder domeinnaam machtigen.digid.nl en is DMARC niet veel aan de orde. E-mails verzonden door de voorziening Machtigen worden verstuurd onder het @digid.nl domein, het DMARC record en ander email gerelateerde standaarden worden door DigiD voorzien, en waarvan Machtigen in kennis wordt gesteld. +
Het domein https://machtigen.digid.nl voldoet aan DNSSEC (zie: https://internet.nl/site/machtigen.digid.nl/). +
De voorziening voldoet aan deze standaard. +
TLS is geïmplementeerd. DigiD Machtigen ondersteunt TLS v1.2. Hieraan is een beperkte set aan cipher-suites toegekend, welke voldoen aan norm ‘voldoende’ en ‘goed’ in de NCSC “ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v2.0” TLS 1.0 en 1.1 worden niet meer ondersteund op machtigen.digid.nl. +
DigiD Machtigen maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. De DigiD Machtigen website heeft ook een HSTS-policy (zie: https://internet.nl/site/machtigen.digid.nl/). Tot nader orde wordt nog gebruik gemaakt van PKIOverheid certificaten van publieke CA2020. +
DigiD Machtigen verstuurt geen email aan gebruikers, vanaf het @machtigen.digid.nl domein. Er is wel een SPF record aangemaakt voor het domein: ‘machtigen.digid.nl’ die aangeeft dat er vanaf dit domein geen email wordt verstuurd. E-mails verzonden door Machtigen worden verstuurd onder het @digid.nl domein. De bijbehorende SPF record en andere email gerelateerde standaarden vallen onder de verantwoordelijkheid van DigiD. De voorziening Machtigen ontvangt van DigiD, middels een collegiaal informatiebeveiligingsoverleg, updates over het SPF record en andere email gerelateerde standaarden. +
Het domein DigiD.nl is via IPv4 en IPv6 toegankelijk. Ook het mailverkeer verloopt via IPv4 en IPv6 (zie https://internet.nl/mail/digid.nl/ en https://internet.nl/site/digid.nl/). +
DigiD mail wordt verstuurd met een DKIM signature (zie: https://internet.nl/mail/digid.nl/). +
DMARC is voor DigiD geconfigureerd als een van de anti-phishing maatregelen (zie: https://internet.nl/mail/digid.nl/). +
DigiD biedt afnemers een SAML-koppelvlak aan om authenticaties uit te kunnen voeren. Wanneer de afnemer “single sign on” wil gebruiken is dit alleen mogelijk via het SAML-koppelvlak. De SAML- koppelvlakspecificaties van DigiD zijn gepubliceerd op de website van Logius (zie: https://logius.nl/diensten/digid/documentatie/koppelvlakspecificatie-digid-saml-authenticatie) +
DigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt DigiD de HSTS-policy met een geldigheidsduur van 1 jaar (zie: https://internet.nl/site/digid.nl/). +
DigiD heeft onderzoek gedaan naar de toegankelijkheid van de websites en mobiele apps. Er wordt nog niet voldaan aan alle toegankelijkheidseisen uit de norm (Status B) maar er zijn verbetermaatregelen benoemd en er is een planning hiervoor gemaakt. DigiD is daarom in control over de toegankelijkheid van de websites en mobiele apps. (zie de diverse verklaringen van DigiD op https://www.toegankelijkheidsverklaring.nl/register?w=digid) +
SPF is relevant voor DigiD bij het verzenden van mails vanuit DigiD , en DigiD voldoet ook aan deze standaard (zie: https://internet.nl/mail/digid.nl/). +
Op de Rijksoverheid is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing die is gebaseerd op NEN-ISO27001/2. Logius verantwoordt zich over deze norm aan het kerndepartement (BZK). +
DigiD ondersteunt voor de websitedomeinen alleen TLS v1.2. In 2022 wordt ondersteuning voor TLS v1.3 toegevoegd. +
De Logius voorziening DigiD is aangesloten op IP-reeksen die ontsloten worden via leveranciers uit het raamcontract ON2013. Deze IP-reeksen voldoen aan RPKI. +
DNSSEC is doorgevoerd in de domeinen (DNS-zone) van DigiD en operationeel. Ook de mailservers voldoen aan de standaard (zie: https://internet.nl/site/digid.nl/ en https://internet.nl/mail/digid.nl/). +
De mailservers van DigiD passen STARTTLS en DANE toe (zie: https://internet.nl/mail/digid.nl/). Vanwege ondersteuning van oudere e-mailservers is een risicoafweging gemaakt om de TLS-versies 1.0 en 1.1 inclusief bepaalde ciphersuites te blijven aanbieden, zolang dit niet direct onveilig is voor de mailservers van DigiD. +
DigiInkoop voldoet aan de BIO. Er is een in control statement afgegeven. Leverancier Ordina voldoet aan ISO 27001. +
DigiInkoop is TLS 1.2 compliant (zie: https://internet.nl/mail/digiinkoop.nl/). mta.dc.ordina.nl is uitgefaseerd. +
DKIM is volledig geïmplementeerd. (zie: https://internet.nl/mail/digiinkoop.nl/). +
De DigiInkoop applicatie produceert inkooporders en facturen in PDF-formaat. Documenten die op logius.nl beschikbaar worden gesteld zijn in PDF/A-formaat (dit zijn de documenten over de berichtenverkeerstandaarden waar DigiInkoop gebruik van maakt. Zie: https://www.logius.nl/diensten/digiinkoop/hoe-werkt-het/ubl-ohnl en https://www.logius.nl/ondersteuning/gegevensuitwisseling/setu-hr-xml-ohnl). +
DMARC is volledig geïmplementeerd met voldoende strikte policy. +
DigiInkoop voldoet aan DNSSEC (zie: https://internet.nl/mail/digiinkoop.nl/). +
Logius als houder van de IP-adressen voldoet aan deze standaard. Echter als leverancier DigiInkoop maakt Ordina gebruik van diensten van Oracle. Oracle voldoet niet aan deze standaard. In Q3 zullen werkzaamheden worden verricht om te voldoen aan de standaard RPKI +
De voorziening voldoet aan HTTPS en HSTS. +
IPv4 en IPv6 zijn geïmplementeerd. +
DigiInkoop voldoet aan deze standaard (zie: https://internet.nl/mail/digiinkoop.nl/). +
Per 19 april 2019 is de NLCIUS verplicht voor overheden, volgens Europese richtlijn 2014/55/EU. De SMEF 2.0 standaard wordt opgevolgd door de NLCIUS. Implementatie is conform planning in Q2 2019 gerealiseerd. +
DigiInkoop voldoet niet aan de vereiste toegankelijkheid standaard. Echter DigiInkoop wordt volledig uitgefaseerd in juli 2023. Vervanging van het leveranciersportaal DigiInkoop zal vanaf eind juli 2022 zijn gerealiseerd. Het nieuwe leveranciersportaal voldoet aan de vereiste standaard. +
DigiInkoop ondersteunt de uitwisseling van SETU-hr-XML berichten. Uitfaseren van oude versie doet SETU bijna niet, dus ‘standaarden-technisch’ zijn alle versienummers actueel (ook oudere). Op Digipoort en in EPV staat:
* SETU 1.2 voor HumanResource en StaffingOrder en
* SETU 1.3 voor Invoice en TimeCard.
* SETU 2.2 voor Invoice = de NLCIUS variant (de SETU factuur via Digipoort moet gekenmerkt worden als NLCIUS). +
Nieuwe of gewijzigde API’s van KVK voldoen hieraan. De oudere, bestaande nog niet, dit werk staat nu voor Q4 van 2022 gepland. +
KvK moet de eerste stappen naar het toepassen van RPKI nog maken. +
De KvK is sinds 2016 ISO 27001 gecertificeerd en hanteert ISO27002. +
Ongeveer 10% van het verkeer van het NHR gaat naar medeoverheden. Die uitwisselingen vinden allemaal plaats via Digikoppeling en StUF. +
Geen antwoord van de beheerder +
De voorziening gebruikt zowel HTTPS als HSTS. Alleen voor kvk.nl werkt HSTS niet, dit is in 2019 hersteld. Was nog niet gebeurd omdat kvk.nl alleen redirect naar www.kvk.nl en deze werkt wel onder HSTS. Er was en is dus geen security risico. +
NHR voldoet op mailservers aan DMARC (zie: https://internet.nl/mail/kvk.nl/). +
De realisatie van onze gegevenscatalogus m.b.t. SKOS heeft vertraging opgelopen door andere prioriteiten inzake de gegevenscatalogus m.b.t. actualiteit en volledigheid. Dit project (SKOS variant) is naar 2023 geschoven. +
Alle uittreksels en informatie uit het NHR wordt in PDF/A-vorm verstrekt. Het betreft al grotendeels PDF A/2. +
eHerkenning is SAML-based en wordt toegepast voor het aanleveren van jaarrekeningen en informatieverstrekking. In de notarisapplicatie kan de notaris van achter zijn computer rechtstreeks opgave doen. Ook hier wordt gebruik gemaakt van SAML als authenticatieprocedure. Omdat gebruik wordt gemaakt van een generiek identificatie- en authenticatiesysteem voor alle diensten van KvK kan SAML voor elke dienst ingezet worden voor authenticatie. +
Deels afgedekt, maar er zijn nog openstaande acties, waardoor niet al het smtp verkeer over de actuele versie van TLS gaat. +
De NHR voldoet aan de Ades Baseline Profiles standaard. +
KvK hanteert de design rules. +
Het domein kvk.nl voldoet aan DKIM (zie: https://internet.nl/mail/kvk.nl/). +
De toegankelijkheid van onze corporate website, incl. genomen en nog te nemen maatregelen worden daar gepubliceerd. Zie https://www.kvk.nl/toegankelijkheid/. Inzake pdf-documenten, voldoen de door KvK aangemaakte, verstrekte pdf’s aan de vereiste versie. Een openstaande actie is de mobiele website via de HR app. Er is pas recent besloten hier mee door te gaan (eerder was besloten hier mee te gaan stoppen) zodat de acties om te voldoen aan Digitoegankelijkheidseisen nog moeten worden genomen. +
Dit is helaas nog niet gebeurd vanwege andere prioriteiten en resource-problemen bij ons team hiervoor. +
Dit is inmiddels geregeld voor alle kvk.nl domeinen. +
SPF is geïmplementeerd voor NHR. +
De mailserver kvk-nl.mail.protection.outlook.com ondersteunt nog TLS 1.1. Dit is een externe mailserver. De leverancier (Microsoft) dient de TLS versies uit te faseren. De KVK zal dit opnemen met de leverancier. Op deze mailserver wordt ook TLS 1.2 ondersteunt. KVK is actief bezig om alle TLS implementaties op versie 1.3 te krijgen, daarbij is ook de Wet Digitale Overheid een belangrijke aanleiding. Dat verloopt voorspoedig. Een uitzondering geldt voor een stuk legacy-programmatuur (AS/400 software) waar TLS 1.0 nog wordt gebruikt. Hiervoor zal een exceptie met risicoanalyse worden opgesteld ter nadere bespreking. In afwachting van de uitfasering van deze legacy willen wij zo min mogelijk aanpassingen daarin doen. Het uitfaseren van deze legacy heeft nogal wat vertraging bij ons opgelopen, waardoor dit in 2022 nog niet is afgerond. +
Dit is geregeld voor alle kvk.nl domeinen. De website is beschikbaar op zowel IPv4 als IPv6 (± 20% van de bezoekers). +
Ongeveer 10% van het verkeer van het NHR gaat naar medeoverheden. Die uitwisselingen vinden allemaal plaats via Digikoppeling en StUF. +
Bij het vervangen van mail certificaat is vergeten om TLSA record te updaten. Dit wordt zo snel mogelijk opgelost. +
MijnOverheid genereert zelf PDF-bestanden welke voldoen aan de PDF/A-1a standaard. Voor de PDF bijlagen die door afnemers naar de berichtenbox worden gestuurd wordt een validatie uitgevoerd of ze voldoen aan de standaarden. De afnemer krijgt in het leveranciersportaal de terugkoppeling of een bijlage voldoet of niet. Daarmee wordt de afnemer door Logius geïnformeerd over het wel of niet voldoen aan de standaard. Logius is zelf niet verantwoordelijk voor het voldoen aan de standaard. Onze verantwoordelijkheid is om de afnemers te informeren of ze voldoen aan de standaard. +
MijnOverheid.nl voldoet aan de wettelijke eisen rondom Digitoegankelijk met het behalen van de A-status op het gebied van WCAG 2.1. +
MijnOverheid heeft waar relevant de koppeling op basis van StUF. Dit is alleen relevant voor WOZ en Lopende Zaken. +
MijnOverheid voldoet aan DKIM (zie: https://internet.nl/mail/mijnoverheid.nl/ en https://internet.nl/mail/mijn.overheid.nl/). +
MijnOverheid kent drie REST API´s:
# API t.b.v. de Berichtenbox app;
# DvMG (Delen van MijnGegevens) API t.b.v. het ad-hoc, met directe instemming van de burger, delen van inkomensgegevens met woonruimteverdelers;
# Profielservice API t.b.v. delen van bereikbaarheidsgegevens met GNS t.b.v. KOOP bekendmakingen attenderen. +
SPF is geïmplementeerd. +
MijnOverheid voldoet aan DNSSEC (zie: https://internet.nl/site/mijnoverheid.nl/ en https://internet.nl/site/mijn.overheid.nl/). +
Deze standaard wordt gebruikt voor de REST-API’s van MijnOverheid. +
Authenticatie loopt via SAML. +
Zowel nieuwe als oude koppelingen worden conform Digikoppeling 2.0 ingericht. +
De Logius Voorzieningen zijn aangesloten op IP-reeksen die ontsloten worden via leveranciers uit het raamcontract ON2013. Deze leveranciers voldoen aan RPKI. Specifiek voor de IP-reeksen die gekoppeld worden aan het nieuwe platform van Logius, moet RPKI nog ingericht worden. Dat gebeurt nog voor de voorzieningen worden overgezet. +
In de dienstverlening aan burgers maakt MijnOverheid gebruik van een TLS 1.2-verbinding (zie: https://internet.nl/site/mijn.overheid.nl). De koppelingen met afnemers (overheidsorganisaties) lopen ook via TLS op basis van PKIoverheid-certificaten. MijnOverheid gebruikt TLS 1.2 en veilige cipher suites. Een aantal oude ciphers wordt nog ondersteund omdat er anders problemen ontstaan bij afnemers, burgers e.d. TLS 1.3 moet nog geïmplementeerd worden. Oudere versies worden niet meer geaccepteerd. +
Op de Rijksoverheid is de BIO van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV’en) aan de eigenaar (BZK/DGOBR). De ICV’s zijn nog up-to-date. +
De standaard wordt toegepast, maar is niet te testen via internet.nl omdat MijnOverheid de internet.nl scanner in de anti-DDOS protection blokkeert. MijnOverheid gaat in gesprek met internet.nl +
Deze standaard wordt toegepast. +
Deze standaard wordt toegepast. +
Aan deze standaard wordt voldaan voor het domein kvk.nl. HSTS is aanwezig op ondernemersplein.kvk.nl, huidige instellingen worden binnenkort herzien. +
Ondernemersplein als onderdeel van kvk.nl voldoet aan DMARC. +
Ondernemersplein is WCAG 2.1 AA gecertificeerd https://www.accessibility.nl/inspecties/inspectie/site-1118. +
Voor Ondernemersplein API´s zijn de REST-API Design Rules voor zover mogelijk toegepast. +
Binnen de website, de content van AvB, wordt verwezen naar wetgeving conform de BWB standaard. +
IPv6 is aanwezig en conform overheid streefbeleid. +
De websites ondernemersplein.kvk.nl en www.kvk.nl zijn beveiligd met minimaal TLS 1.2. +
Ondernemersplein is onderdeel van de website van de Kamer van Koophandel. KVK is ISO 27001 gecertificeerd vanaf 2016. KVK is in 2019 opnieuw succesvol gecertificeerd. +
SPF is geïmplementeerd voor zowel kvk.nl, als ondernemersplein.kvk.nl. +
BGP wordt voor KvK door de internetleverancier ingeregeld. +
Ondernemersplein voldoet aan DNSSEC voor de website. E-mails worden verstuurd vanuit het kvk.nl domein. +
Overheid.nl voldoet hieraan (zie: https://internet.nl/mail/overheid.nl/). +
SKOS is geïmplementeerd voor de waardelijsten van OWMS. +
Op Overheid.nl wordt gebruik gemaakt van de internationale SRU standaard. Deze standaard voor bibliothecaire recordmanagement biedt eenvoudig toegang tot alle informatie op Overheid.nl en sluit aan bij de XML-structuren van de content zelf. Ook kan er integraal gezocht worden door de collecties. Het vervangen van SRU door een REST-API is een kostbare en tijdrovende klus waar momenteel geen middelen voor beschikbaar gesteld zijn. Voor nieuwe collecties zoals PLOOI wordt wel direct gewerkt met REST-API’s. +
Digikoppeling REST profiel houdt de standaarden OpenAPI Specification (OAS), OAuth 2.0 en PKI aan. +
Overheid.nl is zelfs de bron van de BWB identificatie (zie: wetten.overheid.nl). +
Overheid.nl voldoet aan HTTPS en HSTS (zie: https://internet.nl/site/overheid.nl/). +
DKIM is geïmplementeerd (zie: https://internet.nl/mail/overheid.nl/). +
Er wordt voldaan aan IPv4 en IPv6 (zie: https://internet.nl/domain/www.overheid.nl/). +
Overheid.nl voldoet aan DNSSEC (zie: https://internet.nl/site/www.overheid.nl/). +
Alle PDF's van officiële bekendmakingen zijn PDF/A-1a zoals wettelijk bepaald is. +
Vanaf 2015 staat overheid.nl niet meer op de risicokaart van BZK en hoeft hiervoor geen ICV (In Control Verklaring) meer te worden afgegeven. Voor OEB, de applicatie die centraal staat in het publiceren van overheidsinformatie en richtinggevend is voor alle KOOP-dienstverlening, wordt wel jaarlijks een ICV afgegeven; deze is gebaseerd op de BIO die weer is gebaseerd op NEN-ISO/IEC 27001/27002. Alle dienstverlening van KOOP is ondergebracht bij een hostingpartij die jaarlijks een ISAE3402 Type II verklaring laat opstellen; deze verklaring baseert zich mede op de certificering met NEN-ISO/IEC 27001/27002. +
Overheid.nl is zelfs de bron van de JCDR identifiers (zie: https://zoek.overheid.nl/lokale_wet_en_regelgeving). +
Bij KOOP valt deze momenteel in de categorie ‘leg uit’. KOOP zit midden in de migratie naar het Standaard Platform van Logius. +
De mail vanuit overheid.nl is 100% compliant. +
DMARC is volledig doorgevoerd. +
Alle onderdelen van Overheid.nl hebben minimaal Status B. De portaal Overheid.nl zal op 1 juli 2022 A-status hebben. Een belemmering bij sub-portalen van Overheid.nl is dat er veel content van derden die wettelijk verplicht gepubliceerd moet worden, die door de aanleverende partijen niet toegankelijk is gemaakt. Dat belemmert de volledige A-status. +
Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.pdok.nl/). PDOK volgt de richtlijnen van het NCSC voor TLS. Hieruit blijkt dat mogelijke problemen met cipher-volgorde wat betreft vertrouwelijkheid geen risico vormen, omdat de data openbaar is volgens de BIV classificatie. +
Deze standaard is geïmplementeerd. +
Voor het uitserveren van de BGT. +
STARTTLS en DANE zijn geïmplementeerd (zie: https://internet.nl/mail/pdok.nl/). +
HSTS-policy wordt gebruikt, de webservers ondersteunen HSTS. Uit de test op internet.nl komen nog enkele issue’s naar voren die bekend zijn. We zijn in overleg met de leverancier om verbeteringen door te voeren rondom HTTPS en HSTS. +
De website www.pdok.nl ondersteunt DNSSEC (zie: https://internet.nl/domain/www.pdok.nl/). +
Zowel IPv4 als IPv6 worden ondersteund door het Kadaster (zie: https://internet.nl/domain/www.pdok.nl/). +
RPKI wordt toegepast +
Deze standaard is geïmplementeerd en wordt toegepast. +
Er is een toegankelijkheidsverklaring voor PDOK, zie https://www.pdok.nl/toegankelijkheid. We voldoen nog niet voor 100% aan de WCAG richtlijnen. +
SPF is geïmplementeerd (zie: https://internet.nl/mail/pdok.nl/). +
PDOK maakt gebruik van OGC en INSPIRE standaarden voor haar webservices. Webservices kennen verschillende formaten qua uitlevering. Downloads worden via formaten GeoPackages en GML aangeleverd en uitgeserveerd. +
Het Kadaster voldoet aan DKIM. +
Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd en is deels door standaarden op basis van de BIO vervangen. In het jaarverslag is een in control statement opgenomen. +
PDOK voldoet niet aan deze standaard. Het doel van PDOK is om te voldoen aan de OGC API standaarden +
Het PKIoverheid-deel van de website van Logius en de website van PKIoverheid maken gebruik van DNSSEC (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). +
Documenten die via de websites beschikbaar worden gesteld worden volgens PDF/A opgesteld. +
Deze standaard wordt toegepast door de voorziening (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). Voor logius.nl, crl.pkioverheid.nl en cert.pkioverheid.nl is HTTPS goed geconfigureerd. De redirects www.pkioverheid.nl en pkioverheid.nl zijn inmiddels (tijdelijk) uitgezet/verwijderd. +
Primair is het Webtrust normenkader van toepassing op PKIoverheid. Dit kader kent strengere eisen dan deze ISO- standaarden vereisen. Implementatie van de BIO is daarnaast uitgevoerd op basis van best effort. +
Zowel voor het deel op de Logius website als op pkioverheid.nl zelf is RPKI ingeregeld. +
Zowel het PKIoverheid deel van de website van Logius als de website van PKIoverheid zelf maken gebruik van TLS 1.2 (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/) +
Zie de toegankelijkheidsverklaring op https://www.toegankelijkheidsverklaring.nl/register/3344 +
IPv6 is geïmplementeerd voor de informatiepagina’s van PKIoverheid op de Logius website (zie: https://internet.nl/domain/www.logius.nl/) en voor het ontvangend maildomein. De PKIoverheid specifieke applicatiepagina’s zijn op dit moment nog niet geschikt voor IPv6 (zie: https://internet.nl/domain/crl.pkioverheid.nl/). Inmiddels is Logius met de leverancier van pkioverheid.nl bezig met een impactanalyse voor de benodigde werkzaamheden voor IPv6. Een exacte planning/realisatiedatum is nog niet af te geven omdat de voorziene oplossingsrichting nog niet volledig is uitgewerkt. +
Het email-domein PKIoverheid.nl voldoet aan DMARC (zie: https://internet.nl/mail/pkioverheid.nl/). +
Records zijn geconfigureerd om alle mail namens pkioverheid.nl te rejecten (geen geldige bron opgenomen in het SPF record). Er wordt geen mail verstuurd vanuit pkioverheid.nl of een van haar subdomeinen. +
De nieuwe versies en oude worden ondersteund. Best practice is de oude TLS versies aan laten staan op de mailservers i.v.m. interoperabiliteit. +
DKIM is geïmplementeerd (zie: https://internet.nl/mail/rijksoverheid.nl/). +
De leveranciers hebben een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIO-implementatie van het moederdepartement AZ. SSC-ICT zelf valt onder de VIR/BIO-implementatie van het moederdepartement MINBZK. SSC-ICT werkt via deze standaard en wordt hier ook op geaudit. De laatste audits hebben plaatsgevonden in 2019, 2020 en 2021. +
Rijksoverheid.nl is ondertekend met DNSSEC (zie: https://internet.nl/mail/www.rijksoverheid.nl/). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen (zie: https://internet.nl/mail/rijksoverheid.nl/). +
Het e-maildomein @rijksoverheid.nl is integraal van SPF voorzien (zie: https://internet.nl/mail/rijksoverheid.nl/). Deze wordt door SSC-ICT beheerd in samenwerking met AZ. Technisch gezien is SSC-ICT het aanspreekpunt. +
IPv6 is voor de mailservers geïmplementeerd (zie: https://internet.nl/mail/rijksoverheid.nl). Het technisch beheer van een aantal maildomeinen wordt uitgevoerd door SSC-ICT. De internet facing kant van de DMZ levert IPV6 sinds 2021 +
DMARC policy staat op reject, de meest strikte policy (zie: https://internet.nl/mail/rijksoverheid.nl/). +
Verzendende mailservers die STARTTLS ondersteunen, kunnen met ontvangende mailserver(s) een beveiligde verbinding opzetten. Rijksoverheid.nl voldoet aan DANE (zie: https://internet.nl/mail/rijksoverheid.nl/). Deze wordt door SSC-ICT beheerd in samenwerking met AZ. Technisch gezien is SSC-ICT het aanspreekpunt. +
Binnen de website wordt verwezen naar wetgeving conform de BWB standaard. BWB wordt toegepast. +
De leveranciers hebben een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIO-implementatie van het moederdepartement AZ. +
Voldoen aan Toegankelijkheid is al jaren dagelijks onderdeel van ons werk: ‘toegankelijkheid by design’. Dit geldt voor de redactionele teams en voor de functioneel/technische teams. Gezien de omvang van Rijksoverheid.nl zijn er altijd kleine, meestal redactionele elementen die niet voldoen. Die worden als verbetering opgepakt en ingepland. Redactioneel blijven vooral PDF documenten een probleem. PDF bestanden worden op alle ministeries op vele plekken gemaakt, met allerlei software, buiten de invloedsfeer van DPC. Deze PDF’s zijn vaak niet toegankelijk. +
Wij publiceren bij onze hoster RPKI informatie voor al onze domeinen. +
Het Platform Rijksoverheid Online en dus ook Rijksoverheid.nl accepteert alleen het gebruik van de volgende formaten: odt, ods, odp, pdf, rtf, zip, epub, csv, xml, sha2 +
Het webdomein van rijksoverheid.nl voldoet aan TLS (zie: https://internet.nl/site/www.rijksoverheid.nl/). +
De voorziening voldoet aan deze standaard (zie: https://internet.nl/site/www.rijksoverheid.nl/). +
Rijksoverheid.nl is ondertekend met DNSSEC (zie: https://internet.nl/site/www.rijksoverheid.nl/). DPC biedt DNSSEC ook aan aan al haar klanten die domeinen via haar registrar-functie afnemen. +
De website rijksoverheid.nl ondersteunt zowel IPv6 als IPv4 (zie: https://internet.nl/site/www.rijksoverheid.nl/). +
De centrale redactie van Rijksoverheid.nl stuurt waar mogelijk op het aanbieden van de juiste typen PDF’s. De centrale redactie heeft echter beperkt zicht op soort en type PDF’s die door decentrale redacteuren van de ministeries zelfstandig op rijksoverheid.nl worden geplaatst. Hierdoor worden er ook typen PDF gebruikt die buiten deze standaard vallen, bijvoorbeeld versie PDF 1.4 en 1.5. +
De SC API (zoekdienst.overheid.nl) voldoet niet aan deze standaard. De verwachting is dat het voldoen in 2022 gaat plaatsvinden. +
De RPKI standaard wordt toegepast +
Zowel de informatieve pagina’s op logius.nl als de SC API (zoekdienst.overheid.nl) voldoen aan IPv4 en IPv6. +
De leverancier van de SC API (KOOP) geeft in Q1 2023 een indicatieve planning af m.b.t. het voldoen aan de standaard +
Domein voor de SC API (zoekdienst.overheid.nl) is niet SPF compliant. De verwachting is dat het voldoen in 2022 gaat plaatsvinden. +
De SC API (zoekdienst.overheid.nl) voldoet aan deze standaard. +
De SC API (zoekdienst.overheid.nl) voldoet niet volledig. De verwachting is dat de voorziening in 2022 gaat voldoen. +
De leverancier van de SC API (KOOP) geeft in Q1 2023 een indicatieve planning af m.b.t. het voldoen aan de standaard +
De pagina’s op Logius.nl zijn Digitoegankelijk. Voor de SC validator komt er nieuwe verklaring op het moment dat de voorziening is gemigreerd naar de DICTU. Dat zal eerst een status C zijn totdat er onderzoek is uitgevoerd. +
Deze standaard is geïmplementeerd, zie https://internet.nl/mail/eherkenning.nl. +
In het afsprakenstelsel wordt certificering tegen ISO27001 geëist voor de deelnemers. De beheerorganisatie eHerkenning is als stelselbeheerder ook gecertificeerd volgens ISO27001. Daarvoor is ook een in control statement beschikbaar. +
Mailservers, webdomein en het netwerk eHerkenning ondersteunen alleen veilige TLS-versies (>= TLS 1.2) +
HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie en deelnemers in het stelsel. +
Deze standaard is geïmplementeerd, zie https://internet.nl/site/eherkenning.nl . +
De nieuwe website eherkenning.nl is een verbetering mbt toegankelijkheid omdat bij het ontwerp van de nieuwe website eerdere bevindingen zijn meegenomen. +
Primair wordt de stelseldocumentatie via HTML op eherkenning.nl gepubliceerd. Stelseldocumentatie wordt met behulp van officesoftware gepubliceerd in PDF/A-formaat. Overige documenten worden met een aparte tool in PDF/A formaat geconverteerd, omdat het gehanteerde DMS dit niet ondersteunt. +
STARTTLS is geïmplementeerd voor eherkenning.nl. DANE voor SMTP is voor de maildomeinen geïmplementeerd bij de centrale e-mailvoorziening, die Logius als dienst afneemt van het Shared Service Centrum van het Rijk (SSC-ICT). +
SPF wordt toegepast bij de voorziening (mail en webserver). +
SAML is een verplichte eis vanuit het stelsel. +
Bij verstuurde e-mail wordt DKIM toegepast, bij ontvangst gebeurt dit door de centrale e-mailvoorziening, die Logius als dienst afneemt van het Shared Service Centrum van het Rijk (SSC-ICT). +
RPKI is geïmplementeerd via de hosting partij van de website eherkenning.nl ICTU. +
Deze standaard is geïmplementeerd, zie https://internet.nl/site/eherkenning.nl. +
Het domein is gesigned met DNSSEC (zie: https://internet.nl/site/www.tenderned.nl/). +
Dienstverlener DICTU heeft DMARC aangezet. +
Voldoet TenderNed nog niet volledig aan. We zijn in onderzoek hoe wij aan alle regels kunnen voldoen. +
Configuratie aanpassing is doorgevoerd om ook HSTS volledig te ondersteunen. +
E-mails verzonden vanuit TenderNed zijn beveiligd met DKIM (zie: https://internet.nl/mail/tenderned.nl/). +
STARTTLS en DANE worden ondersteund. +
Configuratie aanpassing is doorgevoerd op ook IPV6 volledig te ondersteunen. +
Geautomatiseerd gecreëerde PDF's (bij de aankondigingen) zijn gemaakt in versie 1.7. +
De dienstverlener van TenderNed geeft aan te voldoen aan RPKI. +
We hebben op dit moment de B status. We zijn in onderzoek om de A status behalen. +
Per 1 juli 2014 is het mogelijk voor gebruikers om, naast de huidige registreer- en inlogmogelijkheden, gebruik te maken van inloggen via eHerkenning. +
TenderNed is ISO27001/2 gecertificeerd. Dit wordt jaarlijks geaudit. +
De publieke API’s worden beschreven door middel van Swagger. Swagger kan je zien als OAS versie 2.0. Swagger als API Specificatie bestaat niet meer en is opgegaan in OAS. TenderNed voldoet daarmee niet aan OAS 3.0. Deze versie is belangrijk omdat deze samenhang aanbrengt in de verschillende manieren om API specificaties op te stellen. We zijn aan het onderzoeken om onze Swagger specificaties om te zetten naar OAS 3.0 specificaties. +
TenderNed past TLS 1.2 toe (zie: https://internet.nl/site/www.tenderned.nl/). Voor een aantal koppelingen wordt nog TLS 1.0 gebruikt voor compatibiliteit. +
SPF is inmiddels aangezet door de technisch dienstverlener DICTU (zie: https://internet.nl/mail/tenderned.nl/). +
DNSSEC wordt ondersteund (zie: https://internet.nl/site/www.wozwaardeloket.nl). +
Het Kadaster eist minimaal TLS 1.2. De inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) van het Kadaster hebben geen ondersteuning voor Secure Renegotiation. Het probleem raakt alle Kadaster endpoints. Tegenwoordig wordt het meeste verkeer op de IPS/IDS ontsleuteld om zicht te krijgen op aanvallen (threats). Wanneer de IDS/IPS een threat detecteert wordt de verbinding gereset. Daardoor houdt het Kadaster veel problemen buiten de deur. Het nadeel is dat pentesten door deze aanpak constateren dat het Kadaster Secure Renegotiation niet ondersteunt. Er wordt door onze IT-leverancier gezocht naar een oplossing voor dit probleem. +
Controle toont aan dat juiste prefixen worden geaccepteerd en ongeldige prefixen worden afgewezen). +
Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statement opgenomen. +
SPF is geïmplementeerd (zie: https://internet.nl/mail/wozwaardeloket.nl). +
Centraal geregeld: deze standaard is geïmplementeerd en actief voor ons e-maildomein @kadaster.nl (zie: https://internet.nl/mail/kadaster.nl/). Er is geen mailserver voor het domein wozwaardeloket.nl en er is hiervoor geen DMARC policy quarantine of reject actief (zie: https://internet.nl/mail/wozwaardeloket.nl). De DMARC policy is daardoor niet voldoende strikt waardoor er niet aan de standaard wordt voldaan. +
Exact dezelfde website is zowel over IPv4 als IPv6 bereikbaar (zie: https://internet.nl/site/www.wozwaardeloket.nl). +
Het WOZ-waardeloket biedt de mogelijkheid een schermafdruk van de gegevens in PDF 1.7-formaat te downloaden. +
Het WOZ-waardeloket voldoet aan de eisen voor Digitoegankelijkheid. De website is net vernieuwd. Een zelfrapportage hiervoor komt later online. +
HTTPS en HSTS zijn geïmplementeerd (zie: https://internet.nl/site/www.wozwaardeloket.nl). +
RDW meldt op de website hoe klanten e-facturen aan RDW kunnen versturen. Het is bij de beheerder niet duidelijk of daarin NLCIUS wordt gebruikt. +
De RDW voldoet op dit moment niet aan deze standaard. De RDW heeft een aanbesteding lopen waarmee voor ondertekening kan worden voldaan aan de Ades Baseline Profiles standaard. Naar verwachting vindt de implementatie Q4 2022 plaats. +
RDW gebruikt momenteel de Symantec Mail Gateway (SMG). In GUI van de SMG wordt alleen nog maar TLS 1.2 of hoger geaccepteerd en is dit dusdanig ingesteld (1.0 en 1.1 worden dus actief geblokkeerd). Voor DANE zijn we afhankelijk van de roadmap van Microsoft. Zie ook DNSSEC. +
De niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Alle .nl rdw domeinen zijn gesigned met DNSSEC. De diensten op (voertuig)gegevens draaien als microservices in de Azure cloud en het is bekend dat hierop geen DNSSEC en daarmee ook DANE mogelijk is. Inmiddels is Microsoft bezig om hier invulling aan te geven: Microsoft 365 Roadmap. +
Er is een zelfverklaring aanwezig, zie https://www.toegankelijkheidsverklaring.nl/register/1979. In juli 2021 is een nulmeting uitgevoerd, gevolgd door een volledige toegankelijkheidstest op rdw.nl begin 2022. Oplossingen voor de mogelijk gemelde issues (op gebied van ontwerp, bouw en content) worden z.s.m. daarna doorgevoerd, waarbij in het 3e kwartaal 2022 een hertest toegankelijkheid wordt uitgevoerd op rdw.nl. De testen worden door een onafhankelijke partij uitgevoerd. Dit heeft tot doel om via deze aanpak niveau A te bereiken. +
OAuth2.0 wordt ondersteund door RDW. Voornamelijk voor de interne bedrijfsvoering, maar er is één externe koppeling waarop OAuth2.0 wordt toegepast. +
De bestaande REST-API’s zijn niet tegen de REST-API Design Rules aangehouden. +
Digikoppeling wordt toegepast in de rol van afnemer van berichten van basisregistraties(HR). De ebms-koppeling met Digilevering is operationeel in de produktie-omgeving. De aansluiting op Digilevering wordt nu alleen gebruikt in de rol van afnemer van het stelsel van basisregistraties. Het aansluiten van de BRI als Basisregistratie/leverancier op Digilevering was vorig jaar niet eerder dan 2017-2018 gepland. +
De BRI voldoet aan de standaard beveiligingseisen van de Belastingdienst. Deze eisen zijn conform VIR met classificatie departementaal vertrouwelijk. Voor opsporingsgegevens (FIOD) geldt een strakker regime. Aangezien het beveiligingskader voor de gehele Belastingdienst geldt, is er geen apart in control statement voor de BRI. +
De actuele versies van TLS maken deel uit van de standaard beveiligingsrichtlijnen van de Belastingdienst. +
WPA2 wordt toegepast door de Belastingdienst. +
Het Kadaster voldeed al aan de Webrichtlijnen en heeft daarnaast een toegankelijkheidsverklaring gepubliceerd op kadaster.nl, waarin zij verklaart z.s.m. te willen voldoen aan Digitoegankelijk. +
De BRT wordt zowel geleverd via PDOK (Wat biedt Publieke Dienstverlening Op de Kaart) in GML (Objectdata), als via internationale Geo-standaarden. Daarnaast wordt de BRT geleverd via PDOK in rasterformaat in GEO, tiff formaat en WMTS (Web Map Tile Service). +
HTTPS wordt al toegepast, HSTS nog niet (zie https://internet.nl/domain/www.kadaster.nl/87074). Dit wordt na 8 september 2017 opgepakt, met verwachte implementatie per Q1 2018. +
Het Kadaster is gecertificeerd voor NEN-ISO/IEC 27001 en hanteert 27002. Het Handboek Beveiliging Kadaster is volledig op de BIR gebaseerd. In het jaarverslag is een in control statement opgenomen. +
OWMS is wel van toepassing, maar PDOK hanteert via het Nationaal GEO Register de wettelijk vastgelegde standaarden, gebaseerd op Inspire en ISO volgens het zogenaamde NL profiel. Data.overheid.nl harvest het NGR met behulp van de CSW standaard (Catalogue Services for the Web' een OGC-Geostandaard (Open Geospatial Consortium), ook onderdeel van INSPIRE). De BRT voldoet dus niet aan de standaard maar voldoet wel aan alternatieve internationale standaarden. Er zijn geen interoperabiliteitsproblemen hierdoor. +
Het Kadaster hanteert SKOS voor de beschikbaarstelling van begrippenkaders van basisregistraties. De begrippenkaders voor de BRK zoals gepubliceerd op brk.kadaster.nl, de BAG zoals gepubliceerd op bag.kadaster.nl en de BGT (IMgeo) en BRT op definities.geostandaarden.nl zijn allemaal conform SKOS. +
STARTTLS is al geïmplementeerd (zie https://internet.nl/domain/www.kadaster.nl/87074). DANE zal na 8 september opgepakt worden, met verwachte implementatie per Q1 2018. +
Deze standaard wordt volledig door het Kadaster ondersteund (zie https://internet.nl/domain/www.kadaster.nl/87074) +
RDW doet aan verschillende vormen van document management. De RDW consolideert daarvoor op het Sharepoint platform. Dat platform kan CMIS ondersteunen, maar het staat per default uit. Er is op dit moment geen aanleiding, zowel intern als extern, om CMIS toe te passen. +
RDW maakt voor alle nieuwe uitwisselingen gebruik van Digikoppeling. Dat is onder meer het geval in de uitwisseling met MijnOverheid (Berichtenbox), CJIB, Politie, ILT, CBR, de Belastingdienst, etc. +
De RDW heeft de toegankelijkheidsverklaring op de site geplaatst. Zie: https://www.rdw.nl/overrdw/Paginas/Toegankelijkheidsverklaring.aspx?path=Portal/Over RDW/Kwaliteit. De website van de RDW voldoet nog niet volledig aan Digitoegankelijk. Wel loopt een project voor volledige herbouw van RDW.nl. Hierin is aandacht voor Digitoegankelijk. Wanneer de site wordt opgeleverd zal een audit hierop worden gedaan. +
De niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Die site is volgens internet.nl gesigned met DNSSEC. Alle .nl rdw domeinen zijn gesigned met DNSSEC. Alle overige domeinen (.eu, .info, .com) staan binnen het programma RIT op de planning voor eind 2017, maar maken geen deel uit van de BRV. +
HSTS gaat Fujitsu activeren voor de HTTPS ingangen die onderdeel zijn van de nieuwe werkplek omgeving. Voor de RDW diensten omgeving wordt HSTS geactiveerd bij de overgang van TMG naar F5. Dit wordt voor 1 juli 2018 gerealiseerd. +
IPv4 wordt gesupport, IPv6 wordt nog niet ingezet. De BRV is te bevragen via www.rdw.nl. Op dit moment ziet de RDW voor de BRV nog geen noodzaak om op IPv6 over te gaan. +
RDW is ISO 27001/2 gecertificeerd. RDW voldoet niet aan alle extra voorschriften van de BIR, dat hoeft ook niet want RDW is gehouden aan de VIR (en met auditor is afgesproken dat voldoen aan de 27001/27002 norm gelijk staat aan voldoen aan de VIR). Er is een in control statement van de 27001/27002 en de BKR-audit. +
De toegang tot BRV-data is op data.overheid.nl in overeenstemming met OWMS gemetadateerd beschikbaar. +
Bij digitale dienstverlening worden uittreksels en informatie uit de BRV in PDF/A vorm verstrekt. +
Op 4 juli 2017 is de SAML2.0 koppeling actief geworden. +
Socrata verzorgt de open data omgeving van de RDW (https://opendata.rdw.nl/browse). Het RDF-XML formaat wordt ondersteund en de beheerder geeft aan dat zeer waarschijnlijk ook de SKOS standaard wordt ondersteund. +
RDW ondersteunt en gebruikt de SPF (Sender Policy Framework) standaard voor email verkeer. +
STARTTLS, DANE, DKIM en SPF (Sender Policy Framework) wordt bij de overgang naar Fujitsu voor alle DNS domeinen geïmplementeerd. Dit wordt voor 1 juli 2018 gerealiseerd. +
RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling. +
Er zijn plannen om voor de BRP (basisregistratie personen) gebruik te gaan maken van Digikoppeling. Gezien het BRP bezinningsproces is de planning onduidelijk. Ontsluiting van BV-BSN middels Digikoppeling zal niet plaatsvinden. Gebruik van beide voorzieningen verloopt via besloten netwerken, meer specifiek en voornamelijk Gemnet/Diginetwerk. Aansluitingen op Diginetwerk zijn inmiddels gerealiseerd en worden richting gemeenten en afnemers gecommuniceerd. +
Alle aangeboden webservices draaien HTTPS en HSTS. +
De voorzieningen zijn IPv6-ready in datacentrum, maar er wordt momenteel gebruik gemaakt van IPv4 adressen via Gemnet/Diginetwerk. Het is nog niet bekend wanneer er met het ontsluiten op IPv6 zal worden begonnen. Wel is inmiddels de ontsluiting via DigiNetwerk begonnen. +
De Rijksdienst voor Identiteitsgegevens heeft een beveiligingsplan op basis van de BIR. Hier worden externe audits op gedaan. Er is een In Control Verklaring (ICV) aanwezig. +
De voorziening spreekt de WSI standaard XML/SOAP met haar gebruikers. Er is geen concrete planning voor de invoering van StUF. +
De voorziening ondersteunt zowel TLS 1.2, 1.1 als 1.0. +
Overheden kunnen via Digikoppeling geautomatiseerd berichten verzenden en ontvangen. Ondernemers kunnen alleen handmatig (via de website) hun Berichtenbox gegevens opvragen. +
Dictu heeft een webrichtlijnen toets gedaan, zie meegezonden stuk. Een concrete planning is nog niet bekend. +
DKIM is niet geïmplementeerd (zie https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl/34865). <sup class="noot">Bij de beheerorganisatie is nog onduidelijk wat de status van deze standaard moet zijn. Voor deze reden is in de rapportage de zichtwijze op basis van de internet.nl toets gehanteerd. </sup> +
Volgens internet.nl voldoet het domein berichtenbox.antwoordvoorbedrijven.nl (zie https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl/34865). +
HTTPS is geïmplementeerd, maar HSTS wordt niet afgedwongen (zie https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/91865). +
De website van de Berichtenbox ondersteunt IPv4 maar is volgens internet.nl niet toegankelijk via IPv6 (zie https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/91865). De Berichtenbox is wel IPv6 ready, maar nog niet de hele keten. E-ovb (beheerder van de Berichtenbox) is daarbij ook afhankelijk van leveranciers die hun IPv6 implementatie nog niet op orde hebben. De implementatie moet DICTU-breed gebeuren voordat dit voor de Berichtenbox gedaan zal worden. Een datum voor de implementatie is niet bekend. +
Alle berichten kunnen worden gedownload (vanaf de Berichtenbox website) in PDF/A formaat. PDF-documenten worden gegenereerd in PDF A/1. +
eHerkenning is SAML-based en wordt toegepast voor het inloggen op de Berichtenbox. +
SPF (Sender Policy Framework) is niet geïmplementeerd (zie https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl/34865). <sup class="noot">Bij de beheerorganisatie is nog onduidelijk wat de status van deze standaard moet zijn. Voor deze reden is in de rapportage de zichtwijze op basis van de internet.nl toets gehanteerd. </sup> +
Wordt in combinatie met Digikoppeling gebruikt voor de uitwisseling met alle partijen die via digikoppeling op de berichtenbox zijn aangesloten. +
De Berichtenbox maakt gebruik van TLS (1.2, 1.1 en 1.0). Zie https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/87107. +
SSC-ICT is in staat om dit te leveren waar het door een afnemer gevraagd wordt. Voor een aantal klanten wordt dit geleverd. +
Binnen VenJ vindt elektronisch berichtenverkeer interdepartementaal plaats via de Justitie Berichten Service (JUBES). JUBES is vanuit VenJ het koppelvlak voor de Digikoppeling dienst van Logius. De open standaarden eBMS en WUS zijn de daarbij gebruikte protocollen om de berichten veilig te versturen. Verder nemen alle departementen uit het verzorgingsgebied van SSC-ICT deel aan eFacturatie. +
Niet alle websites waar SSC-ICT zelf eigenaar is, voldoen op dit moment aan Digitoegankelijk. SSC-ICT is niet eigenaar van alle websites van haar klanten, bij deze websites ligt de verantwoordelijkheid bij de klant zelf. +
DKIM is geïmplementeerd voor 72 van de 90 domeinen die SSC-ICT in beheer heeft. Het is geïmplementeerd in combinatie met SPF (Sender Policy Framework) en DMARC (DMARC is begin 2015 aangemeld voor opname op de pas-toe-of-leg-uit-lijst). +
De domeinen van de klanten van SSC-ICT die via de DNS van AZ lopen, voldoen. De domeinen van de klanten van SSC-ICT die via de DNS van SSC-ICT lopen, voldoen eind 2017. SSC-ICT geeft aan dat de cliënt DNSSEC-validatie ondersteunt, en dat RijksDNS DNSSEC-validatie ondersteunt. +
HTTPS wordt gebruikt, maar HSTS wordt niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS. +
IPv4 is in gebruik. De gebruikte technische componenten van DWR ondersteunen wel IPv6. IPv6 is een onderdeel van de infrastructuur en IPv6 reeksen worden uitgedeeld door Logius. Het is de bedoeling dat de internet facing kant van de DMZ IPv6 gaat ondersteunen, maar een concrete tijdlijn staat nog niet vast. +
DWR voldoet aan de BIR en wordt hier ook op ge-audit. De laatste audit heeft plaatsgevonden in de periode 2015/2016. +
De DWR Next client wordt geleverd met zowel Libreoffice 5.0 als Office 2016. Beide softwaresuites ondersteunen het lezen en schrijven van ODF bestanden. +
De DWR Next client kan alle types PDF lezen. Schrijven van PDF kan op meerdere manieren. Alle types worden ondersteund, al is daarvoor soms wel het installeren van Adobe Acrobat Professional benodigd. PDF A/2 is mogelijk voor klanten die Adobe Acrobat Pro afnemen. De regulier verstrekte Adobe Acrobat Standard ondersteunt PDF A/2 niet, maar wel PDF 1.7 en PDF A/1. +
Single Sign-on (SSO) op basis van SAML 2.0 wordt aangeboden als dienst in de Servicecatalogus van SSC-ICT. Het SSO-koppelvlak is een generieke dienst. Het project DOorontwikkeling Single Sign-On (DOrSSOn) voorziet internet facing aanvulling van de huidige oplossing met open source componenten gebaseerd op de standaarden SAML 2.0 en OAuth 2.0 in opdracht van de CIO Rijk. +
SPF (Sender Policy Framework) wordt op 72 van de 90 domeinen toegepast. +
De internet mailvoorziening werkt met STARTTLS. Implementatie van onder meer DANE is in onderzoek in het verlengde van het initiatief 'Veilige E-mail Coalitie'. DANE wordt niet meer in 2017 geimplementeerd, maar waarschijnlijk pas in 2018. +
De op de werkplek aangeboden browsers ondersteunen deze versies van TLS. De internet mailvoorziening werkt met STARTTLS. Voor webservers met applicaties van klanten wordt dit toegepast voor de klanten die dit hebben aangevraagd. +
Op de wifivoorziening van DWR wordt deze standaard toegepast. Dit is een kantoorvoorziening. +
Het huidige PBS koppelvlak kan niet zomaar Digikoppeling compliant gemaakt worden, onder andere omdat er klanten op zijn aangesloten. De insteek van Logius is dat nieuwe koppelvlakken zoals het DVS of nieuwe versies van koppelvlakken Digikoppeling compliant worden uitgevoerd, en dat reeds aangesloten partijen overgaan naar deze koppelvlakken. Het huidige PBS koppelvlak stamt nog uit de tijd dat de Digikoppeling standaard in ontwikkeling was, en voldoet deels aan de uiteindelijke ontstane Digikoppeling standaard. Een nieuwe versie van het PBS koppelvlak is nog niet ontwikkeld maar zal Digikoppeling compliant uitgevoerd worden. +
De voorziening voldoet nu niet aan deze standaard. Bij de laatste test in 2016 zijn enkele bevindingen geconstateerd (mede als gevolg van een andere interpretatie van enkele normen). +
Volgens internet.nl voldoet het domein https://machtigen.digid.nl aan DNSSEC (zie https://internet.nl/site/machtigen.digid.nl/91888). +
Deze standaarden zijn geimplementeerd (zie https://internet.nl/site/machtigen.digid.nl/91888). +
Zowel IPv6 als IPv4 worden ondersteund (zie https://internet.nl/site/machtigen.digid.nl/91888). +
Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). +
De voorziening voldoet aan deze standaard. +
Het authenticatie koppelvlak met eHerkenning voldoet aan de SAML standaard. Het authenticatie koppelvlak met DigiD maakt geen gebruik van SAML. Dit koppelvlak is door DigiD Machtigen gerealiseerd toen DigiD nog geen SAML koppelvlak bood. Wanneer er meer duidelijkheid komt over eID wordt een keuze gemaakt over de implementatie van SAML. Logius gaat die keuze nu nog niet maken om desinvesteringen tegen te gaan.
Naast authenticatie gebruikt DigiD Machtigen de SAML standaard ook om een getekend machtigingsbewijs af te geven, namelijk als een SAML assertion. +
De voorziening voldoet aan deze standaard, zie ook de toelichting bij DigiD. +
TLS is geïmplementeerd. DigiD Machtigen ondersteunt TLS v1.0, TLS v1.1 en TLS v1.2. Voor brede comptabiliteit worden TLS 1.0 en 1.1 nog ondersteund. Tijdens dit onderzoek is DDM aangepast zodat de site ook compliant is met de alle eisen die door de toets via internet.nl gehanteerd worden. +
Als overgangsperiode voldoet DigiD nu nog aan de Webrichtlijnen, een externe toets ten behoeve hiervan heeft plaatsgevonden (https://www.accessibility.nl/ondersteuning/inspectie/site-981 en https://www.digid.nl/help). Echter, tijdens dit onderzoek vond er een toets plaats WCAG2.0 AA t.b.v. de nog op te stellen Digitoegankelijk verklaring. +
DigiD mail wordt verstuurd met een DKIM signature (zie https://internet.nl/mail/digid.nl/34847). +
DNSSEC is doorgevoerd in release 4.5 van DigiD en inmiddels operationeel. Ook de mailservers voldoen aan de standaard (zie https://internet.nl/domain/digid.nl/87081). +
DigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt de DigiD website HSTS-policy met een geldigheidsduur van 1 jaar (zie https://internet.nl/domain/digid.nl/87081). +
De website DigiD.nl is via IPv6 toegankelijk. Inmiddels verlopen ook de mailstromen via IPv6 (zie https://www.internet.nl/mail/digid.nl/17054). +
Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). +
DigiD biedt aan afnemers een SAML-koppelvlak. De meeste afnemers zitten nog op het A-select koppelvlak. SAML berichtuitwisseling in het eID stelsel (http://www.eid-stelsel.nl) zal anders zijn dan die van DigiD. Om partijen niet tot meerdere migraties te dwingen houdt DigiD het A-select koppelvlak nog in stand. +
SPF (Sender Policy Framework) is relevant voor DigiD bij alle mails vanuit de DigiD applicatie, en DigiD voldoet ook aan deze standaard (zie https://internet.nl/mail/digid.nl/34847) +
De mailserver van DigiD passen STARTTLS en DANE toe (zie https://www.internet.nl/mail/digid.nl/41975). +
DigiD ondersteunt TLS v1.0 en TLS v1.2. TLS 1.1 wordt niet ondersteund, omdat Logius een sterke voorkeur heeft voor TLS 1.2. Om brede comptabiliteit mogelijk te maken wordt TLS 1.0 nog steeds ondersteund. +
De OHNL e-factuur berichten voldoen aan de SMEF 1.3 specificaties. Voor het uitvoeren van de upgrade naar SMEF 2.0 heeft Logius geen opdracht gekregen van EZ. +
Digi-Inkoop voldoet aan DNSSEC (zie https://internet.nl/mail/digiinkoop.nl/36515). +
De voorziening voldoet aan HTTPS, maar niet aan HSTS <sup class="noot">Hiervoor bestaat nog geen planning. </sup><sup class="noot">Volgens https://internet.nl/mail/digiinkoop.nl/36515 voldoet de voorziening naast HTTPS ook wel aan HSTS. </sup> +
IPv6 werd vorig jaar niet ondersteunt door de hoster van Digi-Inkoop. Er zijn geen plannen dit te realiseren, en er is geen opdracht om dit aan te passen. (zie ook https://internet.nl/mail/digiinkoop.nl/36515) +
Digi-Inkoop voldoet aan de BIR. Er is een in control statement afgegeven. Leveranciers voldoen aan ISO 27001. +
De Digi-Inkoop applicatie produceert inkooporders en facturen in PDF formaat. Documenten die op logius.nl beschikbaar worden gesteld zijn in PDF/A formaat (dit zijn de documenten over de berichtenverkeerstandaarden waar Digi-Inkoop gebruik van maakt: https://www.logius.nl/ondersteuning/gegevensuitwisseling/ubl-ohnl en https://www.logius.nl/ondersteuning/gegevensuitwisseling/setu-hr-xml-ohnl). +
Digi-Inkoop ondersteunt de uitwisseling van SETU-hr-XML berichten +
Digi-Inkoop voldoet nog niet aan deze standaard, en er bestaan op dit moment ook nog geen plannen om dit in de toekomst te implementeren. Digiinkoop.nl is alleen een applicatie domein, er wordt niet gemaild vanaf dit domein. +
Digi-Inkoop is 1.2 compliant (zie https://internet.nl/mail/digiinkoop.nl/36515). +
Digilevering maakt gebruik van Digikoppeling +
Digilevering draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen.
DKIM is geïmplementeerd op de centrale voorziening mail relay. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
DNSSEC is geïmplementeerd op de centrale voorziening DNS. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digilevering voldoet aan de HTTPS standaard. Aan HSTS wordt niet voldaan. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digilevering gebruikt het Logius infrastructuur platform. Dit platform ondersteunt de open standaard IPv4 en IPv6 voor internet gebruik. Digilevering ondersteunt op dit moment alleen IPv4. +
Digilevering draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen.
SPF (Sender Policy Framework) is geïmplementeerd op de centrale voorziening mail relay. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digilevering draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digilevering draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen.
SPF (Sender Policy Framework) is geïmplementeerd op de centrale voorziening mail relay. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digimelding draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digimelding maakt gebruik van Digikoppeling +
DKIM draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen.
DKIM is geïmplementeerd op de centrale voorziening mail relay. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
DNSSEC is geïmplementeerd op de centrale voorziening DNS. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digilevering voldoet aan de HTTPS standaard. HSTS wordt niet toegepast. *)
*) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. +
Digimelding gebruikt het Logius infrastructuur platform. Dit platform ondersteunt de open standaard IPv4 en IPv6 voor internet gebruik. Digimelding ondersteunt op dit moment alleen IPv4. +
DNSSEC validatie wordt toegepast op Rijks-DNS. +
Binnen Diginetwerk wordt alleen IPv4 gebruikt, binnen het nummerplan is voldoende IPv4 ruimte beschikbaar. Er zijn geen specifieke plannen voor IPv6, maar er is een beleidsvoorstel om in tijdsperiode 2017/2018 plannen te gaan ontwikkelen. +
Deze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard. +
Om STARTTLS/DANE op Diginetwerk te kunnen faciliteren dient de RijksDNS het DANE TLSA-record te ondersteunen. Dat is op dit moment nog niet het geval, maar ondersteuning voor het TLSA-record zal in 2017 gerealiseerd worden. Het gebruik van de standaard STARTTLS/DANE wordt bepaald door de toepassingen en niet door Diginetwerk. +
Zie de koppelvlakspecificaties op http://www.logius.nl/producten/gegevensuitwisseling/digitpoort/koppelvlakken +
DigiPoort voldoet aan DKIM. Dit is ook relevant omdat de voorziening een SMTP koppelvlak heeft. +
Hoewel DigiPoort werkt met PKI certificaten ter authenticatie, zou DNSSEC ook ingericht moeten zijn. Er zijn geen plannen om dit in te richten, omdat de voorziening geen businesscase hiervoor ziet omdat het risico nihil is. +
De voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS. +
Digipoort gebruikt het Logius infrastructuur platform. Dit platform ondersteunt de open standaard IPv4 en IPv6 voor internet gebruik. Digipoort ondersteunt IPv4 +
DigiPoort voldoet aan de BIR. Leveranciers voldoen aan ISO 27001 of vergelijkbare standaard. +
DigiPoort ondersteunt de uitwisseling van SETU-hr-XML berichten +
DigiPoort heeft geen SPF (Sender Policy Framework)-records. Er wordt niet gemaild vanuit dit domein, maar SPF (Sender Policy Framework) zou wel ingericht moeten worden. Er wordt op dit moment naar gekeken, maar er liggen nog geen formele plannen deze stap te maken. +
Zowel STARTTLS als DANE zijn beide ingericht. +
Digipoort ondersteunt v1.2, maar niet meer de verouderde versies. +
Wordt ondersteund door Digipoort. +
Bij Doc-Direct loopt momenteel een onderzoek over de mogelijke toepassing van deze standaard in de toekomst. De uitkomsten daarvan zijn naar verwachting in het eerste kwartaal van 2018 bekend. +
De mogelijkheid en noodzakelijkheid van het toepassen van deze standaard werden in 2016 nader onderzocht, maar dit heeft nog niet tot een besluit geleid. +
Op dit moment wordt geen gebruik gemaakt van Digikoppeling +
Volgens SSC-ICT maakt Doc-Direkt gebruik van de mailservers van SSC-ICT, deze zijn onderdeel van het BZK domein, waarvoor DKIM actief is. +
Ook hierover loopt een onderzoek over de mogelijke toepassing van deze standaard in de toekomst. De uitkomsten daarvan zijn naar verwachting in het eerste kwartaal van 2018 bekend. +
De Haagse ring, waarover praktisch al het verkeer naar de Doc-Direkt voorzieningen loopt, ondersteunt geen IPv6. Het is bij Doc-Direkt niet bekend wanneer IPv6 gebruikt gaat worden. De beheerder van de Haagse Ring is Logius. De Haagse Ring is onderdeel van Diginetwerk. Binnen Diginetwerk wordt alleen IPv4 gebruikt, binnen het nummerplan is nu nog voldoende IPv4 ruimte beschikbaar. +
Voor de informatiesystemen waarvan Doc-Direkt eigenaar is, is in 2016 een 'in controle verklaring' opgesteld. Op de punten waar Doc-Direkt afwijkt is een uitleg gegeven (explains) en er is een verbeterplan opgesteld. +
Voor bewerkbare documenten wordt alleen .doc-formaat gebruikt. Er zijn geen plannen ODF te gebruiken. +
Doc-Direkt ondersteunt in haar archieven vooral PDF/A. Alles wat gescand wordt gaat naar PDF/A. Daarnaast wordt ook 1.7 veel gebruikt. +
Via de werkplek DWR kunnen medewerkers via SSO inloggen op de door Doc-Direkt beheerde DMS applicatie. +
SKOS wordt op dit moment niet toegepast. Er zijn nog geen plannen bekend of en wanneer SKOS geïmplementeerd zal worden. +
Ook SPF (Sender Policy Framework) wordt op dit moment niet toegepast, en het is nog niet bekend of en wanneer SPF (Sender Policy Framework) geïmplementeerd zal worden. +
Het is bij Doc-Direkt niet bekend of TLS van toepassing is en daarmee ook niet wanneer dit geïmplementeerd is. +
Uittreksels worden verstrekt in PDF 1.4-formaat. Databestanden worden vooral in GML uitgewisseld. GML is een standaard XML-formaat voor Geo-data, gebaseerd op de Geo-standaarden. Afnemers melden geen problemen met het huidige PDF formaat. Daarom geeft het Kadaster geen prioriteit aan het vervangen van PDF 1.4. Voor het archiveren van kennisgevingen wordt gebruik gemaakt van PDF/A-1. +
Het Kadaster hanteert SKOS voor de beschikbaarstelling van begrippenkaders van basisregistraties. De begrippenkaders voor de BRK zoals gepubliceerd op brk.kadaster.nl, de BAG zoals gepubliceerd op bag.kadaster.nl en de BGT (IMgeo) en BRT op definities.geostandaarden.nl zijn allemaal conform SKOS. Voor de WOZ moet deze slag nog worden gemaakt. (4 van de 5 BR's) +
Is geïmplementeerd per 8 september. (zie https://internet.nl/mail/kadaster.nl/36502) +
STARTTLS is geïmplementeerd, maar DANE wordt na 8 september opgepakt, met verwachte implementatie per Q1 2018. (zie https://internet.nl/domain/www.kadaster.nl/87074) +
Het Kadaster maakt deels gebruik van StUF en is deels volgens de Geo-standaarden (GML) opgemaakt. StUF wordt gebruikt voor aanlevering van bronhouder naar LV-BAG, LV-WOZ en LV-BGT. WOZ en BGT worden ook geleverd in StUF. +
Deze standaard wordt volledig door het Kadaster ondersteund. (zie https://internet.nl/domain/www.kadaster.nl/87074) +
Vrijwel alle koppelingen met afnemers, andere basisregistraties en evtl. front-office systemen worden gelegd op basis van Digikoppeling:
* de koppelingen voor het aanleveren van gegevens aan LV-BAG, LV-WOZ en LV-BGT zijn gebaseerd op Digikoppeling standaarden;
* het aanleveren door bronhouders (o.a. notariaat) van gegevens aan de BRK is niet gebaseerd op Digikoppeling;
* de koppelingen voor het verkrijgen van informatie van gegevens uit LV BAG en LV WOZ en BRK zijn gebaseerd op Digikoppeling.
Daarnaast kan informatie uit LV's worden verkregen via PDOK (Publieke Dienstverlening op de Kaart) die gebruik maakt van de Open GEO-standaarden. Ook de informatie uit de BRT wordt op deze wijze geleverd. Gegevens uit de BGT zijn beschikbaar via PDOK. +
Het Kadaster voldeed vorig jaar al aan de Webrichtlijnen en heeft een toegankelijkheidsverklaring gepubliceerd op kadaster.nl. +
De implementatie van DKIM wordt is 8 september 2017 afgerond. +
De website www.kadaster.nl ondersteunt DNSSEC (zie https://internet.nl/domain/www.kadaster.nl/87074) +
Naast de INSPIRE richtlijnen, maakt het Kadaster gebruik van NEN3610 en de meest gangbare Geo standaarden voor de betreffende basisregistraties. +
HTTPS is correct geconfigureerd (en wordt afgedwongen) en alleen HSTS ontbreekt nog (zie https://internet.nl/domain/www.kadaster.nl/87074). Dit wordt na 8 september opgepakt, met verwachte implementatie per Q1 2018. +
Zowel IPv4 als IPv6 worden ondersteund door het Kadaster. (zie https://internet.nl/domain/www.kadaster.nl/87074) +
Nieuwe koppelingen worden conform Digikoppeling 2.0 ingericht. Nagenoeg alle koppelingen voldoen aan de standaard, alleen in het uitzonderlijke geval dat een afnemer dit niet ondersteunt, dan niet. +
De laatste Webrichtlijnen toets is door Stichting Accessibility uitgevoerd (niet meer door Centric zoals voorheen) en hieruit zijn een aantal issues naar voren gekomen. Deze issues zijn opgelost en er is een nieuwe toets aangevraagd. Pas daarna kan worden vastgesteld of MijnOverheid volledig voldoet aan deze standaard. +
MijnOverheid voldoet aan DKIM (conform https://internet.nl) +
MijnOverheid voldoet aan DNSSEC (conform https://internet.nl) +
Deze standaard wordt toegepast. +
Mijnoverheid gebruikt het Logius infrastructuur platform. Dit platform ondersteunt de open standaard IPv4 en IPv6 voor internet gebruik. Mijnoverheid ondersteunt op dit moment alleen IPv4.
(Er zijn plannen om IPv6 te activeren, maar er is nog geen concrete datum aan deze plannen gekoppeld) +
Op de Rijksoverheid is de Baseline Informatiebeveiliging Rijk (BIR) van toepassing die is gebaseerd op NEN-ISO27001. Logius heeft zich over toepassing van deze norm verantwoord door het afgeven van In Control Verklaringen (ICV's) aan de eigenaar (BZK/DGOBR). De ICV's zijn nog up-to-date. +
OWMS wordt niet ondersteund, want de web content van MijnOverheid is specifiek voor MijnOverheid en wordt dus niet uitgewisseld met andere partijen. +
MijnOverheid ondersteunt het genoemde PDF formaat, maar controleert hier niet op. MijnOverheid genereert zelf geen PDF files. In 2016 is een impact-analyse uitgevoerd om te onderzoeken wat het betekent wanneer men PDF-bijlages wel gaat controleren en wat eventuele vervolgacties zijn. Er is besloten om niet op formaat te gaan controleren +
Authenticatie loopt via SAML +
SPF (Sender Policy Framework) is relevant en inmiddels geïmplementeerd. +
Deze standaard relevant en wordt toegepast. +
MijnOverheid heeft waar relevant de koppeling op basis van StUF. Dit is alleen relevant voor WOZ en Lopende Zaken +
In de dienstverlening aan burgers maakt MijnOverheid gebruik van een TLS 1.2-verbinding (https://internet.nl/site/mijn.overheid.nl). De koppelingen met afnemers (overheidsorganisaties) lopen ook via TLS op basis van PKIoverheid-certificaten. +
De NHR voldoet aan de Ades Baseline Profiles standaard. +
De bij de KvK in gebruik zijn de content management systemen Tridion en Documentum zijn compliant aan de CMIS standaard. Nog niet alle interne koppelingen op deze systemen zijn al gemigreerd naar deze standaard, daar zijn op ook nog geen plannen voor. +
Ongeveer 10% van het verkeer van het NHR gaat naar mede-overheden. Die uitwisselingen vinden allemaal plaats via Digikoppeling en StUF. +
De KvK voldoet voor een groot deel aan Digitoegankelijk. In 2016 werd gepland om in 2017 een scan op de planning om de status te herijken en van daaruit noodzakelijke verbeteringen door te voeren, maar dit is nog niet gebeurd. De huidige planning is Q4 2017. +
Het domein kvk.nl voldoet aan DKIM (zie https://internet.nl/mail/kvk.nl/34914). +
DNSSEC wordt nog niet toegepast (zie https://internet.nl/site/www.kvk.nl/87180). De planning voor implementatie van de DNSSEC is Q4 2017. +
De voorziening gebruikt beide HTTPS, maar nog niet HSTS (zie https://internet.nl/site/www.kvk.nl/87180). De planning is om HSTS Q4 2017 nog te gaan ondersteunen. +
De website kvk.nl ondersteunt IPv4, maar is niet toegankelijk via IPv6 (zie https://internet.nl/site/www.kvk.nl/87180). Het project om over te stappen naar IPv6 project is door de KvK nog niet ingepland. De KvK had in 2016 wel voorbereidingen getroffen, waaronder de overstap naar een andere ISP provider, zodat de KvK een migratie naar IPv6 uit kan gaan voeren. Deze situatie was in augustus 2017 nog niet veranderd. +
De KvK is sinds 2016 ISO 27001 gecertificeerd en hanteert ISO27002. +
Alle uittreksels en informatie uit het NHR wordt in PDF/A-vorm verstrekt. Het betreft PDF A/1. +
eHerkenning is SAML-based en wordt toegepast voor het aanleveren van jaarrekeningen en informatieverstrekking. In de notarisapplicatie kan de notaris van achter zijn computer rechtstreeks opgave doen. Ook hier wordt gebruik gemaakt van SAML als authenticatieprocedure.
Er liep in 2016 een traject waarbij de authenticatieprocedures en infrastructuur werden vervangen. Hierdoor kan SAML inmiddels voor elke dienst ingezet worden voor authenticatie. +
SKOS is nog niet geïmplementeerd in Gegevenscatalogus NHR. De standaard wordt wel voorzien door diverse ondersteunende software pakketten in gebruik bij de KVK rondom het NHR. Voor deze standaard zou in 2016 een impactscan uitgezet worden, maar dit is nog niet gebeurd. Wanneer dit wel gaat gebeuren kan door de KvK nog niet aangegeven worden. +
SPF (Sender Policy Framework) is ten opzichte van het vorige onderzoek nieuw op de lijst en inmiddels geïmplementeerd door NHR. +
De voorziening past alleen STARTTLS toe, DANE nog niet (zie https://internet.nl/mail/kvk.nl/34914). De planning is om HSTS Q4 2017 te gaan ondersteunen. +
Ongeveer 10% van het verkeer van het NHR gaat naar medeoverheden. Die uitwisselingen vinden allemaal plaats via Digikoppeling en StuF. +
De KvK gebruikt TLS op de verbindingen waar voorheen SSL werd gebruikt. De kamer is inmiddels overgegaan op TLS1.2 (zie https://internet.nl/site/www.kvk.nl/87180). +
Websites van ODC-Noord die aan het internet ontsloten zijn, voldoen in principe aan Digitoegankelijk, dit is een inrichtingseis. ODC heeft de website niet laten toetsen. Het waarmerk drempelvrij is dan ook niet behaald. De WCAG checker op http://checkers.eiii.eu/ geeft bijvoorbeeld bij https://www.odc-noord.nl/over-odc-noord een hoge, maar onvolledige, score van 107/112. +
DKIM is nog niet geïmplementeerd voor ODC-Noord. Voor e-mail maakt ODC-Noord vooralsnog gebruik van de mail-faciliteiten van DUO. Er zou een eigen e-mailinfrastructuur vanaf eind 2015 komen, maar dit is nog niet in gang gebracht. In het kader van de beweging van OCW naar één werkplekconcept is het mogelijk dat op termijn een multi-tenant mail-oplossing aangeboden wordt, maar dit is nog niet in gang. Planning is om dit eind 2018 afgerond te hebben. +
ODC-Noord heeft sinds het onderzoek uit 2015 een eigen DNS ingericht, die DNSSEC gebruikt. +
De cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar een aantal websites draaien op HSTS. De overige websites worden in de loop van 2017 aangepast. +
Intern wordt IPv6 gebruikt op een specifiek netwerk. Nog niet alle benodigde producten worden met IPv6 aangeboden. Zodra de markt alles op het juiste niveau kan aanbieden zal dit geïmplementeerd worden en de systemen die vanaf het internet benaderbaar zijn ook worden ontsloten via IPv6. +
ODC-Noord implementeert op dit moment de BIR. Er is nog geen in control statement. De leveranciers van de rekencentra voldoen beide aan ISO 27001. Een BIR-audit op housing is uitgevoerd eind 2014.
Er werd in 2016 een ADR (Audit Dienst Rijk) onderzoek uitgevoerd per departement. Dit richt zich o.a. op de opvolging die de departementen hebben gegeven aan nog uit te voeren activiteiten genoemd o.a. in de bevindingen uit het BIR onderzoek van de ADR over 2015 (bijvoorbeeld in de vorm van verbeterplannen verankerd in jaarplannen), en op de onderbouwing (dossiervorming) bij de systemen voor het wel of niet voldoen aan de BIR. Het onderzoek is in januari 2017 gepubliceerd, en er loopt op dit moment een verbeterplan met betrekking tot de ADR bevindingen. Er is echter nog geen concrete datum bekend. +
In de operatie van ODC-Noord wordt over het algemeen gebruik gemaakt van documenten in ODF-formaat. Vanwege opmaak- en interoperabiliteitsproblemen wordt dit voor communicatie met externen beperkt gebruikt. +
Hier is nog aandacht voor geweest in versie 1.0 van de ODC-Noord website. OWMS wordt meegenomen in de volgende versie. De update hiervoor is voor 2018 verwacht. +
V.w.b. uitwisseling van (definitieve) documenten met externe partijen wordt gebruik gemaakt van PDF. PDFCreator van Windows wordt als printoptie in de kantoorautomatiseringsomgeving aangeboden. De standaardinstelling is PDF versie 1.4,? optioneel is 1.5. Vooralsnog wordt er bij DUO nog voor gekozen om de gratis variant van PDF-creator beschikbaar te stellen. Deze biedt maximaal PDF 1.5.
Gebruikers van LibreOffice (dat is het meest gebruikte Office-pakket binnen de operationele omgeving van ODC-Noord) kunnen documenten exporteren naar PDF/A-1. Op dit moment is dat nog geen standaard werkwijze. +
ODC-Noord maakt voor het interne systeem geen gebruik van SAML. Bij het ontwikkelen van diensten ten bate van klanten (SaaS) wordt SAML onderzocht en waar mogelijk toegepast. +
Het beleid van ODC-Noord voor internet-gekoppelde systemen is dat TLS (in volgorde) van TLS1.2, TLS1.1 wordt aangeboden. TLS 1.0 wordt niet toegepast tenzij er een explain komt van de site-eigenaar. +
Deze standaard is toegepast waar ODC-Noord wifi gebruikt. +
Binnen de website, de content van AvB, wordt verwezen naar wetgeving conform de BWB standaard +
De tooling (CMS/ESB) ondersteunt de standaard wel, maar deze wordt niet actief gebruikt. Er zijn er geen content leveranciers die hun CMS in CMIS vorm aan het Ondernemersplein.nl beschikbaar stellen. Concreet is er dus nog geen toepassing op dit moment en er zijn ook nog geen plannen om dit te doen. +
Verklaring is beschikbaar. Meer informatie beschikbaar op: https://www.ondernemersplein.nl/toegankelijkheid/ +
DKIM is geïmplementeerd (zie https://internet.nl/mail/ondernemersplein.nl/34765) +
Wordt geïmplementeerd dit jaar op de nieuwe DNS omgeving. +
De website ondersteunt IPv4 en is toegankelijk via IPv6 (zie https://internet.nl/site/www.ondernemersplein.nl/86899). +
Ondernemersplein is gehost bij de Kamer van Koophandel. Daar liep een ISO 27001 certificeringstraject en Ondernemersplein heeft dit inmiddels toegepast en is door een audit in april 2016 ook gecertificeerd hierop. +
De informatie op de website is gemetadateerd volgens een eigen model die past bij de metadatering van de partners. +
Er wordt niet aan deze standaard voldaan. Het moet nog onderzocht worden of hieraan voldaan zal worden en plannen gemaakt worden. +
Er wordt aan deze standaard voldaan (zie https://internet.nl/mail/ondernemersplein.nl/34765). +
Aan STARTTLS wordt voldaan, maar aan DANE wordt nog niet voldaan. De KvK geeft aan nog te moeten onderzoeken of hieraan voldaan zal worden. +
Technisch kan er worden overgestapt naar alleen TLS 1.2 echter plannen zijn uitgesteld door slechte browser ondersteuning aan eindgebruiker. +
Er is een toegankelijkheidsverklaring conform EN 301459. De nieuwe eisen van deze nieuwe richtlijn zijn meegenomen in de vernieuwing van Overheid.nl, die eind 2017 staat gepland. +
DKIM is geïmplementeerd (zie https://internet.nl/domain/www.overheid.nl/87086). +
Overheid.nl voldoet sinds Q2 2015 aan DNSSEC (zie https://internet.nl/domain/www.overheid.nl/87086). +
Het portaal-gedeelte (www.overheid.nl) voldoet aan de standaard (zie https://internet.nl/domain/www.overheid.nl/87086). Een aantal sub-sites staat nog gepland om in 2017 aan deze standaarden te laten voldoen. +
Er wordt voldaan aan IPv4 en IPv6 (zie https://internet.nl/domain/www.overheid.nl/87086). +
Vanaf 2015 staat overheid.nl niet meer op die risicokaart van BZK en hoeft geen ICV meer worden afgegeven. +
Overheid.nl is gemetadateerd conform OWMS. +
Alle PDF's van Officiële bekendmakingen zijn PDF/A-1a zoals wettelijk bepaald is. +
SKOS is geïmplementeerd voor de waardelijsten van OWMS. +
STARTTLS en DANE zijn geheel geïmplementeerd (zie https://internet.nl/mail/overheid.nl/34850). +
De aanpassingen in deze standaard staan ingepland voor tweede helft 2017. +
De implementatie van deze standaard is nog niet gestart. +
Alle verwijzingen naar wetten worden conform de BWB-standaard gemaakt. De redactie heeft de richtlijn dat ze altijd op deze manier handelt bij verwijzingen naar wetsteksten of andere regels en richtlijnen die op wetten.overheid.nl te vinden zijn. +
P-Direkt heeft vele interfaces met partijen binnen de overheid, Identity management, hr-data, arbo-diensten, ziekmeldingen, koppelingen met BD. Salarisverwerkingssysteem werkt op basis van Digikoppeling. Alle nieuwe koppelingen die P-Direkt ontwikkelt, worden gebouwd op basis van Digikoppeling. Richting 2018 migreert de voorziening naar de rijksdatacenters, Digikoppeling krijgt dan een nog belangrijkere rol. +
Het Portal is nog altijd in ontwikkeling. Er is op dit portal nog geen Webrichtlijnen toets geweest. P-Direkt is zich ervan bewust dat er nog geen volledige compliancy is met de Webrichtlijnen. +
P-Direkt maakt gebruik van de mailservers van SSC-ICT, onder andere voor het versturen van de loonstroken aan de medewerkers. P-Direkt heeft aangegeven dat het initiatief voor de adoptie van dit soort standaarden dan ook bij SSC-ICT ligt. Navraag bij SSC-ICT leert dat DKIM actief gemaakt is voor deze mailservice van P-Direkt. +
Op de Haagse ring maakt het netwerk van SSC-ICT, waar P-Direkt gebruik van maakt, geen gebruik van DNSSEC. Ook hier geldt dat P-Direkt een afnemer is van een Rijksbrede dienst en het initiatief voor het implementeren van DNSSEC bij de SSC-ICT ligt. SSC-ICT gaf in 2016 aan dat zij op hun beurt weer afhankelijk zijn van de leverancier van de Haagse ring, namelijk Logius. +
HTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is nog niet geïmplementeerd. +
De Haagse ring, waarover eigenlijk al het verkeer naar de P-Direkt loopt, ondersteunt geen IPv6. De P-Direkt voorzieningen, zoals gehost bij Match, ondersteunen in theorie momenteel al IPv6. In de praktijk is nog geen enkele afnemer op IPv6 aangesloten. Op het aanbieden van IPv6 door de Haagse Ring heeft P-Direkt geen invloed. +
De hosting van de dienstverleningssystemen van P-Direkt voldoet aan de BIR (BIR compliancy is integraal onderdeel van de inrichting van het ODC, en als zodanig daarmee ook voor P-Direkt). Echter, er bestaat bij de beheerorganisatie nog onduidelijkheid of de beheerorganisatie ook aan de BIR voldoet. Daarom staat de status hier op Deels. +
Veel brieven die automatisch gegenereerd worden, worden in Word gemaakt en naar managers verstuurd, die deze dan zelf nog aanpassen. P-Direkt gebruikt .doc, omdat dit voor de doelgroep het meest gangbaar is. De ontvanger van de brieven zou dit zelf moeten omzetten met de aanwezige KA software die ODF ondersteunt. Het proces dat brieven genereert is het niet mogelijk ODF bestanden te genereren. +
De meeste zaken die het digitale personeelsdossier ingaan zijn PFD/A. De grootste uitzondering/afwijking zijn de digitale loonstroken, die zijn nog altijd PDF 1.3. Reden/oorzaak is dat deze aangemaakt worden met een standaard SAP conversieroutine die niet anders dan PDF 1.3 kan genereren. Er is momenteel geen concreet plan de loonstroken in PDF A/x te genereren. PDF A/2 wordt nog niet gebruikt binnen P-Direkt. +
P-Direkt gebruikt SAML om Single Sign-On in te vullen. Verbinding naar de kerndepartementen is gelegd, maar een gedeelte van de rijksambtenaren van onderliggende organisatieonderdelen, moeten nog handmatig inloggen. P-Direkt heeft met de kerndepartementen de afspraak gemaakt dat de kerndepartementen verantwoordelijk zijn voor het implementeren van de Single Sign-on functie bij de onderliggende organisatieonderdelen. +
SPF (Sender Policy Framework) moet nog geïmplementeerd worden door de beheerder van de mail dienst (in het geval van P-Direkt is dat SSC-ICT). +
Alle diensten van P-Direkt die door middel van HTTP worden ontsloten, worden enkel aangeboden via TLS v1.0 of hoger. +
Het PKIoverheid-deel van de website van Logius en de website van PKIoverheid maken gebruik van DNSSEC (zie https://internet.nl/domain/crl.pkioverheid.nl/87088 en https://internet.nl/domain/www.logius.nl/87089). +
Deze standaard wordt toegepast door de voorziening (zie https://internet.nl/domain/crl.pkioverheid.nl/87088 en https://internet.nl/domain/www.logius.nl/87089). +
IPv6 is geïmplementeerd voor de informatiepagina's van PKIoverheid op de Logius website (zie https://internet.nl/domain/www.logius.nl/87089). De PKIoverheid specifieke applicatiepagina's zijn op dit moment nog niet geschikt voor IPv6 (zie https://internet.nl/domain/crl.pkioverheid.nl/87088). Navraag bij de leverancier leert dat dit wel is opgenomen op de roadmap maar (nog) niet voor 2017. +
Primair is het Webtrust normenkader van toepassing op PKIoverheid. Dit kader kent strengere eisen dan deze ISO standaarden vereisen. Implementatie van de BIR is daarnaast uitgevoerd op basis van best effort. +
Op website van Logius ja, maar niet op de website van PKIoverheid (info is niet bedoeld voor hergebruik van overheidsinformatie). +
Documenten die via de websites beschikbaar worden gesteld worden volgens PDF/A opgesteld. +
Het PKIoverheid deel van de website van Logius maakt gebruik van TLS 1.1 en 1.2 en de website van PKIoverheid zelf maakt gebruik van TLS 1.2 (zie https://internet.nl/domain/crl.pkioverheid.nl/87088 en https://internet.nl/domain/www.logius.nl/87089). +
Binnen de website wordt verwezen naar wetgeving conform de BWB standaard. BWB wordt dus toegepast. +
De website voldoet aan Digitoegankelijk (WCAG 2.0). Zie ook de verantwoording daarover op: http://www.rijksoverheid.nl/toegankelijkheid. +
DKIM is geïmplementeerd voor de bulk van het mailverkeer. Dit heeft betrekking op de nieuwsbrieven die DPC namens de diverse departementale opdrachtgevers verstuurt. Het gaat om de nieuwsbrieven- en persberichten-service voor de Rijksoverheid en het DPC-mailverkeer. Deze zijn met SPF (Sender Policy Framework)-DKIM-DMARC uitgerust.
DKIM is niet ingericht voor andere DPC-mailstromen, zoals de persoonlijke @rijksoverheid.nl mailboxen (niet in gebruik bij DPC), omdat deze lopen via de SSC-ICT mailservers. Dat betekent dat e-mailverkeer gebruikmakend van @rijksoverheid.nl niet onder beheer van DPC valt. Ook de domain @rijksoverheid.nl voldoet aan DKIM (zie https://internet.nl/mail/rijksoverheid.nl/34858). +
Rijksoverheid.nl is ondertekend met DNSSEC (zie https://internet.nl/site/www.rijksoverheid.nl/86909). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen. +
De voorziening voldoet aan deze standaard (zie https://internet.nl/site/www.rijksoverheid.nl/86909). +
Rijksoverheid.nl ondersteunt zowel IPv6 als IPv4 (zie https://internet.nl/site/www.rijksoverheid.nl/86909). +
Hosting leverancier Ordina heeft een NEN 27001/2 implementatie waarin de beveiliging van rijksoverheid.nl meegaat. DPC zelf valt onder de VIR/BIR-implementatie van het moederdepartement AZ. AZ is het enige departement dat zonder bevindingen door de ADR audits is gekomen. +
Het CMS van het Platform Rijksoverheid Online accepteert slechts PDF en ODF (open standaard) formaten. Er zijn wel 'legacy'-bestanden in alleen .doc of .xls formaat. Nieuwe documenten zijn echter altijd tenminste in PDF- of indien bewerkbaar, in ODF-formaat beschikbaar. De PDF-generator die men gebruikt is goed voor het leeuwendeel van de PDF's op de website en genereert PDF-bestanden in PDF/A-1a. +
De beleidskeuzes (contentmodellen) zijn in te zien in het Informatie Publicatie Model (IPM) bij het OWMS (zie: http://standaarden.overheid.nl/rijksoverheid). +
DPC publiceert zelf geen PDF's, maar departementen kunnen PDFs op Rijksoverheid plaatsen. Vooralsnog kan de Rijksoverheid praktisch niet aan deze richtlijn voldoen. DPC is daarover met BZK in gesprek. +
Er is een soort WeTransfer app binnen het Rijksoverheid online platform. Deze maakt gebruik van SAML voor het authentiseren van gebruikers. Er zijn geen andere diensten die via Rijksoverheid worden aangeboden en inloggen vereisen (met SAML). +
Het e-maildomein @rijksoverheid.nl is integraal van SPF (Sender Policy Framework) voorzien (zie https://internet.nl/mail/rijksoverheid.nl/34768). +
Rijksoverheid.nl maakt gebruik van het Platform Rijksoverheid Online en daardoor geheel voorzien van https door middel van PKIo EV certificaten (zie https://internet.nl/site/www.rijksoverheid.nl/87100) . +
Rijkspas maakt gebruik van het WUS-gedeelte van de Digikoppeling. De deelnemers kunnen zelf de keuze maken welk protocol ze hanteren, de standaard koppeling Rijkspas of de Digikoppeling. +
Voor Rijkspas worden mails verstuurd vanaf de applicatie voor Interdepartementale Toegang (IdT). In de huidige infrastructuur is dit niet toegepast. Uiterlijk Q3 2018 worden de Rijkspassystemen verhuisd naar een nieuw datacenter waar DKIM wel toegepast zal worden. +
Rijkspas communiceert momenteel nog niet via het publieke internet. De verbinding die daarvoor voorzien is, maakt wel gebruik van DNSSEC. Voor communicatie binnen de Rijksoverheid wordt momenteel gebruik gemaakt van de Haagse Ring. Deze ondersteunt nog geen DNSSEC, maar de leverancier geeft aan dat de verwachting is DNSSEC eind 2017 wel geïmplementeerd gaat worden. +
IPv4 wordt toegepast. De Haagse ring, waarover eigenlijk al het verkeer naar de Rijkspas voorzieningen loopt, ondersteunt geen IPv6. Deze dienst wordt door Logius geleverd, en is onderdeel van de 'connectiviteitsdiensten' waarvan I&I gebruik maakt. +