lfljâçãáí Éå=Ó=a~ÖëçêÇÉå=

Transkript

1 lfljâçãáí Éå=Ó=a~ÖëçêÇÉå= Dagsorden, OIO-komitéens møde den 1. oktober, 2009 = a~öëçêçéå= lfljhçãáí Éåë=VK=ã ÇÉ= ÇK=NK=çâíçÄÉêI=OMMV= Mødet afholdes d. 1. oktober, 2009 fra kl. 13 i Direktionens mødelokale, 4 sal, IT- og Telestyrelsen, Holsteinsgade 63. a~öëçêçéå= = 1. Velkomst 2. Godkendelse af dagsorden og referat (Bilag 1) (B) 3. Meddelelser 4. Godkendelse af profiler vedr. identitetsbaserede web services: OIOIDWS (Bilag 2) (B) 5. Mandate 376: Arbejdet med ICT and inclusion (Bilag 3) (O) 6. Hvidbog om den fremtidige ikt-standardisering i EU (Bilag 4) (O) 7. Kommissorium for OIO-udvalg for Beskæftigelse (Bilag 5) (B) 8. Anbefaling om udstilling af data og funktionalitet over for systemer (Bilag 6) (B) 9. Revision af anbefalelsesgrad for tekniske standarder på Digitalisér.dk (Bilag 7) (B) 10. Eventuelt Punkter mærket B, D, E, O er til henholdsvis (B) Beslutning (D) Drøftelse (E) Efterretning (O) Orientering Dagsordenen er vedlagt en opdateret liste over standarder under behandling i OIO-Sekretariatet. = OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. Digitalisér.dk/group/11917

2 lfljâçãáí Éå= _áä~ö=n OIO-komitéen : 1. oktober, 2009 : Dagsordenspunkt 2 : referat af foregående møde Beslutning = oéñéê~íi= lfljhçãáí Éåë=UK=ã ÇÉ= ÇK=OMK=~ìÖìëíI=OMMV= Mødet afholdtes d. 20. august, 2009 fra kl. 13 i Direktionens mødelokale, 4 sal, IT- og Telestyrelsen, Holsteinsgade 63. qáä=ëíéçéw= Per Schultz Eeg, ITST, formand Mikkel Hippe Brun, ITST Peter Thrane, KL Benjamin Ronmey Rasmussen, Erhvervs- og Selskabsstyrelsen Kristian Hjort-Madsen, Den Digitale Task Force Mette Jørgensen, Økonomistyrelsen Frank Carvalho, SKAT Jesper Nielsen, Indenrigs- og Socialministeriet Esben Andreas Dalsgaard, SDSD Flemming Nissen, KMS Kaspar Didriksen, Miljøstyrelsen Torben Sløk, Vejdirektoratet Rune Bechgaard Holm, Ministeriet for Fødevarer, Landbrug og Fiskeri Theis Bødker Jensen, Ministeriet for Fødevarer, Landbrug og Fiskeri Franci Johansen, FødevareErhverv 25. september 2009 Sekretariat: IT- og Telestyrelsen Holsteinsgade København Ø Sagsbehandler Per de Place Bjørn Telefon E-post ppb@itst.dk Adam Arndt, ITST Thomas Pilegaard Maarup, ITST Martin Høegh Mortensen, ITST Per de Place Bjørn, ITST, referat a~öëçêçéå= = 1. Velkomst 2. Godkendelse af dagsorden og referat (B) Ingen bemærkninger; referatet godkendtes. 3. Meddelelser Statens IT har pt. ingen repræsentant i OIO-komiteen. Per Schultz Eeg orienterede kort om, at projekt Referencearkitektur for geodata har holdt første styregruppemøde. Resultaterne af projektet vil blive forelagt for komiteen. OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. Digitalisér.dk/group/11917

3 4. FORM og STORM - et strategisk overblik over det offentliges ydelser, processer og it-løsninger (O) Kristian Hjort-Madsen, Chefarkitekt, Den Digitale Task Force og medlem af komitéen orienterede om FORM og STORM projekterne. Præsentationen er vedlagt referatet. Endvidere henvistes til, at FORM og STORM kan findes på modernisering.dk Komitéen var enige om, at det ville være hensigtsmæssigt at gøre FORM og STORM til fællesoffentlige produkter. Komiteen pegede herudover på, at der er behov for en pædagogisk indsats for at FORM kan formidles til alle dele af staten. 5. FORM på Digitalisér.dk (O) Martin Høegh Mortensen, ITST, orienterede om planerne for understøttelse af FORM-opmærkning af ressourcer på Digitalisér.dk. Præsentation og screenshots fra test-sitet er vedlagt referatet. Der blev stillet spørgsmål til brugervenligheden og letheden af fremfinding af den rette FORM-klassifikation. FORM redaktionen har opbygget en meget stor database af søge- og emneord som skal understøtte fremfinding og som implementeres på Digitalisér.dk. Komitéen bemærkede behovet for (semi-)automatisk opmærkning, idet der ofte er mange ressourcer, der skal opmærkes samtidig for eksempel i forbindelse med bulk-upload af ressourcer. Dette vil blive muligt ved hjælp af Digitalisér.dks API. Ministeriet for Videnskab, Teknologi og Udvikling 6. Regler for anvendelse af FORM på Digitalisér.dk (D) Thomas Maarup, ITST, lagde op til diskussion af procedurer og regler for anvendelse af FORM på Digitalisér.dk. (præsentationen er vedlagt referatet) Hvordan realiserer det offentlige potentialet i FORM? Hvilket niveau af forpligtelse skal der være, hvad skal opmærkes? Et bud kunne være, at graden af forpligtelse til opmærkning kunne være afhængig af, hvilket niveau af genbrugsforpligtelse ressourcerne har. For eksempel kunne opmærkning med alle fire FORM-niveauer være obligatorisk for alle standarder omfattet af aftalen om åbne obligatoriske standarder og for alle datastandarder, som er anbefalede af OIO-komiteen, hvorimod opmærkning kunne være frivillig for ressourcer som primært udstilles til orientering. KL bemærkede, at de vil give opmærkning med FORM på digitaliser.dk stærk tilslutning. Komitéen diskuterede problematikker omkring opmærkning af ressourcer som ikke entydigt kan henføres til et bestemt domæne, f.eks. kan det være mere hensigtsmæssigt at opmærke tekniske standarder med STORM. 2

4 Komitéen diskuterede og samstemte om, at der er behov for en stærk incitamentstruktur for at FORM-opmærkning bliver gennemførlig; det kan være svært at få øje på det lønsomme i for en myndighed med et begrænset antal ressourcer på Digitalisér.dk at bruge tid på opmærkning, når gevinsten ofte skal findes ved genanvendelighed af ressourcerne og i generelt overblik over statens løsninger. FORM afløfter dog behovet for at de enkelte myndigheder udvikler egne taksonomier. Formanden takkede for kommentarerne og lovede et beslutningsforslag som tog disse i betragtning til et kommende møde. 7. Tekniske standarder for semantisk opmærkning af netindhold (B) Adam Arndt, ITST, fremlagde indstillingen om at ændre den nuværende anbefaling af Topic Maps (ISO 13250:2002) fra De Facto til Anvendelig til Metadatabeskrivelse notere OWL 1.0 som Anvendelig til Metadatabeskrivelse Komitéen tiltrådte indstillingen. Ministeriet for Videnskab, Teknologi og Udvikling 8. Revision af anbefalinger af tekniske standarder (B) Adam Arndt, ITST, fremlagde indstillingen om, at OIO-sekretariatet skulle fortsætte sin revision af OIO-kataloget konkret ved at gennemføre høring af ændring af anbefalelsesgraden for 30 tekniske standarder, samt afklare behovet for ændring af anbefalelsesgraden for yderligere en række standarder, relevante for Web-services. I efteråret vil OIO-kataloget blive grundigt gennemgået med henblik på forbedring af beskrivelser og metadata for alle standarder. Komitéen tiltrådte indstillingen. Formanden orienterede om en aftale mellem ITST og Dansk Standard om, at Dansk Standard moniterer udviklingen inden for tekniske standarder og rapporterer relevante standarder til OIO-kataloget. Generelt tilstræbes det, at Danmark placerer sig samstemmende med international standardisering, med udarbejdelse af danske profiler, hvor nødvendigt. Samtidig opfordres komitéens medlemmer til at indbringe standarder fra deres egne domæner. 9. Valg af sprog i OIOXML (B) Formanden fremlagde et forslag til anbefaling om valg af sprog i OIOXML-skemaer, hvor valget af sprog skal understøtte brugbarheden af digitaliseringsarbejdet. Komitéen tiltrådte indstillingen om at lade anbefalingen stamme fra komitéen. 3

5 Det blev diskuteret, hvorvidt anbefalingen kunne udstrækkes til at gælde eksisterende kernekomponenter, men der var en enighed om at anbefalingen kun gælder fremadrettet. 10. Eventuelt Formanden orienterede om kommende oplæg i komitéen (EU's generaldirektorat for informationssamfundet [1. oktober], e-tinglysning [12. november]) og opfordrede til, at medlemmerne bidrager med oplæg på møderne. Mulige fremtidige emner kunne være orientering om KOMBIT og de tekniske snitflader til Dokumentboks. Næste møde er den 1. oktober. Punkter mærket B, D, E, O er til henholdsvis (B) Beslutning (D) Drøftelse (E) Efterretning (O) Orientering Ministeriet for Videnskab, Teknologi og Udvikling = = 4

6 lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=o OIO-komitéen : 1. oktober, 2009 : Dagsordenspunkt 4 : Cover Beslutning = dççâéåçéäëé=~ñ=lflfatp=nkm=éêçñáäéê= oéëìã = OIOIDWS består af en række profiler af en række internationale standarder bl.a. fra OASIS og Liberty Alliance. OIOIDWS gør det bl.a. muligt at udbyde services, som eksponerer personlige data fra offentlige registre på en sikker og standardiseret måde, hvilket er nødvendigt for digitalisering af en række tværgående sagsgange. Profilerne har været i høring på høringsportalen fra 10. juni til 31. juli Der indkom 15 høringssvar. Fire svarere havde egentlige kommentarer til høringens indhold. Der er dog ikke foretaget væsentlige indholdsmæssige ændringer i forhold til de hørte profiludkast. = p~öëñêéãëíáääáåö= En række tekniske profiler vedr. identitetsbaserede web services har været i høring på høringsportalen fra 10. juni til 31. juli Derudover har der vedlagt materialet været en vejledning med titlen Identitetsbaserede web services og personlige data, som ikke har været en del af den formelle høring. 25. september 2009 Sekretariat: IT- og Telestyrelsen Holsteinsgade København Ø Sagsbehandler Per de Place Bjørn Telefon E-post ppb@itst.dk Til advisering af høringen er anvendt udsendelseslisten knyttet til OIO Standarder samt en række særlige interessenter udvalgt af Styrelsen. Der indkom i alt 15 svar på høringen fra flg. organisationer: Banedanmark, Beskæftigelsesministeriets IT, Datatilsynet, Digital Sundhed, Erhvervs- og Byggestyrelsen, Erhvervs- og Selskabsstyrelsen, Forsvarskommandoen, Indenrigs- og Socialministeriet, KMD, Region Hovedstaden, Priway, Rigsrevisionen, SKAT, Søfartsstyrelsen, Økonomi- og Erhvervsministeriet. Blandt ovennævnte svarere havde flg. organisationer egentlige kommentarer til høringens indhold: Datatilsynet, Digital Sundhed, Forsvarskommandoen og firmaet Priway. De øvrige svarere har enten oplyst, at de ingen kommentarer havde til profilerne, tilkendegivet tilfredshed med profilen, at deres kommentarer allerede var givet som en del af det forudgående forløb. Datatilsynets svar retter sig udelukkende mod vejledningen, der ikke var en formel del af høringen. Styrelsen har svaret Datatilsynet direkte på hvert enkelt punkt, som Datatilsynet har rejst. Efterfølgende er vejledningen opdateret på en række områder. I høringsnotatet er der kun behandlet svar, der går på specifikt på profilernes indhold. En række svar primært fra Digital Sundhed er formuleret, som spørgsmål til hvorledes profilerne konkret anvendes i en sammenhængende løsning. Som hjælp til en bedre forklaring heraf er der udarbejdet en dokument med scenarier, som illustrerer forskellige måder at anvende de hørte profiler på. OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. Digitalisér.dk/group/11917

7 Forsvarskommandoen svarer blandt andet at man er usikker på relevansen af at anvende XML-baserede sprog i taktiske net, og man er i tvivl om hvorvidt de anvendte profiler har nået deres endelige form. Hertil kan bemærkes at de givne profiler ikke er udarbejdet på basis af behovene i millitære taktiske net, og det anerkendes at Forsvaret bedst kan vurdere hvad der er mest effektivt for deres taktiske net. Firmaet Priway har afgivet svar, som blandt andet drager lovligheden af profilerne i tvivl, som påstår at profilerne udelukker Security by Design, og at profilerne udelukker interoperabilitet. Kritikken retter sig mod områder, som OIOIDWS profilerne ikke ændrer ved, idet de blot er en teknisk mekanisme, hvormed data kan udveksles. Den rejste kritik afvises derfor i høringsnotatet. fåçëíáääáåö= Det indstilles, at komitéen godkender følgende profiler, som sammen med den internationalt godkendte Liberty Basic SOAP Binding v1.0 udgør OIO Identity-based Web Services v1.0 : OIO WS-Trust Profile version 1.0 OIO SAML Profile for Identity Tokens version 1.0 OIO Bootstrap Token Profile version 1.0 OIO WS-Trust Deployment Profile version 1.0 Ministeriet for Videnskab, Teknologi og Udvikling I sammenhæng hermed planlægges følgende documenter publiceret, som hjælp til anvendelse af de nævnte profiler: OIO Identity-Based Web Services Scenarios version 1.0 Identitetsbaserede web services og personlige data version 1.0 _áä~ö= Notat vedrørende høring af profiler vedr. identitetsbaserede web services De ovennævnte profiler til godkendelse findes som ressourcer i komitéens gruppe på Digitalisér.dk via følgende link - ressourcen er ikke publiceret til offentligheden, så man skal være logget ind for at kunne se den. = 2

8 Notat Høring af profiler vedr. identitetsbaserede web services Dagsordenspunkt 4, OIO-komitéen, 1. oktober, 2009 Beslutning Notat vedrørende høring af profiler vedr. identitetsbaserede web services En række tekniske profiler vedr. identitetsbaserede web services har været i høring på høringsportalen fra 10. juni til 31. juli Derudover har der vedlagt materialet været en vejledning med titlen Identitetsbaserede web services og personlige data, som ikke har været en del af den formelle høring. Til advisering af høringen er anvendt udsendelseslisten knyttet til OIO Standarder samt en række særlige interessenter udvalgt af Styrelsen. Der indkom i alt 15 svar på høringen fra flg. organisationer: Banedanmark, Beskæftigelsesministeriets IT, Datatilsynet, Digital Sundhed, Erhvervs- og Byggestyrelsen, Erhvervs- og Selskabsstyrelsen, Forsvarskommandoen, Indenrigs- og Socialministeriet, KMD, Region Hovedstaden, Priway, Rigsrevisionen, SKAT, Søfartsstyrelsen, Økonomi- og Erhvervsministeriet. Blandt ovennævnte svarere havde flg. organisationer egentlige kommentarer til høringens indhold: Datatilsynet, Digital Sundhed, Forsvarskommandoen og Privay. De øvrige svarere har enten oplyst, at de ingen kommentarer havde til profilerne, tilkendegivet tilfredshed med profilen, at deres kommentarer allerede var givet som en del af det forudgående forløb. 1. september 2009 IT- og Telestyrelsen Holsteinsgade København Ø Telefon Telefax E-post itst@itst.dk Netsted CVR-nr Sagsnr. Søren Peter Nielsen Telefon E-post spn@itst.dk Nedenfor gennemgås høringssvarene punkt for punkt sammen med IT- og Telestyrelsens svar. Høringssvarene er redaktionelt opdelt i enkeltpunkter, dersom den indsendte tekst ikke måtte være det. Endvidere er nedenfor kun medtaget svar, der går på specifikt på profilernes indhold. Datatilsynets svar går udelukkende på vejledningen, der ikke var en formel del af høringen. Svarene er trods dette behandlet for hvert rejst punkt, men inkluderes ikke i dette notat. Som konsekvens af høringssvarene er der planlagt en opdatering af profilerne i en revideret udgave og ligeledes udkommer vejledningen i en opdateret udgave..

9 Kommentarer fra Digital Sundhed Kommentar 25 Det forudsættes at autentificering foretages via browserbaseret logintjeneste. IT- og Telestyrelsens svar Profilerne i OIOIDWS kan sammensættes og anvendes på forskellige måder til understøttelse af forskellige brugsscenarier. OIOIDWS understøtter scenarier med browserbaseret autentifikation såvel som scenarier, hvor dette ikke er tilfældet, herunder rige klienter. Det nuværende profilsæt indeholder en bootstrap token profil, som er forankret i OIOSAML web browser SSO profilen, og som bør anvendes i pågældende scenarier. Man kan dog sagtens anvende andre typer bootstrap token profiler kombineret med de øvrige OIOIDWS profiler, herunder profiler designet til bootstrap autentifikation af rige klienter. Dette område er blot endnu ikke blevet profileret som en del af OIOIDWS, men det vil blive behandlet i efteråret IT- og Telestyrelsen Kommentar 26 Hvilke tanker er der gjort omkring kald på tværs af domæner (f.eks. udlandet, andre sektorer)? Der er mange mulige modeller for hvordan bootstrap tokens udstedt af en IdP kan veksles til identity tokens af STS en brugbare for WSP'er i et andet domæne, men det kræver en profil at lande ordentligt. IT- og Telestyrelsens svar Hovedudfordringen ved kald mellem to domæner er, at den modtagende web service skal stole på de security tokens (SAML assertions) der medsendes i SOAP kaldet - mere specifikt den STS, som har udstedt tokenet. Etablering af denne trust kan ske på mange måder, og er som sådan ikke noget profilerne behandler; profilerne kan indgå i mange arkitekturer. I simple tilfælde kan modtageren blot "enable" trust til afsenderens STS ved at tilføje dens certifikat til et "trusted store" - og i mere komplicerede arkitekturer kan man have intermediære STS'er, som sammenbinder trust-domæner ved at gensignere / veksle tokens. En anden udfordring er, hvordan en afsender (STS) kan indikere slutbrugerens identitet i et token på en måde, som modtageren kan forstå. Dette er ligeledes ikke noget profilerne bekymrer sig om - her kunne man overveje en sub-profilering af OIO Identity Token profilen. Kommentar 27 Det er uklart hvordan scenariet, hvor en WSP har brug for at kalde andre WSP'er på vegne af en WSC skal virke idet WSP jo udelukkende har et identity token og ikke et bootstrap token. IT- og Telestyrelsens svar Det er klart, at kun systemer, der har en web browser SSO session med brugeren, har mulighed for at få et bootstrap token fra SAML assertion'en udstedt af IdP'en. En WSP vil i denne situation have flere muligheder: a) enten kan den lave et normalt (ikke-identitetsbaseret) web service kald videre b) alternativt kan den bede om "request-to-interact" for at få brugerens browser re-dirrigeret og derefter indhente et bootstrap token c) endelig kan WSP'en kontakte en STS, der kan 2

10 veksle andet end bootstrap tokens (f.eks. kan den veksle det token, den selv har modtaget, og som er audience restricted til den selv, til et nyt token, som er audience-restricted til den næste WSP i kæden). Det vil afhænge af den konkrete situation, hvilke af de nævnte muligheder, der giver mest mening. Kommentar 28 Validering af digital signatur på svar fra WSP kræver et trust på certifikatniveau. Dette er i modstrid med antagelsen om at WSC og WSP ikke kender hinandens certifikater på forhånd (s.8 i [IDB-WS]). For at undgå et forhåndstrust er det reelt nødvendigt at WSP vedlægger et security token udstedt af STS som WSC kan validere. IT- og Telestyrelsens svar Svaret fra en WSP konstrueres helt analogt til requestet - og trust i signaturen etableres på en af de tre måder beskrevet i afsnit Dermed er et BinarySecurityToken med et certifikat blot en mulighed blandt flere - en anden kunne være en SAML assertion udstedt af en STS. Anvender man sidstnævnte, er der ikke behov for forhåndstrust i WSP'ens certifikat, idet tokenet f.eks. kan valideres af en STS på afsender (WSC) siden. Eneste logiske forskel på request og response er, at SAML assertion i svaret fra WSP'en ikke vil have brugeren som Subject men WSP'en selv som subject. IT- og Telestyrelsen Kommentar 29 Hvorfor bruge SOAP 1.1, når SOAP 1.2 ikke er nogen ny specifikation? IT- og Telestyrelsens svar Her har vi af hensyn til interoperabilitet lagt profilen op af Liberty ID-WSF 2.0 SOAP Binding, som anvender SOAP 1.1. Kommentar 30 Det ville være rart med et eksempel mere på "Constructing and sending a SOAP response". Vi savner processerings-regler for svaret, både for WSP en når svaret sendes og får WSC en når svaret modtages. IT- og Telestyrelsens svar Reglerne er helt de samme - så når profilen siger "Constructing and sending a SOAP message" gælder reglerne både for request og response. Dermed kan det viste eksempel også illustrere begge veje. Kommentar 31 Sidenummerering mangler. IT- og Telestyrelsens svar Tilføjes til version 1.0 3

11 Kommentar 32 'Microsoft' bliver nævnt fire gange! Specifikationen bør være helt uafhængig af leverandørers konkrete produkter. IT- og Telestyrelsens svar Fjernes fra dokumentet. Kommentar 33 Der introduceres et enkeltstående element fra version 1.4 (ActAs) i noget der ellers er rent 1.3? Hvad er baggrunden for ikke at vælge hele 1.4 specifikationen af WS-Trust i stedet? En WSC der bruger et WS-Trust 1.3 bibliotek kan let komme i problemer, hvis dette bibliotek ikke kan udvides. IT- og Telestyrelsens svar Årsagen er, at der ikke findes nogle elementer i WS-Trust 1.3, der semantisk svarer til det, vi gerne vil opnå (at inkludere en bruger assertion). Derfor stod valgene mellem enten at lave et custom-element eller bruge <ActAs> fra WS-Trust 1.4, som præcis er, hvad vi mangler. Uanset hvilket valg man tager, vil folk med et rent WS-Trust 1.3 bibliotek skulle lave en tilføjelse, og så vurderede vi, det var bedst at bruge WS-Trust 1.4 elementet, idet flere og flere udviklere vil få dette understøttet i standardbiblioteker som tiden går. IT- og Telestyrelsen Kommentar 34 Hvilke regler er der for beskeder, der leveres efter at id-token er udløbet? Er det sådan at beskeden er OK for så vidt at id-token var valid da beskeden blev skabt? (s. 8 [OIO-IDT] siger at det kun handler om identity tokens levetid). Denne fortolkning kunne være valid og åbne mulighed for at beskeder kunne lægges på en lokal kø til senere leverance. IT- og Telestyrelsens svar Politikker for time-out er ikke beskrevet i profilerne, idet de højst sandsynligt vil variere med lokale risikovurderinger. Derfor kan man frit vælge den politik, man ønsker skal gælde - og med fordel dokumentere denne, hvis den ønskes ensartet i et domæne. Kommentar 35 Vi kan ikke finde dokumentet [Scenarios] Identity-Based Web Services Scenarios, Danish IT and Telecom Agency. IT- og Telestyrelsens svar Dette er heller ikke offentliggjort. Styrelsen vil overveje at offentliggøre dette ikke-normative dokument. 4

12 Kommentar 36 The assertion MUST be signed by the STS by including a <ds:signature> element. The private key used for signing MUST be bound to the Identity Provider s X.509 certificate. Her menes vel "the STS's X.509 certificate"? IT- og Telestyrelsens svar Ja, her anvendes begreberne IdP og STS lidt synonymt. Dette præciseres i dokumentet. IT- og Telestyrelsen 5

13 Kommentarer fra Forsvarskommandoen Kommentar 37 Som generelt for XML-baserede sprog, anses SAML ikke for at være så effektivt, hvorfor kapacitetsbegrænsninger i taktiske net kan gøre anvendelse af SAML tung. IT- og Telestyrelsens svar Standarder for web services (SOAP mv.) anvender i forvejen XML, så brug af SAML assertions ændrer ikke dette billede - om end beskederne naturligvis bliver større. Styrelsen er ikke bekendt med andre token formater, der er mere kompakte, og som giver samme grad af interoperabilitet samt understøttelse i standardprodukter og værktøjer til web services. Kommentar 38 Microsoft Geneva nævnes - bør ikke referere konkrete produkter. IT- og Telestyrelsen IT- og Telestyrelsens svar Fjernes fra dokumentet. Kommentar 39 Brug af WS-Addressing versioner er inkonsistent. Det anbefales at anvende WS- Addressing 2005/08. IT- og Telestyrelsens svar Korrekt. Dokumentet bør opdateres på dette punkt, men da standarden vedligeholdes af en ekstern organisation (Liberty Alliance) kan dette ikke gøres af Styrelsen alene. Vi vil dog fremsende en anmodning til Liberty om at få dette medtaget i næste version. Kommentar 40 Vedr. kryptohash anbefales mindst SHA-256, og SHA-1 har mangler. IT- og Telestyrelsens svar Helt enig - SHA-1 bør kun anvendes, hvor der ikke er andre muligheder. Kommentar 41 De underliggende standarder er stadig under udvikling, og de nævnte profiler har endnu ikke nået deres endelige form. IT- og Telestyrelsens svar De underliggende standarder (SOAP, WS-Security, Liberty ID-WSF, WS-Trust, SAML, WS-Addressing mv) er alle modne standarder, som naturligt udvikler sig i takt med den teknologiske udvikling. Årsagen til at OIO profilerne ikke foreligger i version 1.0 er, at de først skal igennem nærværende høring med evt. efterfølgende opdatering. 6

14 Kommentarer fra Priway Kommentar 42...dermed er IdP at sidestille med en CA og det foreliggende oplæg vil være ulovligt i henhold til flere love, herunder bl.a. eksplicit Lov om Digital Signatur 10.3 som tilsiger at borgeren selv skal have kontrol over egne Signaturnøgler (identifikationsnøgler), men også Grundloven, Persondataloven og tiltrådte konventioners bestemmelser omkring basale borgerrettigheder, sårbarheder i den kritiske infrastruktur og sikring af stærkt sensitive data. IT- og Telestyrelsens svar Det afvises, at OIOIDWS profiler skulle stride mod nogle af de omtalte love. Specifikt foreskriver OIOIDWS ikke, hvordan en bruger skal autentificere sig mod Identity Provideren - dette kan ske med OCES certifikater, men er ikke begrænset hertil, og anonyme autentifikationsmetoder vil ikke stride mod profilerne. Endvidere foreskriver "OIO Identity Token Profile" ikke hvilke attributter, der medsendes om brugeren - her er det f.eks. tilladt at anvende pseudonymer eller andre ikke-identitetsbærende attributter. IT- og Telestyrelsen Kommentar 43 Modellen udelukker løsninger baseret på Security By Design og herunder eksempelvis helt banale funktioner såsom at kunne interagere fortroligt og sikkert med sin læge, advokat eller politiske repræsentation. IT- og Telestyrelsens svar Kommunikation mellem personer (jævnfør de nævnte eksempler) er helt udenfor OIOIDWS profilernes område, og kritikken afvises derfor. Kommentar 44 Modellen bør redesignes så den er interoperabel, dvs. undgår at låse nøgler til en bestemt teknologi, retsikker, dvs. undgår at give adgang til borgerens data til tredjepart uden eksplicit samtykke og kontrollen følger behovet og risikoen. IT- og Telestyrelsens svar Videregivelser af borgeres data til tredjepart vil til enhver tid skulle overholde persondataloven, herunder bestemmelser for, hvornår kræves samtykke fra borgeren. Dette forhold ændrer OIOIDWS profilerne ikke ved, idet de blot er en teknisk mekanisme, hvormed data kan udveksles - forudsat det er lovligt. Dermed afvises kritikken. 7

15 lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=p OIO-komitéen : 1. oktober, 2009 : Dagsordenspunkt 5 : Cover Orientering = j~åç~íé=ptsw=^êäéàçéí=ãéç=f`q=~åç=áååäìj ëáçå= oéëìã = Rasmus Shermer, Europa kommissionens Generaldirektorat for informationssamfundet, orienterer om arbejdet med ICT for Inclusion = p~öëñêéãëíáääáåö= Præsentationen vedlægges til orientering fåçëíáääáåö= Det indstilles, at OIO-Komitéen tager præsentationen af Mandat 376 til orientering. _áä~ö= PowerPoint præsentation = 25. september 2009 Sekretariat: IT- og Telestyrelsen Holsteinsgade København Ø Sagsbehandler Per de Place Bjørn Telefon E-post ppb@itst.dk OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. Digitalisér.dk/group/11917

16 DG Information Society and Media European Commission Mandate 376 Rasmus Shermer oktober 2009 Rasmus Shermer Arbejdet med ICT and inclusion siden 2001 og fra I forløberen for Kontoret for standardiserings- og arkitekturpolitik Nu Europa-Komissionens enhed: ICT for Inclusion The mission of the unit is to improve the quality of life of people, including persons with disabilities and the elderly, supporting their full participation in society by means of Information and Communication Technologies (ICT)

17 Hvad er Mandate 376? The main objectives of the mandate are: to harmonize and facilitate the public procurement of accessible ICT products and services by identifying a set of functional European accessibility requirements for public procurement of products and services in the ICT domain, and to provide a mechanism through which the public procurers have access to an electronic toolkit, enabling them to make use of these harmonized requirements in procurement process. Hvorfor er offentlige indkøb et fokusområde for inclusion politikken? De offentlige indkøb i Europa svarer til ca. 15% BNP Hvis det offentlige køber tilgængeligt udstyr sikres marginaliserede grupper adgang til offentlige arbejdspladser og offentlig information Producenter af IKT-udstyr vil være nødsaget til at tilpasse deres produkter. Tilgængeligt IKT-udstyr vil i højere grad blive off-the-shelf produkter Kan overføres til alle andre områder

18 Offentlige indkøb som driver for at nå politiske målsætninger Inclusion/tilgængelighed har været et fokusområde for Europa-Kommissionen siden år 2000 desværre er implementeringen fortsat på et utilfredsstillende niveau Europa-Kommissionen har derfor identificeret offentlige indkøb som en driver med et uudnyttet potentiale for at fremme inclusion Hvad er et standardiseringsmandat? (1) Standardisation mandates are the mechanism by which the Commission requests the European Standards Organisations (ESOs) to develop and adopt European standards in support of European policies and legislation Draft mandates are drawn up by the Commission services through a process of consultation with a wide group of stakeholders. Before being formally addressed to the ESOs, they are submitted for opinion to the Standing Committee of the 98/34/EC Directive.

19 Hvad er et standardiseringsmandat? (2) The ESOs, which are independent organisations, have the right to refuse a mandate if they do not think that standards can be produced in the area being covered. In practice this refusal happens rarely due to the informal consultation mentioned above. Please note that European standards, even developed under a mandate and for European legislation, remain voluntary in their use. Three types of mandates could be considered: study mandates to check the feasibility of standardisation, mandates requesting the elaboration of a standardisation programme and mandates for the development and adoption of European standards. Mandate 376 Phase I: Inventory Technology products (ICT); Existing accessibility requirements & current gaps ; Existing standards to comply with accessibility requirements Assessment: requirements as technical specifications/ award criteria ; Report on testing and certification schemes Phase II: Standardisation European standard (EN) Accessibility requirements for ICT domain, to be used as technical specifications ; Technical report (TR) listing existing technical standards ; Guidelines on award criteria; Guidance and support material e.g. On line freely accessible toolkit.

20 Current status Phase I: Inventory Høringsfase sluttede 15. september 2009 afventer derefter godkendelse af phase 1 og præcisering af arbejdsplanen for phase 2 Phase II: Standardisation Starter formentligt tidligst i Det er her, det rigtige arbejde starter Public procurement toolkit: On-line værktøjskasse, som kan bruges af den offentlige indkøber til at sikre, at de rigtige krav bliver implementeret i kravspecifikationen. Lignende værktøjer eksisterer allerede i blandt andet Irland, Danmark ( og Canada. Det nye er, at den nu bliver baseret på en rigtig international standard og ikke anbefalinger, nationale standarder m.m. Hvis der eksisterer en international standard er den offentlige indkøber forpligtet til at henvise til den, hvor det er relevant.

21 Perspektiver: Hvorfor begrænse sig til tilgængelighed? Hvad med åbne standarder? Hvad med funktionaliteter? Hvad med interoperabilitet? Kan man lave et public procurement toolkit, der dækker alle aspekter af offentlige indkøb af IKT? Kontaktinformation Rasmus Shermer 12

22 lfljâçãáí Éå=Ó=`çîÉê= _áä~ö Q OIO-komitéen : 1. oktober, 2009 : Dagsordenspunkt 6 : Cover Orientering eîáçäçö=çã=çéå=ñêéãíáçáöé=áâíj ëí~åç~êçáëéêáåö=á=br= oéëìã = EU-Kommissionen har udgivet en hvidbog med forslag til justeringer af EU's iktstandardisering. Hvidbogen og den danske regerings holdning til den vil på mødet blive præsenteret. = p~öëñêéãëíáääáåö= Hvidbogen indeholder blandt andet en række kriterier for åbne standarder, som ligger på linje med de gældende danske kriterier, samt en række konkrete forslag til ændringer af gældende regler med det formål at gøre det lettere at lave og anvende ikt-standarder i Europa. Regeringen har overfor Kommissionen tilkendegivet, at Danmark støtter forslagene. På OIO-komitéens møde vil specialkonsulent Adam Arndt fra IT- og Telestyrelsen kort præsentere hvidbogens indhold med fokus på de konkrete anbefalinger og baggrunden for regeringens høringssvar. 25. september 2009 Sekretariat: IT- og Telestyrelsen Holsteinsgade København Ø Sagsbehandler Adam Arndt Telefon E-post adar@itst.dk fåçëíáääáåö= Det indstilles, at OIO-Komitéen tager præsentationen af hvidbogen til orientering. _áä~ö= Hvidbogen er vedlagt. OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. Digitalisér.dk/group/11917

23 KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den KOM(2009) 324 endelig HVIDBOG om modernisering af ikt-standardiseringen i EU - vejen frem DA DA

24 HVIDBOG om modernisering af ikt-standardiseringen i EU - vejen frem 1. UDVIKLING AF EN MODERNE IKT-STANDARDISERINGSPOLITIK Informations- og kommunikationsteknologi (ikt) er en vigtig faktor for konkurrenceevnen og en af de vigtigste erhvervssektorer i det 21. århundrede. I 2007 havde den europæiske iktsektor en omsætning på 670 mia. EUR og tegnede sig for over 5 % af den samlede beskæftigelse i EU. Den europæiske ikt-sektor har brug for gode rammebetingelser for at yde sit fulde bidrag til dagsordenen for vækst og beskæftigelse, og i den forbindelse spiller standardisering en vigtig rolle. Eftersom der bruges ikt-redskaber i alle erhvervssektorer, kan en effektiv ikt-standardiseringspolitik på EU-plan fremme en hurtigere anvendelse af nye teknologier og applikationer og således bidrage til en generel forbedring af den europæiske økonomis konkurrenceevne. Standardisering er et frivilligt samarbejde mellem erhvervslivet, forbrugerne, de offentlige myndigheder og andre berørte parter med henblik på at udarbejde tekniske specifikationer. Erhvervslivet benytter standarder for at opfylde behovene på markedet, forbedre sin konkurrenceevne, sikre godkendelse af innovative løsninger eller skabe øget interoperabilitet. De offentlige myndigheder henviser til standarder i lovgivning og politikker og i forbindelse med indkøb for at sikre en række samfundsmæssige mål for sikkerhed, interoperabilitet, tilgængelighed, miljøresultater osv. Mens erhvervslivet kan anvende alle former for standarder, foretrækker de offentlige myndigheder klart - eller er endog forpligtet til at anvende - standarder, der er baseret på åbne, gennemsigtige og inddragende processer. Imidlertid kan de offentlige myndigheder ved at henvise til og benytte standarder bidrage til at fremme erhvervslivets konkurrenceevne og fremme konkurrencen til forbrugernes fordel. Gennemførelsen af den nuværende EU-standardiseringspolitik 1 er baseret på de europæiske standardiseringsorganers (ESO) arbejde og deres samarbejde med de internationale standardiseringsorganisationer. Politikken gør det muligt for Kommissionen at opfordre de europæiske standardiseringsorganer til at iværksætte særlige standardiseringsinitiativer og giver EU og medlemsstaterne mulighed for i forbindelse med lovgivning og politikker at henvise til europæiske standarder, der er fastsat af disse organer. I det nuværende retsgrundlag for ikt-standardisering anerkendes visse særlige ikt-elementer som f.eks. behovet for interoperabilitet, og der er sikret en vis fleksibilitet i forbindelse med henvisninger til iktstandarder i offentlige indkøbsaftaler 2. I løbet af de sidste ti år er der sket omfattende ændringer på ikt-standardiseringsområdet. Foruden de traditionelle standardiseringsorganisationer er specialiserede og oftest globale fora og konsortier blevet mere aktive, og flere af disse har udviklet sig til verdens førende organer for udvikling af ikt-standarder, f.eks. med ansvar for standarder, der omfatter internettet og world wide web. Denne udvikling afspejles ikke i EU s standardiseringspolitik. På nuværende 1 2 EFT L 204 af , s. 37. Gennem direktiv 98/34/EF konsolideredes ændringerne af Rådets direktiv 83/189/EØF af 28. marts 1983 og direktiv 98/34/EF blev yderligere ændret ved direktiv 98/48/EF med henblik på at omfatte informationssamfundets tjenester. Rådets beslutning 87/95/EF (EFT L 36 af , s. 31). DA 2 DA

25 tidspunkt er det ikke muligt at henvise til standarder fra sådanne fora eller konsortier, heller ikke selv om det vil kunne bidrage til at nå mål af almen politisk interesse. Hvis der ikke gøres en proaktiv indsats, risikerer EU at stå uden indflydelse på fastsættelsen af iktstandarder, som næsten udelukkende vil foregå uden for Europa og uden hensyntagen til europæiske behov. Medlemsstaterne er i store træk enige i denne analyse, og Rådet har understreget behovet for yderligere fremskridt for standardiseringsanvendelsen til også at omfatte områder som ikt og har indskærpet, at det nuværende europæiske standardiseringssystem skal tilpasses til behovet på de hurtigtudviklende markeder for især tjenesteydelser og højteknologiske produkter 3. Det er særdeles vigtigt, at EU s ikt-standardiseringspolitik moderniseres, og at standardiseringspotentialet udnyttes fuldt ud. Ellers vil EU ikke kunne være på forkant med informationssamfundet, vil ikke kunne realisere en række vigtige europæiske politiske mål, som kræver interoperabilitet, herunder e-sundhed, tilgængelighed, sikkerhed, e-handel, e-forvaltning, transport osv., og vil få vanskeligere ved at sikre udviklingen og udbredelsen af internationale standarder for beskyttelse af personoplysninger som fastsat i meddelelsen om Stockholmprogrammet 4. Overordnet skal der gøres en indsats i forbindelse med følgende politiske mål: fremme innovation og konkurrenceevne ved at tilpasse ikt-standardiseringspolitikken til markeds- og politikudviklingen sikre, at erhvervslivet, herunder de små og mellemstore virksomheder, har adgang til tidssvarende ikt-standarder af høj kvalitet, således at konkurrenceevnen på det globale marked sikres, samtidig med at de samfundsmæssige forventninger opfyldes forbedre den europæiske ikt-standardiserings stilling på globalt plan skabe fordele for forbrugerne ved at fremme konkurrencen på de europæiske og internationale ikt-markeder styrke det indre marked ved at opstille fælles kriterier og processer for henvisning til ikt-standarder i europæisk lovgivning, politikker og offentlige indkøb øge ikt-standardernes kvalitet og sammenhæng yde aktiv støtte til gennemførelsen af ikt-standarder. For at forny den europæiske ikt-standardiseringspolitik lancerede Kommissionen en gennemgang og en undersøgelse for at analysere EU's nuværende ikt-standardiseringspolitik og fremlægge anbefalinger for den fremtidige udvikling heraf. Undersøgelsesrapporten blev offentliggjort i juli og fulgt op af en høring på internettet. De kommentarer, der blev modtaget, blev offentliggjort på Europa-webstedet 6, og der blev afholdt en åben konference i februar for at gennemgå anbefalingerne i undersøgelsen samt kommentarerne /default/92107.pdf Meddelelse: Et område med frihed, sikkerhed og retfærdighed i borgernes tjeneste (KOM(2009) 262) DA 3 DA

26 I den forbindelse blev det besluttet at fremlægge en hvidbog for at afdække, hvorvidt der er konsensus om de politiske valgmuligheder og særlige foranstaltninger, som vil kunne hjælpe den europæiske ikt-standardiseringspolitik med bedre at opfylde erhvervslivets og de samfundsmæssige behov. Mens den europæiske ikt-standardiseringspolitik fortsat skal være baseret på principperne om frivillig og markedsbaseret standardisering, teknologineutralitet og interesseafvejning, er det vigtigste for en forbedring af det nuværende system, at: der etableres en politik for ikt-standarder, som imødekommer ikt-sektorens generelle dynamik og krav og afspejler infrastrukturernes og anvendelsesområdernes varierende behov der sikres en mere integreret tilgang til ikt-standardisering og anvendelse af ikt-standarder og -specifikationer erhvervslivets konkurrenceevne og loyale konkurrence styrkes ved at fremme gennemførelsen af standarder og specifikationer samarbejdet i forbindelse med udviklingen af ikt-standarder både i Europa og på globalt plan styrkes. 2. VIGTIGE ASPEKTER I FORBINDELSE MED MODERNISERINGEN AF IKT-STANDARDISERINGEN I EU 2.1 Egenskaber i ikt-standarder, der vedrører EU-lovgivning og -politikker For at lette anvendelsen af de bedste tilgængelige standarder til underbyggelse af europæisk lovgivning og europæiske politikker er det nødvendigt at fastsætte krav i form af en liste over egenskaber, som sådanne standarder og den dermed forbundne standardiseringsproces skal have. En sådan egenskabsliste skal sikre, at de almene politiske mål og samfundsmæssige behov opfyldes. Det kan dog være nødvendigt med yderligere præcisering i egenskabslisten, især for så vidt angår intellektuel ejendomsrettighedspolitik, for at omfatte nye tilgange til udvikling af software som f.eks. open source-modellen. Det foreslås, at de kriterier, som WTO har udviklet for internationale standardiseringsorganisationer, danner grundlag for egenskabslisten. Den nære forbindelse mellem WTO-kriterierne og de egenskaber, der understøtter den europæiske iktstandardiseringspolitik, vil støtte den frie handel med overensstemmende produkter, tjenesteydelser og applikationer, og lignende kriterier bør anvendes af vores handelspartnere i deres tilgang til standardisering. Det foreslås, at følgende egenskaber, som allerede opfyldes af de europæiske standardiseringsorganer samt nogle fora og konsortier, altid bør sikres i forbindelse med standardiseringsprocessen: 1) Åbenhed: Udviklingsprocessen bag standardiseringen foregår inden for rammerne af en ikke-kommerciel organisation på grundlag af åbne beslutningsprocedurer, som er tilgængelige for alle berørte parter. Den åbne standardiseringsproces varetages af de relevante grupper af berørte parter og afspejler brugernes krav. DA 4 DA

27 2) Konsensus: Standardiseringsprocessen er baseret på samarbejde og konsensus. Processen favoriserer ikke nogen bestemt interessepart. 3) Balance: De berørte parter skal på alle trin i udviklingen og beslutningsprocessen have mulighed for at følge standardiseringsprocessen. For at opnå balance tilstræbes det, at alle grupper af berørte parter deltager. 4) Gennemsigtighed: Standardiseringsprocessen er tilgængelig for alle de berørte parter, og alle oplysninger vedrørende tekniske drøftelser og beslutninger arkiveres og identificeres. Oplysninger om (nye) standardiseringsaktiviteter meddeles bredt gennem passende og tilgængelige kanaler. Kommentarer fra berørte parter skal tages i betragtning og besvares. Desuden bør følgende egenskaber afspejles i selve standarderne: 1) Vedligeholdelse: Der skal garanteres løbende støtte til og vedligeholdelse af de offentliggjorte standarder gennem en længere periode, herunder hurtige tilpasninger til ny udvikling, som har vist sig at være nødvendige, effektive og interoperable. 2) Disponibilitet: Standarderne stilles offentligt til rådighed med henblik på gennemførelse og anvendelse på rimelige vilkår (f.eks. mod et rimeligt gebyr eller gratis). 3) Intellektuelle ejendomsrettigheder: Intellektuelle ejendomsrettigheder, som er nødvendige for gennemførelse af standarderne, gives i licens til ansøgere på baggrund af rimelige vilkår, som ikke medfører forskelsbehandling ((F)RAND) 8, som afhængigt af indehaveren af ejendomsrettigheden omfatter adgang til den nødvendige intellektuelle ejendom uden kompensation. 4) Relevans: Standarden er effektiv og relevant. Standarder skal opfylde markedsbehovene og de lovgivningsmæssige krav, især når disse krav udtrykkes i standardiseringsmandater. 5) Neutralitet og stabilitet: Standarderne bør så vidt muligt være resultatorienterede frem for at være baseret på konstruktionsmæssige eller beskrivende egenskaber. Standarderne bør ikke medføre forvridning på (det globale) marked(et) og bør fortsat sikre et grundlag, hvorpå brugerne kan udvikle deres konkurrenceevne og innovation. Desuden bør standarderne baseres på avancerede videnskabelige og teknologiske udviklinger, hvilket også vil forbedre deres stabilitet. 6) Kvalitet: Kvaliteten og detaljeringsgraden er tilstrækkelig til at sikre, at der kan udvikles flere konkurrerende anvendelser af interoperable produkter og tjenesteydelser. Standardiserede grænseflader må ikke skjules eller kontrolleres af andre end standardiseringsorganisationerne. 8 Princippet bag FRAND (fair reasonable and non-discriminatory) er, at alle parter aftaler at give licens til den intellektuelle ejendomsrettighed, som indgår i de respektive standarder, på rimelige og ikkediskriminerende vilkår til alle, som ønsker at implementere standarden. Den egentlig licensaftale indgås mellem ejendomsrettighedens respektive indehaver og dem, som ønsker at implementere standarden. DA 5 DA

28 a) Kommissionen foreslår, at disse egenskaber integreres i den fremtidige iktstandardiseringspolitik. 2.2 Anvendelse af ikt-standarder i offentlige indkøb Henvisninger til standarder i forbindelse med offentlige indkøb kan være et vigtigt middel til at fremme innovation, samtidig med at de offentlige myndigheder får det nødvendige redskab til at varetage deres opgaver især på lead markets 9 som f.eks. e-sundhed. Offentlige indkøb skal være i overensstemmelse med direktiv 2004/18/EF 10, som skelner mellem formelle standarder og andre tekniske specifikationer, for hvilke der skal forelægges en beskrivelse af funktionelle krav. For at give tilbudsgivere mulighed for at tilbyde forskellige tekniske løsninger foreskriver direktivet desuden anvendelse af teknologineutrale specifikationer. Når offentlige myndigheder henviser til tekniske standarder i de tekniske specifikationer, bør de også præcisere, hvorvidt tilbudsgiverne har mulighed for at godtgøre, at deres tilbud opfylder specifikationerne, også selv om det ikke er i overensstemmelse med den angivne tekniske standard. Når der skal indkøbes ikt-tjenesteydelser og -produkter, kan andre krav imidlertid være vigtigere. De offentlige myndigheder skal kunne definere deres ikt-strategier og -strukturer, herunder interoperabilitet mellem organisationer, og vil indkøbe ikt-systemer/ikt-tjenesteydelser og ikt-produkter eller komponenter heraf, som opfylder deres krav. I Rådets beslutning 87/95/EF, som fastlægger den nuværende EU-standardiseringspolitik på ikt-området, anerkendes ikt-områdets særegenhed, og der gives vejledning om offentlige indkøb af ikt-systemer. Desuden understreges vigtigheden af interoperabilitet, og der opfordres til at henvise til funktionsstandarder for at nå dette mål. Beslutningen indeholder også en bestemmelse om i begrundede tilfælde at fravige denne regel. Rådets beslutning 87/95/EF er imidlertid utidssvarende, fordi den fokuserer på produkter og ikke på begreberne tjenesteydelse og applikationer, som anvendes i dag. Derfor er det nødvendigt at ajourføre Rådets beslutning 87/95/EF, således at de offentlige myndigheder får adgang til standarder og specifikationer, som er i overensstemmelse med tidens behov med hensyn til offentlige indkøb af ikt-tjenesteydelser og applikationer. Standarder og specifikationer for grænsefladen mellem organisationer, ikt-systemer og tjenesteydelser vil først og fremmest skulle opfylde de offentlige myndigheders specifikke erhvervsmæssige behov og således bane vej for implementering af deres ikt-strategier og -strukturer. Sådanne grænseflader bør så vidt muligt og med tanke på, at fleksibilitet er nødvendigt for at opfylde behovene, defineres ved hjælp af teknologihenvisninger, dvs. produkt- og sælgerneutrale standarder eller specifikationer, som kan implementeres af forskellige leverandører. Dette sikrer effektiv konkurrence mellem tilbudsgiverne og således lavere priser og gør det mere sandsynligt, at de pågældende ikt-systemer vil være interoperable med de eksisterende og fremtidige systemer, der anvendes af offentlige myndigheder eller af private personer og virksomheder "Et lead market-initiativ til fordel for Europa" (KOM(2007) 860). EUT L 134 af , s DA 6 DA

29 b) Kommissionen foreslår, at bestemmelserne om offentlige indkøb i Rådets beslutning 87/95/EF ajourføres, således at offentlige myndigheder lettere kan erhverve ikt-tjenesteydelser, -applikationer og -produkter, som opfylder deres særlige krav, herunder især et tilstrækkeligt niveau af interoperabilitet. c) Kommissionen foreslår en tydeliggørelse af, at implementeringen af standardiserede grænseflader, når disse er defineret inden for rammerne af ikt-strategier, -strukturer og -interoperabilitet, kan gøres til et krav i offentlige indkøbsprocedurer, forudsat at principperne om åbenhed, rimelighed, objektivitet og ikke-diskrimination og direktiverne om offentlige indkøb anvendes. 2.3 Fremme af synergierne mellem ikt-forskning, innovation og standardisering Mange ikt-projekter og F&U-projekter udmunder i særdeles relevante forskningsresultater. De bliver imidlertid ikke i tilstrækkelig grad omsat til konkrete applikationer, som kan markedsføres på et senere tidspunkt. Standarder er en vigtig metode til at fremme omsættelsen af forskningsresultater til praktiske applikationer. Det har vist sig, at initiativer med henblik på forbedring af forbindelsen mellem iktstandardisering og ikt-forskning og -udvikling er mest effektive, når de udføres i forskningens planlægningsfase frem for i det pågældende projekts gennemførelsesfase. Derfor er det nødvendigt at fokusere på standardisering tidligt i forskningsfasen, ligesom standardiseringsaspektet bør integreres i de europæiske teknologiplatformes strategiske forskningsdagsordener. d) Kommissionen foreslår, at de berørte parter inden for standardisering og forskning, herunder navnlig de europæiske teknologiplatforme, høres regelmæssigt for at sikre, at relevante europæiske forskningsinitiativer bidrager så effektivt som muligt til ikt-standardiseringsaktiviteterne. e) Kommissionen foreslår, at standardiseringsorganerne i nødvendigt omfang tilpasser deres procedurer for at sikre, at bidrag fra forskningsorganisationer, -konsortier og -projekter fremmer en rettidig udarbejdelse af ikt-standarder. f) Kommissionen foreslår, at medlemsstaterne overvejer en lignende tilgang til eventuelle F&U-initiativer om ikt på nationalt plan. 2.4 Intellektuelle ejendomsrettigheder og ikt-standarder I en verden med flere og flere indbyrdes forbundne systemer har ikt-interoperabilitet og især software-interoperabilitet fået afgørende betydning. Derfor er intellektuelle ejendomsrettigheder vigtige i forbindelse med standardisering, idet ejendomsrettigheder til de teknologiske løsninger, som skal sikre interoperabilitet, skal overholdes 11. Generelt giver den europæiske standardiseringspolitik mulighed for at inkorporere proprietære teknologier, der er beskyttet af intellektuelle ejendomsrettigheder, i standarder. I henhold til EU s konkurrenceregler må fastsættelsen af standarder ikke medføre en begrænsning af 11 Jf. meddelelsen om privat ejendomsret, KOM(2008) 465 af 16. juli DA 7 DA