Adviescollege ICT-toetsing op afstand van BZK
Tijdelijke ICT-waakhond BIT is ingeruild voor het permanente Adviescollege ICT-toetsing. De kritisch volger van overheids-ICT in wording kan nu veel meer. Ook bestaande systemen toetsen en ongevraagd zelf adviezen geven. Voorzitter Hans Verkruijsse vertelt waarom dat nodig is.
Beeld: Shutterstock/iBestuur
Extra spierballen voor het ICT-bijtertje
BIT was natuurlijk een krachtige naam voor een ICT-bijtertje. Als een pitbull die nooit loslaat. Heel wat anders dan het stijf klinkende ‘Adviescollege ICT-toetsing’. “De naam BIT stond goed in de markt”, geeft voorzitter Hans Verkruijsse van het nieuwe adviesorgaan toe. “Maar ja, we zijn nu geen ‘bureau’ meer, maar een toetsingsautoriteit. Na lang nadenken is de nieuwe naam eruit gerold. Maar de BIT-toets blijft zo heten. Het zweperige houden we er dus beslist in.”
Bureau ICT-Toetsing (BIT) kreeg in 2015 gestalte als reactie op de onderzoekscommissie onder leiding van toenmalig VVD-Kamerlid Ton Elias. Die oordeelde keihard over de grote ICT-projecten van de Rijksoverheid. ICT-flops kosten de schatkist jaarlijks 1 tot 5 miljard euro. Een extra vinger aan de pols was nodig. BIT ontpopte zich als een luis in de pels met een reeks kritische rapporten over lopende ICT-projecten, zoals het Operationeel Politie Platform voor het delen van politiegegevens, het gesjeesde ICT-systeem van de Nederlandse Voedsel- en Warenautoriteit (NVWA) en het Digitaal Stelsel Omgevingswet (DSO). “De gedachte toen was dat het lerend vermogen bij de Rijksoverheid na vijf jaar wel op niveau zou zijn, maar het proces is nog lang niet klaar”, geeft Verkruijsse als verklaring voor de ‘doorstart’. “Bij de oprichting van BIT gaf ik meteen aan dat ik niet geloofde in het tijdelijke karakter ervan. Die verwachting is uitgekomen. Je bent nooit honderd procent up-to-date op ICT. Ook aan standaardisering moet nog veel gebeuren. De departementen ontwikkelen en gebruiken uiteenlopende stukken software. Het streven van het Rijk is nog altijd meer eenheid, efficiency en effectiviteit in ICT. Dat bereik je alleen door met goede standaarden te werken.”
DSO
De grote gemene deler in de uitgevoerde BIT-toetsen, aldus Verkruijsse, is dat de Rijksoverheid ICT-projecten te groot en te complex aanvliegt. “Alle problemen moeten in één keer worden opgelost.” Illustratief is het Digitaal Stelsel Omgevingswet. In 2017 lag er een BIT-rapport met de heldere boodschap dat de omgevings-ICT te ingewikkeld was en tot problemen zou leiden. Het advies was om het DSO in kleinere stukken op te knippen. Drie jaar later blijkt er nauwelijks iets veranderd, en gans politiek Den Haag valt over de DSO-misère heen. Reden voor Verkruijsse en zijn team om eind vorig jaar wederom een kritisch rapport naar verantwoordelijk minister Ollongren te sturen. “Het blijkt geen haalbare kaart het DSO minder complex te maken. Alle regelgeving moet per se in één nieuw omvangrijk systeem komen.” Dat is helemaal niet nodig, zo zegt Verkruijsse als voorzitter van XBRL Nederland te hebben geleerd. “De omgevingsregelgeving is zo uitgebreid dat je die prima in aparte dedicated systemen kunt stoppen om die vervolgens met XBRL te verbinden. We zullen het DSO blijven volgen. Als er geen nieuwe aanvraag voor een BIT-toets komt, houd ik het zeker voor mogelijk dat we hier uit eigen beweging nog een keer naar gaan kijken.”
We zijn niet langer onderdeel van Binnenlandse Zaken, wat onze onafhankelijkheid benadrukt.
In plaats van één vinger aan de pols komen er met het optuigen van het permanente adviescollege namelijk vele vingers bij. “We hoeven niet meer te wachten tot er een verzoek vanuit een ministerie binnenkomt”, zegt Verkruijsse, “en we kunnen voortaan ook ingaan op adviesverzoeken vanuit het parlement. Mocht er aanleiding toe zijn, mogen we zelf adviezen uitbrengen. Niet dat we meteen bovenop een systeem gaan duiken. We zullen eerst een goed gesprek met de CIO of de bewindspersoon in kwestie voeren. Maar als dat niets oplevert, is het heel goed mogelijk dat we zelf een onderzoek beginnen. We zijn niet langer onderdeel van Binnenlandse Zaken, wat onze onafhankelijkheid benadrukt.”
Verkruijsse roert een wezenlijk punt aan. Zo berichtte NRC eerder, overigens op basis van anonieme bronnen, dat BIT vanuit de ambtelijke top van BZK flink werd tegengewerkt en dat het topmanagement het liefst na afloop van de tijdelijke termijn een punt achter de ICT-waakhond wilde zetten. Iets wat door staatssecretaris Knops direct in een Kamerbrief werd ontkend. “Er is in de tijd van BIT nooit enige aanwijzing geweest dat er van beïnvloeding sprake zou zijn”, reageert ook Verkruijsse. “We zijn altijd onafhankelijk geweest. Al heeft niet iedereen dezelfde perceptie, zeker niet van buitenaf. De staatssecretaris heeft in een gesprek nogmaals benadrukt dat hij nooit aan onze rapporten is geweest. Met de instelling van het adviescollege is de onafhankelijke status nu sowieso geborgd. Als wij een rapport uitbrengen gaat het voortaan rechtstreeks naar de beide Kamers toe, dus ik verwacht dat er nu een eind aan de discussie komt.”
Onderhoud
Het adviescollege gaat zich ook richten op het beheer en onderhoud van bestaande systemen. “Bij de aanpassingen van systemen is soms ook sprake van nieuwbouw. Er is geen harde scheidslijn”, licht Verkruijsse toe. “De ICT-budgetten van de ministeries zijn voor een deel gericht op nieuwe projecten. Daar hebben we de BIT-toets voor. Een tweede deel is kantoorautomatisering. Daar kijken we niet naar. Het derde deel gaat naar de kosten voor onderhoud en beheer. Soms zitten daar heel grote ingrepen bij. Het is wezenlijk om daar eveneens op te toetsen. Zo gaan we naar de houdbaarheidsdatum van systemen kijken. Als je nu pleisters moet plakken om een systeem in de lucht te houden en over een halfjaar weer, dan is het wellicht niet zo rendabel daarin te investeren. Niet ondenkbaar is dat we in zo’n geval kunnen adviseren het systeem uit te faseren. Het systeem dat de Belastingdienst voor invorderingen gebruikt is vijftig jaar oud en nog geschreven in COBOL. Er zullen maar weinig mensen zijn die dat kennen. Als er groot onderhoud nodig is, kun je je afvragen of het dan niet tijd wordt om een nieuw systeem te bouwen.”
Oordeel achteraf
Binnenkort start het adviescollege met een evaluatie van de CoronaMelder-app. De pandemie-app is een al vaak bejubelde case. Tijdens het ontwikkelproces werden via het eigen GitHub-account van het ministerie van Volksgezondheid, Welzijn en Sport broncode en ontwerpdocumenten gedeeld en werden ook audits en pentests openbaar. Vele buitenstaanders hebben er vrijwillig in de avonduren aan mee ontwikkeld. Uiteindelijk heeft staatssecretaris Knops gehoor gegeven aan het verzoek vanuit de Tweede Kamer om te onderzoeken of de overheid in volgende ICT-projecten niet haar voordeel met zo’n open werkwijze kan doen. “Voor het adviescollege is dit een eerste project waarin we geen BIT-toets toepassen, maar een oordeel achteraf vellen. Natuurlijk is het voor ons nog zoeken naar hoe we zoiets het beste aan kunnen vliegen, maar dat komt vanzelf wel. Het mooie van deze app is dat de ontwikkeling ervan voldoet aan het adagium ‘open, tenzij’ en er kwam ook nog een openbare hackathon bij. Al kun je je afvragen of voor deze aanpak het momentum er wel was. Maar dat gaan we onderzoeken. Tegen de zomer verwachten we een conclusie te kunnen presenteren of de bouw van deze app aan het lerend vermogen van de Rijksoverheid heeft bijgedragen, en vooral wat nou de waarde is van de toevoeging ‘tenzij’. Ik hoop dat we dan ook kunnen zeggen of de app succesvol was of niet. De meeste gebruikers hebben er vermoedelijk niets van gemerkt, met name omdat iedereen sterk in zijn bewegingen beperkt was. Maar dat wil nog niet zeggen dat het geen goed instrument was om verspreiding van COVID tegen te gaan.”
Goed dat deze uitbreiding van bevoegdheden er komt. Ik hoop dat het AdICT (hee, leuke afkorting ;-) ) ook het als haar taak ziet om kennis te delen over best practices, waarbij we makkelijk kunnen putten uit de playbooks van USDS, GDS en vergelijkbare organen in het buitenland. Zie playbook.cio.gov/ voor een mooi voorbeeld. Er zijn er nog veel meer, over agile werken, slim aanbesteden, etc. etc. Ik mis in Nederland nog een orgaan dat deze rol oppakt. Hier valt met minimale inspanning nog veel winst te behalen. De Code for NL community denkt vast graag mee, indien het adviescollege dit wil oppakken (praatmee.codefor.nl).
Dankzij het BIT-advies over het DSO in 2017 is de ‘Laan van de Leefomgeving’ met ‘informatiehuizen’ geschrapt. Deze informatiehuizen zouden allerlei noodzakelijke data- en informatieproducten moeten opleveren, die gebruikt worden bij de voorbereiding, uitvoering en toetsing van plannen, visies en omgevingswaarden. Nu moeten alle bevoegd gezagen zelf maar uitzoeken hoe ze tot die informatieproducten komen. Gevolg: enorme verborgen kosten dan wel überhaupt geen goede informatie met als gevolg ruimtelijke ordening en milieubeleid van inferieure kwaliteit. Vooral dat laatste is een groot risico, immers met name de gemeenten hebben onvoldoende middelen om te investeren in fatsoenlijk gegevensmanagement. Bedankt BIT!
PS De XBRL-oplossing voor de uitwisseling van de gegevens in ‘aparte dedicated systemen’ doet wel erg 20e-eeuws aan – tegenwoordig proberen we data van applicaties te scheiden, dus wat uitwisseling? – en trouwens, wat moet de omgevingsregelgeving met een standaard om financiële gegevens uit te wisselen? Gelukkig pakken gemeenten dat dan wel beter aan: http://www.commonground.nl/
De in het artikel benoemde neiging van de overheid om in projecten teveel problemen in één keer op te pakken herken ik. Evenals de gevolgen ervan. De suggestie in het artikel dat XBRL een oplossing zou zijn voor DSO doet mijns inziens achter geen recht aan de complexe opgave waar dit programma voor staat. Met een dergelijke uitspraak komen we wederom in het frame dat het slagen en falen van ICT projecten zou zijn gelegen in ‘de techniek’.
De werkelijke uitdagingen van het DSO zijn (onder meer) gelegen in het volgende
– een compleet nieuw juridisch stelsel, dat voor iedereen onbekend is, met nieuwe begrippen, principes en procedures
– het streven om op een (fundamenteel) andere manier regels te stellen over de fysieke leefomgeving
– de nadrukkelijk gewenste vrijheidsgraden in vormen en typen van regels, waarbij decentrale overheden hun eigen keuzen kunnen maken
– het verenigen van de (zeer stringente) eisen en kaders van uit de (generieke) bekendmakingswet met met die van de (domeinspecifieke) omgevingswet
– De doelstelling om deze complexe regelstructuren te ontsluiten op een voor initiatiefnemers begrijpelijke manier, in de vorm van vragenbomen (toepasbare regels
– Dit alles in een context van een veelheid aan stakeholders met hun eigen blik op de werkelijkheid, processen en belangen.
In deze context moet het programma zien te komen tot een begrijpelijke modellering van informatie, tot een werkende uitwisselstandaard en tot een betekenisvolle presentatie van informatie.
Het is eigenlijk onvermijdelijk dat dit gaat vallen en opstaan