BZK stuurt Meerjareninformatieplan 2024-2026 naar de Tweede Kamer
De nieuwe Tweede kamer, met 67 nieuwe leden, valt met de neus in de boter en wordt verblijd met het informatieplan voor de drie komende jaren van het ministerie van BZK. Veel aandacht is er voor datagedreven werken ten behoeve van maatschappelijke opgaven en betere dienstverlening. BZK wil over beleidsdomeinen heen in samenhang kunnen sturen op digitalisering. Ook andere ministerie leveren de komende periode hun ‘iPlan’ in.
In de begeleidende brief bij het 20 pagina’s tellende driejarenplan geeft de CIO van BZK (Maghiel van Meeteren) een toelichting op deze jaarlijkse actualisering van het ‘iPlan’ dat een overzicht van de opgaven van BZK bevat met “de ambities en plannen om daar met informatie en technologie aan bij te dragen”. Met als doel om mogelijk te maken “om over beleidsdomeinen heen in samenhang te kunnen sturen op digitalisering en om waar nodig te kunnen versnellen en prioriteren”.
Het concept ging eerst naar staatssecretaris Alexandra van Huffelen die kritiek uitte. In het iPlan ontbrak notabene een werkagenda, een planning om doelen te bereiken en miste ze de beoogde ‘Kruispuntbank’. Echter, zo stelt Van Meeteren, de werkagenda en vooral effecten daarvan zijn ook onduidelijk, terwijl voor veel acties informatie over planning op dit moment nog niet beschikbaar blijkt. Hij belooft voor volgende jaren beterschap. Ook de financiële paragraaf ontbeert concrete bedragen.
Verder is het stuk opvallend concreet wat betreft plannen. Genoemde Belgische Kruispuntbank dient, evenals X-road van Estland, als voorbeeld voor de bouw van een federatief datastelsel (FDS) als ‘dataecosysteem’ van de gehele Nederlandse overheid. Hierin worden afspraken en standaarden vastgelegd voor de wijze van werken en het gebruik van data. Zodoende weten burgers ook welke gegevens over hen worden gebruikt voor welk doel.
Datagedreven werken
Dit alles voor een betere privacy by design, verantwoording afleggen (‘accountability’) en transparantie zodat data makkelijker gebruikt kunnen worden voor maatschappelijke opgaven en betere dienstverlening. Komende jaren moeten steeds meer datasets aansluiting vinden op het FDS, onder het toeziend oog van een in te richten ‘gezaghebbend adviesorgaan’. “Het loket helpt impasses in gegevensdeling te doorbreken, voorkomt dat er fouten worden gemaakt én helpt door analyses en kennisdeling organisaties in de hele maatschappij om de juiste overwegingen te maken.”
Ook gaat BZK werken aan een “Digilab; een laboratoriumomgeving voor (datadeel)projecten van de overheid om (met de modernste technologie) te onderzoeken hoe de technische interoperabiliteit en het verantwoord delen van data tussen overheidsorganisaties versterkt kan worden.”
Digitale werkomgeving
De digitale werkomgeving voor ambtenaren moet verbeteren. Dat begin nu met een test van een eerste versie, waarin twee departementen op basis van deze nieuwe werkplek met elkaar kunnen samenwerken. Vanaf 2024 wordt deze werkplek-functionaliteit via plateaus uitgebreid.
Ook komt er een aanbesteding voor een Content Services Platform, onder meer als opvolger van de huidige Document Management Systemen, met een gunning in de tweede helft 2024, waarna in 2025 implementatie volgt bij departementen.
Veel werk stopt BZK in beter hybride werken, en er lopen vervangingsinvesteringen met SSC-ICT en Organisatie en Personeel Rijk om de continuïteit van de werkomgeving en de dienstverlening te borgen. Er is echter een serieus probleem: “De uitvoering van de in 2021 vastgestelde iStrategie verloopt volgens afspraak. Er is in de omgeving echter een versnelling gaande waar BZK onvoldoende op kan inspelen. De uitvoering van IT-programma’s loopt niet soepel genoeg, we worstelen met de erfenis van verouderde infrastructuur en veel processen en systemen zijn te ingewikkeld. Daarom zullen we in 2024 de iStrategie aanscherpen.”
Tekort aan IT’ers
Grootste probleem is de schaarste op de arbeidsmarkt van IT’ers, plus pensionering van een generatie die de huidige informatievoorziening van de overheid heeft ontworpen. Ook de Versnelling van AI en andere technologieën zoals quantumtechnologie zal in de nabije toekomst grote invloed hebben op digitalisering.
Download HIER het iPlan van het ministerie van BZK
Fijn dat wordt ingezet op een federatief datastelsel, maar het huidige plan is nog niet best. Volgens de Internet Organised Crime Threat Assessment (IOCTA) rapport van Europol zijn de identiteitsdiefstalcijfers in de EU dramatisch. Een centraal register is vragen om ellende. Stel dat Nederland de Belgische Kruispuntenbank voor Ondernemingen (KBO) gaat nabouwen, dan wordt dit een ideaal doelwit van fraudeurs die valse identiteiten gebruiken om bedrijven op te richten, leningen aan te vragen en subsidies te ontvangen, om vervolgens met het geld te verdwijnen.
Voorbeeld: onze stoute fraudeur verzamelt of koopt persoonsgegevens van individuen, waaronder naam, geboortedatum, en identiteitskaartnummer. Gegevens die eenvoudig afkomstig zijn van eerdere datalekken, phishing-aanvallen of sociale media. Vervolgens creëert de fraudeur met die informatie meerdere valse identiteiten en registreert online valse bedrijven bij de KBO. Voor die registratie gebruikt de fraudeur gestolen of vervalste documenten om het registratieproces te voltooien.
Zodra de bedrijven zijn geregistreerd, vraagt de fraudeur zakelijke leningen, kredieten en subsidies aan bij financiële instellingen en overheidsinstanties. Omdat zo’n KBO-registratie als legitiem wordt beschouwd, worden de aanvragen vaak goedgekeurd, waardoor de fraudeur de middelen ontvangt en witwast via verschillende bankrekeningen, via verschillende landen, om de oorsprong van het geld te verhullen. Voordat de fraude wordt ontdekt, verdwijnt de fraudeur met het geld en laat de valse bedrijven als lege hulzen. Gevolg: imagofraude, verlies van publieke middelen en financiële schade.
Een gecentraliseerd identiteitsysteem levert dus aanzienlijke kans op economische schade, aangezien fraude met valse identiteiten instellingen en overheidsbudgetten miljoenen euro’s kan kosten door oninbare leningen en misbruik van subsidies. Het levert een kans op vertrouwensschade, omdat de integriteit van het registratiesysteem en de efficiëntie van overheidsinstanties wordt aangetast en het zal uiteindelijk leiden tot strengere regelgeving en controles voor legitieme ondernemers, wat extra kosten en administratieve lasten voor de samenleving met zich meebrengt.
Waarom niet doorpakken op gefedereerde en GEDISTRIBUEERDE registratie?
Waarom niet inzetten op verifieerbare claims op attestaties onder real time auditeerbaar beleid?
Het gaat om de datarelaties en niet om de database. Als we dat doen kunnen we direct aanhaken.
Het federatedplatforms.eu concept heeft allang geleid tot de Basis Data Infrastructuur in Nederland, die al wordt toegepast in de Digitale Infrastructuur Logistiek (DIL) (https://topsectorlogistiek.nl/bdi-en-dil-een-afsprakenstelsel-voor-event-gedreven-coordinatie-in-de-logistiek/)
Als Nederland de Belgische Kruispuntbank van Ondernemingen – KBO zou willen nabouwen, dan zou je daarvoor ons eigen Nederlands Handelsregister, beheerd door de Kamer van Koophandel (KvK) moeten vervangen of erop aan moeten sluiten. Complex en duur, maar niet als he gaat werken met een onderling, naar elkaar verwijzend pallet van attestatie verificatie mechanismen.
Als een zwerver vroeger een dorp binnen slenterde, vroegen de dorpelingen ‘van wie ben jij er een?’.
Als iemand een attestatie contextueel claimt, dan kun je Decentraal verifiëren.
Banken en telco’s hebben al de Know Your Customer (KYC) verplichting. Bouw ook op hun werk.
Een nieuwe Nederlandse Kruispuntbank ook vereisen dat verschillende Nederlandse overheidsinstellingen samenwerken en hun processen op elkaar afstemmen. Kunnen ze nu al niet.
Je praat over allemaal verschillende instanties die zo hun eigen systemen en procedures hebben.
Technisch zou speciale infrastructuur moeten worden ontwikkeld of aangepast om zo’n nieuw systeem te ondersteunen. Dit vereist significante investeringen en IT-expertise. Vervolgens hangt het succes van zo’n systeem af van de bereidheid van bedrijven, overheidsinstellingen en andere stakeholders om het ook te gebruiken en hun processen dienovereenkomstig aan te passen. Nederland is een van de meeste open economieën ter wereld. Niemand zit te wachten op een bottleneck. Onverkort zou de nu beschreven ambities dus enorme planning, overleg en middelen vereisen, veel tijd kosten en niet zomaar geïmplementeerd zijn. Een klassieke top down, standaardisatie, centralisatie en harmonisatie aanpak en knetter kwetsbaar.
De nadelen van centrale aanpak door één organisatie is dat het zo’n register tot Single Point of Failure maakt, waarin alle data en processen centraal worden beheerd. Dat is een schijnzekerheid.
Als je het doel, (Trust opbouw) echter gedistribueerd én gefedereerd uitvoert over meerdere organisaties, kun je bouwen op een gedistribueerde architectuur, data en proces-aanpak, waarbij alleen die zaken lokaal worden uitgevoerd die daar ook horen en op verschillende locaties, maar onder gedeelde Data Governance. In Nederland kennen we die governance al: http://www.ishare.eu
Nu kun je het beoogde federatieve datastelsel niet alleen veel sneller, maar ook veel goedkoper én veel robuuster organiseren. Schaalbaarder, flexibeler en met veel meer veerkracht.
Gebruik gewoon de het International Data Spaces Reference Architecture Model (IDS-RAM) dat al een bewezen gedecentraliseerd framework voor data-uitwisseling biedt, waarbij data-eigenaren controle behouden over hun data. Door gebruik te maken van IDS-RAM kan de Oranje Kruispuntbank 2.0 wel degelijke worden opgericht en een veilige en gestandaardiseerde omgeving creëren voor data-uitwisseling tussen verschillende organisaties en stakeholders, maar als Zachte Architectuur. De data spaces aanpak helpt bij het organiseren van data en het definiëren van toegangsregels, wat leidt tot een efficiënter beheer met veel minder IT-interventie. Je hebt helemaal niet zoveel IT-ers meer nodig.
De Staat wilde toch meer Open Source? Je kunt per direct beginnen!
Alle personen in de EU hebben al een e-ID en binnen Fiware kun je zo de eIDAS code downloaden
(https://fiware-idm.readthedocs.io/en/latest/eidas/introduction.html) en een EORI nummer voor organisaties kun je nu al aanvragen bij de Belastingdienst. Combineer die twee als noodzakelijke voorwaarde voor handelingsbekwaamheid en sla dit feit op in een blockchain en je bent al een heel eind. Allang operationeel binnen http://www.ishare.eu
Met Fiware code kunnen alle mogelijke partijen snel toepassingen ontwikkelen zonder vanaf nul te beginnen, wat de noodzaak van een groot IT-team vermindert. Met het allang als goed onderschreven iShare model heb je helemaal geen Kruispuntbank nodig (https://topsectorlogistiek.nl/wp-content/uploads/2022/07/TNO-2022-R11094-Report-iSHARE-as-generic-capability-1.pdf) iShare is in Nederland ontstaan afsprakenstelsel voor identificatie, authenticatie en autorisatie die het mogelijk maakt om data te delen binnen vertrouwde netwerken. Het inzetten van iShare kan helpen bij het reguleren van data-toegang en -uitwisseling en zorgt ervoor dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. Dit systeem vermindert de behoefte aan continue monitoring door IT-personeel, omdat de toegangscontrole gestandaardiseerd en geautomatiseerd wordt.
Door deze drie technologieën te combineren, kan een Nederlandse variant van de Belgische Kruispuntbank wel een veilig, schaalbaar en efficiënt digitaal ecosysteem creëren dat voldoet aan de hedendaagse technologische normen. Niet als CENTRAAL register, maar als Data Space met eigen aansluitvoorwaarden binnen het groeiende ecosysteem van Data Spaces. Met IDS-RAM Data Spaces kan er een betrouwbare data-uitwisseling plaatsvinden, Fiware biedt de bouwblokken voor snelle en flexibele applicatieontwikkeling en iShare zorgt voor een veilig en gecontroleerd toegangsbeheer.
Taraaaa: minder behoefte is aan constante IT-ondersteuning en toch een responsief en aanpasbaar systeem, waar iedereen laagdrempelig op aan kan sluiten met welke IT hij ook heeft staan.
Voor de duidelijkheid: in België bestaan verschillende soorten kruispuntenbanken, die dienen als centrale databases om informatie uit verschillende bronnen en sectoren te verzamelen, te integreren en ter beschikking te stellen voor diverse doeleinden, waaronder beleidsvorming, onderzoek en dienstverlening. Zo heb je de Kruispuntbank van Sociale Zekerheid (KSZ) die informatie verzamelt en beheert voor de sociale zekerheid van burgers in België en de uitwisseling faciliteert van de bijbehorende gegevens tussen verschillende sociale zekerheidsinstellingen. Daarnaast kennen de Belgen de Kruispuntbank voor Ondernemingen (KBO), die alle basisgegevens van ondernemingen en hun vestigingseenheden in België centraliseert en toegankelijk maakt voor overheidsinstanties en het publiek. De door mij onder de aandacht gebrachte Data Space benadering onder iShare.eu Trust & Governance kun je zien als een virtuele omgeving die de principes van datadeling binnen en tussen sectoren en alle landen in de Europese Unie ondersteunt. iSHARE is een set afspraken die Europese organisaties in staat stelt om data met elkaar te delen onder een uniform, veilig en vertrouwd framework. Dus op DATA niveau en niet op INFRASTRUCTUUR niveau. Mijn punt is dat het omarmen van deze allang bewezen werkwijze veel effectiever, goedkoper en eenvoudiger implementeerbaar zal zijn dan het inzetten op een traditionele ‘hub-spoke’ aanpak. Op basis van iSHARE-afspraken kun je gegevensuitwisselingsprocessen standaardiseren en beveiligen, waardoor interoperabiliteit tussen verschillende systemen (en landen) wordt bevorderd. Niet voor niets is dit ook de strategie onder GaiaX en een aantal belangrijke Europese Data Spaces, zoals CatenaX en HealthX. Daarnaast kan iSHARE helpen om de toegang tot en het delen van gegevens te vergemakkelijken, terwijl tegelijkertijd de privacy en controle over gegevens behouden blijft. Dat is dus alles wat ‘we’ willen bereiken, toch?
Door een uitgebreider en naadlozer netwerk van gegevensuitwisseling binnen Nederland en binnen de EU te creëren, profiteren alle betrokken partijen van gestandaardiseerde, veilige en betrouwbare datatoegang en -beheer. Dan ga je natuurlijk niet weer een ouderwets centraal register opzetten. Gefedereerd betekent KRUISLINGS vertrouwen. Dat is een afsprakenstelsel; geen koppelvlak.