Onze overheid heeft regels opgesteld voor hun gebruik van de cloud, AI en andere algoritmes. Maar ze houden zich er bijna nooit aan. Dit wordt keer op keer vastgesteld, zoals door de Algemene Rekenkamer, waar men constateerde dat voor twee-derde van de overheids IT-projecten “in de cloud” in het geheel geen risicoafweging was gemaakt. Ambtenaren die het opvalt dat hun werkgever onrechtmatig (of heel stom) bezig is weten Bert Hubert vaak te vinden, of hij hoort er indirect van. Dit kan toch niet? Er staat hier toch dat het niet mag? Waarom sturen we dit naar Google? Maar de machine gaat gewoon door.
De overheid mag naar de publieke cloud volgens de bestaande richtlijnen, maar alleen met zo’n risicoafweging en na het opstellen van een “plan b”, een directe terugvaloptie. Recent was er een rapport van ABDTOPconsult, een interne onderzoeksclub, waarin we lezen: “Bij de geïnterviewde overheidsorganisaties is afgelopen maanden geprobeerd op basis van bestaande terugvalopties te testen of dat zou werken. Geen van die testen is succesvol gebleken”. De rest van het rapport is ook niet bemoedigend.
Ook is er de vraag of bijzondere persoonsgevens (artikel 9 GDPR) überhaupt naar Amerikaanse clouds mogen. Onderzoek in opdracht van de overheid geeft aan dat dit alleen mag met een extra beschermende laag encryptie. Maar daar stoort helemaal niemand zich aan, want het is te moeilijk. En let wel, dit gaat onder andere over onze gezondheidsdata!
Hugo de Jonge gebruikte zijn privé GMail-account voor werk omdat de overheidsmail te lastig zou zijn. En dat vond iedereen wel best, ondanks dat hij rechtstreeks de richtlijnen schond. Politici en bestuurders hadden er alle begrip voor – zij houden zich zelf ook niet aan de regels! Hugo de Jonge ging over de AIVD, overigens. De politie bewaart al 20 jaar lang gegevens illegaal. En ondanks oordelen van alle instanties en rechters, inclusief de hoogste, besluiten ze daar gewoon mee door te gaan. Bij de AIVD en MIVD speelde net zoiets. Kennelijk hoeven die regels allemaal niet meer. En gaan we druk door met het verplaatsen van onze overheid naar ongrijpbare clouds ver weg, bestuurd door plekken die het echt niet goed met ons voorhebben.
En daar zit je dan
Een slimme ambtenaar ontdekte bijvoorbeeld dat het rijksbreed cloudbeleid technisch gezien niet geldt voor zelfstandige bestuursorganen, dus goed nieuws, we kunnen doorgaan met het naar Amerika schoffelen van onze diepste geheimen! Of men komt weer met l*lverhalen dat het oke is, want Microsoft bewaart onze data op servers in de EU. Dit helpt helemaal niet, zoals Microsoft onlangs onder ede bevestigde. Desondanks noemde de belastingdienst het vorige week wel nog alsof het wat uitmaakte.
Niet alles is overigens strikt gezien onrechtmatig. Met voldoende papier kan je de gekste dingen rechtmatig krijgen namelijk, zoals het aan Google doorgeven van iedere AIVD sollicitatie (!). Verder komt men ook met fantasieverhalen, zoals “de email en tekstverwerking gaan naar de cloud, maar de bestanden blijven hier”. Iedereen die even nadenkt weet dat die bestanden uiteindelijk OOK in die cloud verwerkt gaan worden. En soms worden ambtenaren onder druk gezet om goedkeuring te geven voor twijfelachtige dingen, “want we moeten toch door”. En dat laatste is vaak helemaal niet zo – moet er nou echt nu een experiment gedaan worden met Copilot op gegevens van burgers? Wat zou dat opleveren?
Ik zie mensen persoonlijk kapot gaan aan dit proces, en dat doet vreselijk pijn. Je eigen overheid schendt wetten en regels, gaat bijzondere persoonsgegevens met AI verwerken op Amerikaanse servers, je probeert dat tegen te houden, en ineens ben jij het probleem. En dat is afgrijselijk.
Je houdt het niet in je eentje tegen
Ik worstel hier zelf ook mee. Maar het is niet te doen. Geen enkel individu kan dit stoppen. Als een overheid collectief heeft besloten zich niet aan de regels te houden dan sta je daar in je uppie machteloos tegenover. En het ergste is nog dat de mensen die de foute dingen doen geen monsters zijn. Ze werken binnen het systeem en willen “gewoon hun werk doen”. (Boekentip: Lentz).
En voor jou is dit een existentiële crisis. Want je bent bij de overheid gaan werken voor de maatschappij en om dingen beter te maken. En niet om het erger te maken (bijvoorbeeld door illegaal algoritmes in te zetten). Het systeem is krachtiger dan jij. “De molen” heeft besloten dat het oke is om onze diepste geheimen tegen alle regels in naar Amerika te sturen en ons totaal afhankelijk te maken van de goede wil van Amerikanen, met hun AI.
Nou kan je denken, dat is toch niet zo, dat willen al die mensen toch niet? Daar kan je lang over nadenken, maar een wijs iemand concludeerde ooit “The purpose of a system is what it does” (boekentip: The Unaccountability Machine). En dit is “what the system iedere keer does”.
Wat dan wel?
- Om te beginnen, zelfs als je iets niet tegen weet te houden, je kan het wel veel langer laten duren. Als men eerst 4 onrechtmatige dingen per jaar wilde doen dan kan jij dat tot 3 terugbrengen. Big win. Dit stuk is mogelijk inspiratie. Mensen zich aan hun eigen regels laten houden is geen sabotage overigens. Gebruik hierbij vooral ook extern bewijsmateriaal, stukjes van opiniemakers bijvoorbeeld.
- Ook is het mogelijk het “politiek duur” te maken. Dus dat iemand hoog in de boom op schrift moet stellen dat de wet geschonden moet worden. Dat kan later carrières kosten, dus topambtenaren schrijven dit soort dingen niet graag op. Het budget voor dat soort brieven is niet groot. Helpt ook alweer. Op kleinere schaal, je kan altijd senior mensen vragen om het nog één keer uit te leggen per e-mail hoe het nou zit, “dan begrijp ik het beter”. Uitgeschreven zien pijnlijke dingen er al snel knap pijnlijk uit, namelijk.
- Haal de scherpe kantjes eraf, of stel voorwaarden voor gebruik die het project later tot stilstand brengen (“een externe toets”).
- Een andere pro-tip is een psychologische life-hack die ik leerde van een wijze journalist/activist. Haal niet je eer uit of het lukt al het onrecht te voorkomen. Maar wees trots en tevreden met je inzet. Soms helpt het, soms helpt het niet, en soms hielp het toch in een later stadium, maar wist jij dat niet. Dankzij jouw lichtend voorbeeld begon met niet aan een andere illegale cloudmigratie “want dat wordt vast ook weer gedonder”.
- Organiseer een grote hindermacht. Medezeggenschapsraden, gemeenschappelijke ondernemingsraden, vakbonden, er zijn veel meer mensen dan jij maken die zich zorgen over wat er gebeurt. Ook je collega’s vinden het niet leuk dat hun medisch dossier op Amerikaanse servers wordt gezet.
Je zou kunnen denken, ik word klokkenluider, ik ga naar de pers. Maar als iemand met een Woo-verzoek ontdekt hoe we onze gezondheidsdata naar meerdere slecht beveiligde cloudproviders tegelijk sturen dan blijkt niemand er een stukje over te willen schrijven. Verwacht uit deze hoek dus ook niet al te veel. Ook daar lijkt men zich er bij neergelegd te hebben. Vergeet niet dat ook de volledige pers naar de cloud is gegaan.
Hou vol, maar denk ook aan jezelf
De overheid en maatschappij binnen de lijntjes houden is het werk van velen. Individueel lukt het niet, en probeer dat ook vooral niet. Schep genoegdoening uit het vertragen van de verkeerde dingen, het heel zichtbaar maken dat het niet kan allemaal, en weet dat je met je werk toekomstige projecten op z’n minst uitstelt, of misschien ziet men er zelfs wel vanaf.
En weet, het ligt niet aan jou. Men is grootschalig verkeerd bezig, zoals bevestigd door de Algemene Rekenkamer en ABD Topconsult. En in het officiële rijksbrede cloudbeleid staat echt opgeschreven dat je na moet denken over nationale veiligheid, en de risico’s van je data neerzetten in landen waar de overheid mee mag lezen. En dat je ook een concreet plan moet hebben voor “direct vertrek”. Wedden dat dat plan er niet is? (Ik heb rondgevraagd, niemand heeft zo’n plan ooit gezien).
Laat niemand je dus vertellen dat dit document niet bestaat, of dat er geen schandalige dingen gebeuren (brief).
Succes!
PS: Er kan ook gestemd worden binnenkort, en er zijn kandidaat-kamerleden die ook vinden dat dit allemaal niet kan. Lijstje op NerdVote.nl.
PS2: Er komt ook een herzien ‘overheidsbreed cloudbeleid’ aan, maar er is grote onenigheid over, dus het duurt nog wel even.
Lees ook:
Bedankt Bert, we zitten al meer dan 20 jaar in een werkelijkheid van terugroepacties, zonder dat die invloed hebben op de typegoedkeuring en of het ontwerpproces. Het helpt daarbij niet dat toezichthouders gefragmenteerd eisen dat oplossingen het formaat hebben van een enkele stoeptegel. De overheid heeft in het algemeen de echte invloed van digitalisering gemist, een invloed die structurele veranderingen heeft gebracht die onzichtbaar zijn geworden. Alle rapporten ten spijt.
Het hielp niet dat New Public Management de inhoudelijk zwakke manager introduceerde. Die werd / wordt nu aangevuld met nieuwe werkwijzen die vooral vanuit ICT hoek gewaardeerd worden.
Zelfs in een Tweede Kamer commissie wordt kritiekloos aangehoord dat burgers de digitalisering moeten beoordelen. Met als gevolg dat niemand nog om de formele verantwoording vraagt en de AP zonder nuance en met terugwerkende kracht een werkproces, ontstaan in de jaren ’90, illegaal verklaart.
Het systeem is stuk, de aandacht moet dan ook naar het systeem en niet naar de (enkelvoudige) effecten. Het systeem kent een structuur voor formele verantwoordelijkheden met aansluiting op de rechtsstaat. Het helpt niet de verantwoordelijkheid bij de overheid anders in te delen door de bij wet vereiste structuur los te laten. Dat komt de besluitvorming niet ten goede, doet afbreuk aan een zorgvuldige inrichting en uitvoering (van organisatie en proces) en heeft de verantwoording doen verworden tot vergroenend rapporteren. Zonder formele verantwoording ontstaat geen openbaarheid.
We zijn pas echt opgegeven als de jongeren de moed beginnen te verliezen. Helaas zijn we daar niet ver van verwijderd.