Wannacry heeft wereldwijd computersystemen gegijzeld. De Nederlandse overheid lijkt de dans te zijn ontsprongen. Het rapport ‘Maak waar!’ maakt duidelijk dat dit niet vanzelfsprekend is.
‘Wannacry’ heeft in het weekend van 13-14 mei wereldwijd vele computersystemen in gijzeling genomen. De Nederlandse overheid lijkt de dans te zijn ontsprongen. Het rapport ‘Maak waar!’ maakt duidelijk dat dit niet vanzelfsprekend is.
Belangrijker is of uitvoering van de aanbevelingen ervan het rijk goed beschermt tegen toekomstige cyber-aanvallen. In de Studiegroep Informatiesamenleving en Overheid is de top van de ambtenarij en van de ICT-verantwoordelijken, aangevuld met externe deskundigen, bij elkaar gebracht. Met elkaar hebben zij zich gebogen over de rijksbrede ICT-problematiek. Hun analyses en bevindingen zijn kritisch. “Digitalisering is nog altijd in belangrijke mate een kwestie van afzonderlijke departementen, uitvoeringsorganisaties en gemeenten, die voornamelijk de eigen processen automatiseren. Dit bemoeilijkt de vaak zo noodzakelijke samenwerking van allerlei organisaties om maatschappelijke opgaven echt effectief aan te pakken. In plaats van een snelweg hebben we een doolhof gekregen.”
Met deze constatering wordt ook de zwakte van het rapport duidelijk. Veel leden van de Stuurgroep zijn al meer dan tien jaar betrokken bij de rijksbedrijfsvoering of de advisering daarover en bij de ICT-ontwikkeling ervan. Op verschillende momenten hebben ze er verantwoordelijkheid voor gedragen. Zijn dus ook medeverantwoordelijkheid voor het digitale doolhof. Moeten zij zich niet afvragen of ze wel degenen zijn die de weg uit het doolhof moeten wijzen?
Sinds Paars 2, minister Roger van Boxtel, wordt er op regeringsniveau beleidsmatig aan digitalisering van de (rijks)overheid gewerkt. De door hem ingestelde commissie-Docters van Leeuwen komt in 2001 met een groot aantal aanbevelingen. De strekking ervan is dat er niet langer óp ICT moet worden bezuinigd, maar dóór ICT. Het tweede kabinet-Balkende pakt de uitdaging aan, maar laat de uitvoering aan de individuele departementen en medeoverheden over. Aan samenwerking, aan van elkaar leren, wordt slechts lippendienst bewezen. Het desastreuze resultaat wordt zichtbaar in 2007 als het programma Vernieuwing Rijksdienst onder leiding van Roel Bekker van start gaat. Daarin zit wel een duidelijke oproep tot intensievere samenwerking. ‘De verkokering voorbij, het rijk als één concern’ is het parool. Maar de divergentie tussen de ICT-configuraties van de organisatorische eenheden van het rijk is te groot.
Het ‘gebrek aan doorzettingsmacht’ waarover BZK jarenlang klaagt, is daarom onwaarachtig.
Ook de nieuwe CIO voor het rijk krijgt de convergentie niet echt op gang. Zoals blijkt uit de typering ‘doolhof’ tien jaar later. De problematiek zit ook in de gespletenheid van BZK. De Rijks-CIO mag dan proberen een interdepartementale aanpak te bewerkstelligen, als het op uitvoering aan komt krijgt hij in eigen huis te horen dat BZK-kleine-pet, het facilitair bedrijf, er nog niet aan toe is, de bestaande voorzieningen nog niet zijn afgeschreven of dat er geen budget is gereserveerd. De BZK-top laat dit gedrag toe. Andere departementen staan door die houding niet te dringen interdepartementale voorzieningen wel in eigen huis toe te passen. Het ‘gebrek aan doorzettingsmacht’ waarover BZK jarenlang klaagt, is daarom onwaarachtig.
In het rapport wordt door de samenstellers bekwaam een deel van de problematiek aan factoren toegeschoven die ogenschijnlijk buiten hun competentie liggen. De overheid zou onvoldoende ICT-expertise in huis hebben. Tegenhangers uit het ICT-bedrijfsleven weten wel beter, de overheidscollega’s zijn aan die van hen gewaagd. Hun expertise komt echter in het woud van overheidsmanagers moeizaam tot ontplooiing. De legacy-problematiek waarmee de overheids-ICT heeft te kampen is de schuld van de leveranciers van de oude software. “Zeker bij complex maatwerk zijn publieke organisaties vaak met handen en voeten aan specifieke ICT-aanbieders gebonden, die er alle belang bij hebben om de bestaande systemen te handhaven. Veel publieke organisaties maken voor hun dienstverlening nog gebruik van deze moeilijk te onderhouden legacysystemen. Veel van deze systemen zijn ver na de verwachte levensduur nog steeds in gebruik, en zijn kwetsbaar, onveilig en brengen jaarlijks stijgende onderhoudskosten met zich mee.”
En sinds Wannacry weten we dat ook de veiligheid erdoor wordt ondermijnd. Maar is de legacy-problematiek niet veeleer een gevolg van het moeten bijhouden van bijvoorbeeld arbeidsverledens over periodes van tientallen jaren, bij verschillende organisaties, die met verschillende softwarepakketten zijn opgebouwd? En dat er nauwelijks ruimte in tijd en geld is geschapen voor het inlopen van achterstanden door oude content in te passen in een nieuwe omgeving? Dat valt de externe leveranciers niet te verwijten.
De Studiegroep refereert ook aan de kritiek op BZK en op de uitvoeringsorganisatie Logius. De voorgestelde aanpak suggereert impliciet wat er tot op heden aan zou hebben geschort. Er moet ‘eerst en vooral’ zeer fors worden geïnvesteerd in meer eigen deskundigheid en in een slagvaardiger sturing om alle belanghebbende publieke en private partijen erbij te kunnen betrekken. Een kwalitatieve en
kwantitatieve upgrade van in ieder geval de uitvoeringsorganisatie Logius is daarbij noodzakelijk. Is hiermee het lek boven water?
Dan volgt de loophole die al zo lang het ICT-beleid van de rijksoverheid heeft gefrustreerd
De problematiek van de doorzettingskracht wordt opgelost door de instelling van een Ministeriële Commissie Digitalisering onder voorzitterschap van de minister-president, waarvan het hart wordt gevormd door de bewindslieden van EZ, BZK en VenJ ‘vanuit hun systeemverantwoordelijkheid voor respectievelijk digitale economie, digitale overheid en digitale veiligheid.’ In deze constellatie wordt BZK primus inter pares. Het neemt bijvoorbeeld de rol van EZ in de digitale relatie met het bedrijfsleven over. “De minister van BZK is daarmee verantwoordelijk voor en stuurt op de inzet van de digitale basisinfrastructuur in de primaire processen van ministeries en andere publieke dienstverleners.”
Maar dan volgt de loophole die al zo lang het ICT-beleid van de rijksoverheid heeft gefrustreerd. “BZK is uitdrukkelijk niet politiek verantwoordelijk voor de ICT in de primaire processen van ministeries en andere publieke dienstverleners. Die verantwoordelijkheid blijft waar hij is (en hoort).” De kikkers mogen uit de kruiwagen blijven springen.
“Maak waar!” biedt verstandige analyses, aardige vergezichten, maar schiet schromelijk te kort in de voorgestelde aanpak. De leden van de Stuurgroep verzwijgen dat zij zelf verantwoordelijk zijn voor de ontstane situatie. En geven niet aan wat zij persoonlijk anders gaan doen om scepsis en cynisme bij de overheids-ICT-ers te overwinnen. Want hun inzet is onmisbaar om de ambities van het rapport waar te maken. En om bedreigingen als Wannacry de baas te kunnen blijven.
Het rapport ‘Maak Waar’ van de Studiegroep Informatiesamenleving gaat jammer genoeg niet over de informatiesamenleving. De studiegroep kiest er voor de ICT-problematiek te bezien vanuit de optiek van de bedrijfsvoering van de overheid. Sterker nog: zelfs alleen vanuit de bedrijfsvoering van de rijksdienst!
Spijtig, want in plaats van dat men de blik naar buiten richt, naar de maatschappelijke ontwikkelingen die door de digitalisering in een woelige stroomversnelling zijn gebracht, en te analyseren welke consequenties dat zou moeten hebben voor inrichting en functioneren van de overheid, richt men de blik naar binnen, op het ambtelijk apparaat van de rijksdienst
Een belangrijke conclusie in ‘Maak Waar’ is, mogelijk vanwege dit beperkte blikveld, dat de overheid vooral zelf de techniek van de ICT moet gaan beheersen. Zeker voor bijna alle lokale overheden een volstrekt onmogelijke opgave – en dat zou juist Binnenlandse Zaken als geen ander departement moeten weten.
En als je even de blik naar buiten richt, moet de zeer voor de hand liggende conclusie zijn dat juist wat betreft technologische ontwikkelingen de private sector absoluut ‘in the lead’ is en dat zeker ook zal blijven. De overheid heeft op dit gebied bijna per definitie het nakijken. De vraag is overigens hoe erg dat is – techniek is immers geen core-business van de overheid. Daarnaast: een technisch expert die in de ambtelijke dienst treedt, raakt ook binnen no time zijn connecties op het gebied van de nieuwste technische ontwikkelingen kwijt.
Toepassing van technologie, of die nu nieuw is of oud, is en blijft een hulpmiddel voor de overheid. Maar precies op dit punt, dus over het waar, waarom, op welke wijze en wanneer toepassen van digitalisering door en/of bij de overheid – daar rept het rapport niet over. Noch over het feit dat de digitalisering op het gebied van de bedrijfsvoering vraagt om een omslag van zelf doen naar uitbesteden. Integendeel: ‘Maak Waar’ beveelt het omgekeerde aan…
Niet op het gebied van de techniek zélf, maar wél op het terrein van adequate sturing van gewenste en noodzakelijke ICT-ontwikkelingen bij de overheid is aanwezigheid van voldoende ambtelijke expertise vereist. Maar helaas: de overheid heeft precies op dit punt onvoldoende deskundigheid in huis. De invulling door de Algemene Bestuursdienst van de zware ambtelijke functies, waar de verantwoordelijkheid ligt voor het duiden en sturen van de impact van de razendsnelle technologische ontwikkelingen, is ook niet gericht op de daarvoor noodzakelijke competenties.
Dat blijkt ook uit dit rapport, dat is geschreven onder leiding van een hoog ambtelijke stuurgroep. Het gaat wat betreft die competenties om kennis van het specifieke karakter van het functioneren van de overheid en het openbaar bestuur (in haar geheel!), kennis van de relevante private sectoren, de competentie om samenwerking tussen specialistische organisaties vorm en inhoud te geven, de vaardigheden die nodig zijn om relevante besluitvorming over digitalisering in de politieke arena te faciliteren, relevante juridische en materiekennis, bij voorkeur een ß-achtergrond ofwel technisch inzicht, etc.
‘Maak Waar’ rept niet over dit soort zaken.
Er wordt dus, helaas, geen aandacht besteed aan de uitdagingen die de digitalisering voor de overheid biedt. Zie als voorbeeld van het signaleren van relevante ontwikkelingen het werk van de Landsadvocaat (https://www.google.nl/#q=pels+rijcken+cybersecurity) – daar worden meer dan 30 wetten geadresseerd waarmee op dit moment door digitalisering het functioneren van (zeker óók lokale) overheden in het hart wordt geraakt. Het blijkt namelijk dat elke wet daarbij kiest voor de eigen logica waar het gaat om de digitalisering – niet onbegrijpelijk want enige sturing hierop (door BZK?) ontbreekt.
De consequentie van deze ontwikkeling is dat een digitaal doolhof wordt gecreëerd, wat risico’s oplevert voor het maatschappelijk aanvaardbaar functioneren van die overheden. Het is dus niet andersom, zoals de Studiegroep schijnt te denken: dat door stevig technologische vooruitgang de overheid maatschappelijk gezien als vanzelf beter zal gaan functioneren.
Denk bijvoorbeeld ook aan de consequenties die direct of indirect het democratisch gehalte van onze samenleving raken, zoals de invloed van social media op besluitvorming – bedenk hoe eenvoudig het is geworden 300.000 handtekeningen te verzamelen voor een referendum. Of denk aan de invloed van steeds toegankelijker digitale gadgets. Een bijzonder voorbeeld van dit laatste: burgemeesters in Noord-Holland die eigenstandig de verkiezingen willen moderniseren met een stem-app. Omdat ze daarmee onze grondwet bruskeren ‘floot Plasterk ze terug’, maar intussen doet BZK zelf niets aan het verbeteren van ons archaïsch stemsysteem (zie ook vng.nl/betoog).
Denk bijvoorbeeld aan de onmacht van ons openbaar bestuur om het inkomensbegrip te harmoniseren, waardoor héél veel geld wordt verspild van bedrijven én overheden om hun systemen op elkaar te laten aansluiten.
Denk aan de absurde situatie dat studenten na afloop van hun studie niet automatisch worden uitgeschreven uit hun OV-abonnement, wat ze op forse boetes komt te staan als ze nietsvermoedend (en logischerwijs) denken dat dat toch gewoon bekend is bij de overheid zélf…
Denk aan de onmacht van een willekeurige inwoner van ons land als hij door automatisch gegenereerde berichten van (bijvoorbeeld) de Belastingdienst volstrekt in het nauw wordt gedreven omdat hij niet bij machte is via het schier onbereikbare call centre van die dienst uit te leggen wat die dienst fout doet. En die dienst hem of haar niet actief in staat te stelt écht zelfredzaam te zijn – iets waartoe de digitalisering óók mogelijkheden voor zou kúnnen bieden!
Het is, kortom, zo zonde dat het rapport ‘Maak Waar’ nauwelijks aandacht besteed aan de kansen en mogelijkheden die de digitalisering de overheid biedt voor het verbeteren van haar maatschappelijk en democratisch functioneren.
Helaas: de conclusie moet zijn dat ‘Maak Waar’ de overheid in een verkeerde richting tracht te sturen. Het is te hopen dat ‘de lade snel zal klikken…’! Zo spijtig ook dat BZK haar destijds opgerichte ‘Museum Voor Overbodig Beleid’ heeft wegbezuinigd…
Waar het bij de digitalisering wél om gaat staat compact geformuleerd in het recente rapport van het Rathenau Instituut. Dat concludeert kort weergegeven als volgt: ‘werk aan een kabinetsvisie op de omgang met de maatschappelijke betekenis van de digitalisering’. Het Rathenau Instituut doet daarbij zinnige voorstellen voor een aantal noodzakelijk geachte acties.
Maar in de lijst van geraadpleegde literatuurlijst van ‘Maak Waar’ wordt het Rathenau-rapport niet genoemd. Wat wél wordt genoemd is het rapport ‘Maak Verschil’, een ander rapport van de Studiegroep van BZK. Misschien wordt zo bevestiging van het eigen gelijk gezocht? Want ook in dat rapport wordt bijvoorbeeld, zonder enige onderbouwing, de a-typische conclusie getrokken dat ‘de regio’ centraal moet staan bij het oplossen van zowat alle economische problematiek. Voor het gemak wordt vergeten dat er hier preponderante verantwoordelijkheden liggen bij de Rijksoverheid en de EU. Het gaat ook voorbij aan urgente problematiek waar het openbaar bestuur voor staat, zoals kwaliteit van het bestuur en democratische legitimiteit. Het ministerie van BZK lijkt met haar Studiegroep-rapporten de weg werkelijk te zijn kwijtgeraakt…
Suggestie voor de titel van het volgende rapport in deze reeks: ‘Maar Goed Rapport’?
Tot slot nog enkele opmerkelijke teksten. Zoals de constatering in het rapport dat DigiD ‘nog maar een paar jaar geleden een grote innovatie was’. Blijkbaar weet men bij BZK niet meer dat DigiD 13 (dertien!) jaar geleden werd geïntroduceerd – in de wereld van de digitalisering een ontwikkeling uit de Oudheid…
En wat te denken van de laatste zin in dit rapport over de informatiesamenleving, die luidt:
‘… maatschappelijke vragen, zoals datagedreven netwerken, sensordata, eigenaarschap algorithmen en grondrechten’.
Eigenaarschap algorithmen en grondrechten?? Het staat er écht – de redacteur is misschien vergeten het laatste woord te schrappen…?