Het geheim van een goed huwelijk
‘Tussen droom en daad staan wetten in de weg en praktische bezwaren’. Het beroemde gedicht van Elsschot gaat over een zwaar huwelijk en is volgens mij ook fraai van toepassing op de zo moeizame relatie tussen enerzijds beleid (dromen) en anderzijds de uitvoering (daden) waar de Nederlandse overheid mee kampt. Het speelt op vele domeinen, van stikstof tot migratie en van wonen tot zorg. En het speelt ook op een gebied dat de afgelopen jaren steeds belangrijker is geworden: cybersecurity.
De digitalisering van onze samenleving biedt kansen, maar ook keerzijden. Zo is het geweldig dat we via digitale snelwegen met iedereen ter wereld kunnen communiceren, maar tegelijk zijn we kwetsbaar omdat Chinese cyberspionnen en Russische hackers ons via digitale sluiproutes aanvallen. Ook is het prachtig dat we door middel van ‘big data’ en ‘slimme apparaten’ steeds meer kunnen verklaren en voorspellen, maar intussen liggen fouten wel op de loer, zoals de toeslagenaffaire ons leerde. Bovendien is het maar de vraag of al die (persoons)gegevens wel veilig zijn op de servers van Google, Amazon en Microsoft.
Europese wetgeving
Om dit soort geopolitieke en grondrechtelijke dilemma’s het hoofd te bieden, tuigt de Europese Unie de ene na de andere wet op: de AVG, de DMA, de DSA, de AI Act, de Data Act, NIS2 en de Cyber Resilience Act om een kleine greep te nemen. Deze reguleringstrein is hard nodig maar hij dendert wel heel snel het Europese achterland in. En het moet natuurlijk allemaal wel uitvoerbaar blijven voor burgers, bedrijven en branches.
We kunnen alleen van cyberdromen naar cyberdaden gaan als het slechte huwelijk tussen beleid en uitvoering een stuk beter wordt.
Het goede nieuws is dat dit tegenwoordig een thema is waar politiek Den Haag oog voor heeft. Dat is wel eens anders geweest na decennia van dogma’s over de scheiding tussen beleid maken en beleid uitvoeren. Minder positief is dat bestuurders en beleidsmakers aan de ene kant en anderzijds uitvoerders en IT-professionals elkaar nog steeds niet erg goed begrijpen.
In en door technologie gedomineerde wereld kan en moet dat anders. Dit begint met meer ontmoetingen tussen beide bloedgroepen, zodat deze begrip voor elkaar kweken en naar elkaar toe kunnen groeien. Bestuurders kunnen hieraan bijdragen door beter te luisteren en zich in de complexe materie te verdiepen. Techneuten kunnen technische zaken op hoofdlijnen uitleggen en rekening houden met de maatschappelijke context.
Om deze blog met een cliché te concluderen: alleen door goede samenwerking kunnen we samen werk maken van een cyberveilige samenleving!
PS: In mijn eerstvolgende blog in de serie ‘beter werk in het digitale tijdperk’ zal ik laten zien hoe principes en gewoonten ons kunnen helpen om dromen waar te maken en te komen tot structurele gedragsverandering.
Digitale weerbaarheid: de bestuurder in control
Wat is de rol van de bestuurder en commissaris bij digitale weerbaarheid? Hoe zorg je dat je in control bent over dit onderwerp? En wat is de impact van Europese wetgevingen als de NIS2 en Cyber Resilience Act? Diverse experts praten je onder begeleiding van Kees Verhoeven bij tijdens de bijeenkomst Digitale weerbaarheid: de bestuurder in control op 1 november in Den Haag. Aanmelden kan via de website van de Online Trust Coalitie.
Het gaat niet om de zure bloedgroepen, maar om de logische grenzen. De Politiek gaat hooguit over het WAT.De Bestuurder over het WAARBINNEN en de IT gaat uiteindelijk over het HOE.
Aangezien alle Techniek, Politiek, is het hier waar het interessant wordt. Technologie is namelijk niet neutraal, want het ontwerp en gebruik ervan heeft politieke implicaties (in de zin van de Gezaghebbende Toedeling van Waarden). Dit heeft hele praktische gevolgen.
Bij een bedrijf mag je hopen dat de aandeelhouder niet zit te wachten op overhead en dus zal snijden elke asset (wat je hebt) en elke resource (wat je huurt) die niet direct bijdraagt aan de Bottom Line. Wie even rondloopt in een bank, telco of verzekeraar, weet je zij hier ook hun handen vol aan hebben.
Dan hebben we het hier nog over high compliance spelers, die nog iets van verantwoording af moeten dragen en geld hebben voor de beste jongetjes en meisjes in de klas. De enige reden dat Bestuurders nu pas echt goed wakker worden, is dat zij nu voor het eerst zelf de pijn voelen als iets IT-erigs niet lukt. Het is dus niet zo dat de Bestuurder nog langer neer kan kijken op die moeilijke IT. Het is ook niet zo dat die ooit zo sexy IT elke wens kan realiseren.
Zij moeten hun huwelijk domweg opnieuw uitvinden, zoals diverse malen gebeurt in elk goed huwelijk. Crisis is hierbij een uitstekende motivator: Bestuurders zijn ZELF verantwoordelijk voor naleving van EU data wetgeving en NIS 2 en de politici gaan hen hier niet in kunnen beschermen, waardoor WAT men wil en HOE dat kan om de tafel moet. Organisaties moeten verplicht duidelijker zijn over hoe zij gegevens verwerken en beschermen.
Wat vereist dat legacy systemen moeten mogelijk geüpdatet worden om aan die normen te voldoen (neem als politici intussen ook het achterstallig onderhoud aan onze wegen en bruggen mee a.u.b. Onderhoud wordt zwaaaar overschat en is niet sexy, maar wel een fantastische kans voor Smart Mobility). Er moet een cultuur van REAL TIME gegevensbescherming en cybersecurity worden gecreëerd, waarbij de politieke fall-out als en aflaat onder ogen gezien zal moeten worden. Alle dubbelingen en hiaten in de infra worden glashelder, zodra je daar een volwassen scan op zet. Not always a pretty sight, maar … stok achter de deur .. falen in naleving kan leiden tot aanzienlijke boetes en uiteindelijk verliest de politiek en kort daarop de Staat, domweg gezag als al die dure boel niet werkt.
Dus laten we het gewoon proberen: alle stakeholders modelleren in een Data Ecosysteem Canvas en dan turven wie waar ECHT over gaat (niet in ambtenaren governance, maar conform de Wet), welke data ECHT van iemand zijn en wie die data alleen maar doorschuiven of ook echt gebruiken etc.
Het gaat er natuurlijk ook om alle stakeholders in het ecosysteem er bij te betrekken en met alle partijen goede afspraken te maken.
Persoonlijk maak ik mij zorgen over de landing in Nederland van de eiDAS wetgeving. De implementatie
kan een substantiële bijdrage leveren aan een betere digitale veiligheid van burgers en ook aan het besef daarvan. De silo-gedachte van de overheid baart mij zorgen als een digital identity wallet straks over de “schutting” wordt gegooid en burgers (ook de digitaal minder vaardigen) het bos worden ingestuurd. Zonde van het geld, in dat geval. Ik denk dat een goed voorbeeld is hoe hiermee in het betalingsverkeer wordt omgegaan en, recentelijk, hoe de plannen rond een digitale euro hierin voorzien.