‘Ik wil tegenspraak vanuit het ICT-vak’

Lourens Visser heeft als CIO Rijk (sinds september 2019) negen speerpunten op zijn agenda gezet. Bovenaan staat het toekomstbestendig maken van het IT-landschap van de overheid, op de voet gevolgd door een grotere digitale weerbaarheid. Dat vereist een vorm van risicodenken, waar de overheid nog niet erg aan is gewend.

Beeld: Lex Draijer/De Beeldredaktie

Grote ICT-projecten bij de overheid kosten vaak meer tijd en geld dan aanvankelijk geraamd, net als in het bedrijfsleven. “Dat is niet heel vreemd, want ICT is namelijk een jong vak. Het bestaat pas zeventig jaar.” CIO Rijk Lourens Visser zegt dit zonder enige ironie. De voormalig CIO van de Dienst Justitiële Inrichtingen (DJI) en het Havenbedrijf Rotterdam licht zijn uitspraak toe. “Kademuren zijn grote, ingewikkelde dingen, maar die bouwen we in Nederland al een paar honderd jaar. Die kunnen we parametrisch ontwerpen. Huizen bouwen doen we al duizenden jaren. Landbouw – zo oud als de mensheid – is ongelofelijk doorontwikkeld en ondertussen enorm data-gedreven geworden. Vergelijk dat alles eens met ICT, dat pas na de Tweede Wereldoorlog een vlucht heeft genomen. Het vak werd gestuurd vanuit ontwikkelingen bij defensie. Applicaties uit de jaren zeventig kwamen uit de financiële hoek, het telraam werd vervangen door een rekenmachine en toen door een computer. En nu doen we hele stelselwijzigingen bij de Belastingdienst of automatiseren we de ingewikkelde uitkeringsprocessen van het UWV. Dat zijn meerjarenprogramma’s van honderden miljoenen euro’s.”

Noord-Zuidlijn

Pratend over de voorspelbaarheid van dergelijke grote projecten, mag Visser graag een metafoor lenen van de CIO van het UWV. “Aart van der Vlist vergelijkt grote ICT-projecten weleens met het aanleggen van de Noord-Zuidlijn in Amsterdam. Met alle kennis en kunde die er op dat moment is, gaan vakmensen een tunnel boren onder Amsterdam. Tijdens het boren komen ze van alles tegen, zoals zeventiende-eeuwse huizen die opeens verzakken. Dat is een probleem dat men niet had kunnen voorspellen.” De overheid wil uiteraard een betere voorspelbaarheid rondom grote ICT-projecten en ze wordt ook beter in berekenen, maar het blijf ingewikkeld, zegt Visser. “Bij grote projecten praten we over verschillende systemen, netwerken, leveranciers en softwareproducten die moeten samenwerken en een bepaalde prestatie moeten leveren. Het moet functioneren met een workload van duizenden en soms tienduizenden mensen tegelijk. Daarbij wordt de wetgeving fijnmaziger, terwijl de systemen die deze wetswijzigingen moeten faciliteren, verouderen.”

Het toekomstbestendig maken van het ICT-landschap staat bij deze CIO Rijk dan ook bovenaan zijn lijst van speerpunten. “Preventief onderhoud is keihard noodzakelijk om de zaak in de lucht te houden. Als overheid zijn wij een informatiegedreven organisatie. We zijn een dossierfabriek; dossiers en bestanden voeden onze processen. Daarvoor hebben we systemen nodig die goed blijven draaien, maar ook verantwoord en beheerst kunnen worden vervangen en aangepast.”

Citrix

Dat digitale weerbaarheid dan een belangrijke voorwaarde is, werd afgelopen januari pijnlijk geïllustreerd door de perikelen rondom het Citrix-lek. De CIO Rijk was die dagen vooral bezig met het in kaart brengen van de problemen en de mogelijke oplossingen; die verschilden per Citrix-versie. Kennis zat op meerdere plekken in Nederland en Vissers dagen werden gekenmerkt door conferencecalls met collega-CIO’s, CTO’s en IT-leveranciers. Op vrijdag 17 januari nam de dreiging toe en werd besloten om de Citrix-systemen uit te zetten. ”Dan moet je echt een goed verhaal hebben en op het juiste niveau”, stelt Visser. “Mijn doel was te zorgen dat ministers Knops (BZK) en Grapperhaus (JenV) een optimale informatiepositie hadden, zodat zij gezamenlijk besluiten konden nemen, naar buiten konden treden en met hun kennis de Tweede Kamer konden informeren. Natuurlijk heb ik de vraag gekregen of we in december niet al hadden moeten acteren, maar naast het feit dat de adviezen van het NCSC en de veiligheidsdiensten hierin leidend zijn, is het uitzetten van systemen een draconische maatregel. Stel dat het voor niks is, dan is het alsof de NS alle treinen stillegt bij code geel en het vervolgens niet eens gaat waaien.”

Risicomanagement

Het is Visser volkomen helder dat het onmogelijk is om alle kwetsbaarheden in de ICT te kennen en te voorkomen. Maar wat wel kan is goede modellen ontwikkelen voor risicomanagement. In het geval van informatievoorziening is dan de vraag wie baat hebben bij de data. “Dat kan een crimineel zijn, een hacker die het voor de lol doet, of een land met een offensief cyberprogramma. Bij het Havenbedrijf Rotterdam waren de kroonjuwelen bijvoorbeeld de businesscases: hoe ontwikkel je samen met Brazilië of Oman een haven? Dat is intellectueel eigendom en dat moet dus goed beveiligd worden. Een organisatie die weet welke data ze in huis heeft, kan tot op hoog niveau traceren wat relevante dossiers zijn. Hoe die dan beveiligd moeten worden, dat weet iedere organisatie zelf.” Vervolgens is het een kwestie van proactief handelen, maar wanneer?

Een risico benoemen kan al tot problemen leiden, omdat de politiek of de media of de burger dan gaan eisen dat het wordt opgelost

Voor een voorbeeld grijpt Visser terug op waterbeheer. “Wij kunnen in Nederland prima uitrekenen hoe hoog dijken moeten zijn, want dat doen we al eeuwen. Daar hebben we modellen voor. Zijn die dijken dan bestand tegen een storm die eens in de tienduizend jaar voorkomt? Dat kan volgende week gebeuren. Sterker nog, twee maanden later kan er weer zo’n storm razen. Statistisch gezien is de kans heel klein, maar het kan. Moeten we dan de dijken nog hoger bouwen? Of spreken we af wat een aanvaardbaar risico is?”

Risicodenken ligt lastig voor de overheid, weet Visser. “Een risico benoemen kan al tot problemen leiden, omdat de politiek of de media of de burger dan gaan eisen dat het wordt opgelost. Maar risico’s zijn er gewoon en ze laten zich niet altijd oplossen. Ze gaan ook niet weg wanneer we ze niet benoemen. Wat we wel kunnen doen is voor grote ICT-projecten de risico’s inzichtelijker maken. Maak een calculatie met aannames en risico’s. Het kan meevallen of tegenvallen, maar laat zien binnen welke bandbreedte de kosten kunnen vallen. Ja, het risico bestaat dat een project twee keer zo duur wordt als gepland. Dat vinden we niet fijn om horen, maar dan weten we het tenminste wel.”

Wedloop

Naast het streven naar een grotere digitale weerbaarheid, moet Nederland ook grenzen blijven opzoeken, vindt Visser. Tussen die twee doelen zit een spanning die hem intrigeert. “We willen ook een innovatieve overheid zijn. Neem kunstmatige intelligentie. Dat is enorm interessante technologie die niet is tegen te houden. Of gezichtsherkenning. Een verbod houdt die ontwikkeling misschien even tegen, maar niet voor altijd. Dit zijn dingen die gebeuren en als ze niet in het publieke domein worden ingezet, dan wel in het private.” Hij noemt het een wedloop tussen wat technologisch kan en wat mensen willen. “Welke sturing je daaraan zou moeten geven, dat vind ik heel interessant.”

Wat vindt hij dan van de ferme tik op de vingers die Nederland kreeg vanwege de ontwikkeling van fraudesysteem SyRI (Systeem Risico Indicatie)? Visser: “We willen dingen uitproberen en daarvoor moeten we bereid zijn om soms grenzen op te zoeken. En als we zo’n grens bereikt hebben, en de rechter zegt dat iets niet langer ethisch verantwoord is, dan moeten we daar niet bang voor zijn. Als je alles voor wilt zijn en veilig wilt houden, dan gaan andere landen mooie dingen doen die wij misschien missen. We bepalen als mensen samen waar de ethische grens ligt van wat we aan het doen zijn. Vanuit BZK zijn we ook bezig met publieke waarden en AI.”

Tegenspraak

Hoe denkt hij over het stopzetten van projecten? “Als het niet goed gaat, moet je dat doen, hoe moeilijk dat ook is. Het is menselijk om door te gaan; om te denken dat het wel goed komt, omdat je er bijna bent, omdat er al zoveel in is geïnvesteerd.” Hij noemt de nieuwe luchthaven van Berlijn en de opera van Hamburg als voorbeelden van uitstel en enorme budgetoverschrijding. Ingewikkelde structurele projecten, waar prestige een grote rol speelt – naast talloze andere belangen.

De CIO Rijk is een groot voorstander van het georganiseerde tegengeluid: kritische volgers van projecten, die verder geen belang hebben bij het falen of slagen ervan. Een vorm van kwaliteitscontrole, door ervaren mensen die risicoprofielen maken en analyseren en gevraagd en ongevraagd advies geven. “Alle neuzen dezelfde kant op lijkt heerlijk, totdat je allemaal in dezelfde tunnel staat waar geen eind aan komt… Ik zou graag tegenspraak organiseren op inhoud, politiek onafhankelijk, vanuit het vak van de ICT. Daar doen we onszelf uiteindelijk een plezier mee, want we worden er professioneel beter door.”

Coronacrisis

De Citrix-crisis is nog maar naar bezworen en dan krijg je ook als CIO Rijk ineens te maken met een alarmsituatie van ongekende omvang en moet je je rol pakken in de corona-crisis. Als onderdeel van het BZK-brede beleidsteam dat de rijksbrede coördinatie doet op het gebied van huisvesting, personeel, facilitaire diensten en ICT, zorgde Lourens Visser ervoor dat alle ICT-dienstverleners binnen het Rijk optimaal voorbereid waren op massaal thuiswerken door de medewerkers. Via conferencecalls met de CTO’s (directeuren van de ICT-bedrijven bij het Rijk) is de situatie in kaart gebracht. Daarbij gaat het om de technische aspecten: bijvoorbeeld de beschikbare bandbreedte bij de verschillende netwerkproviders, aantallen laptops, tablets en andere devices, en performance van de voorzieningen. Om organisatorische aspecten: zoals bezetting van service desks en aanwezigheid van ICT-personeel op kantoren. En om overige aandachtspunten zoals het goed communiceren richting medewerkers van de departementen en uitvoeringsorganisaties over mogelijke cyberaanvallen.

Dit artikel staat ook in iBestuur magazine 34

  • Bram Anker, IenW | 2 april 2020, 17:16

    Over tegenspraak. Dat vind ik wel erg interessant.
    Ik heb al eens eerder tegen mensen van Bureau Gateway gezegd dat het allemaal mooi is dat we Bureau Gateway al tien jaar hebben en BIT al vijf jaar, dat we CIO-oordelen uitvoeren en verder een hele gereedschapskist met instrumenten om IT-projecten goed te laten verlopen maar dat de tragische conclusie is dat het niet voldoende geholpen heeft. Nadenken over IT-projectbeheersing heeft geen behoefte aan nieuwe instrumenten (de gereedschapskist zit al vol) maar we moeten de confrontatie aangaan met de gedachte dat we de verkeerde vraag hebben gesteld en dieper moeten zoeken naar de oorzaken van ons falen. Voor mij (theorette) zit dat in onvoldoende ontwikkelde tegenspraak, we zijn te gevoelig voor hiërarchie en zien het als een eer de minister uit de problemen te houden waarbij we vergeten dat de minister niet in de problemen komt wanneer we ons werk goed doen!
    Ogenschijnlijk zijn we een informele organisatie maar in werkelijkheid pleasen we veel te graag de D/DG/SG/Min en zijn we gevoelig voor strepen. Ons zelfbeeld klopt dus niet. Dat is dus veel breder dan het IT domein en als ik dan mag beginnen met Lourens tegen te spreken (hoewel ik meer mee-spreek)dan zou ik zeggen dat ‘ie het probleem niet door het rietje van IT moet bekijken maar breder, dat we geen klonen aannemen maar lastposten en dat hij mooi kan beginnen om eens een keer de versnipperde governance/financiering van ons IT landschap ter discussie te stellen en daarmee te laten zien dat ons staatsrechtelijk model (ministeriële onafhankelijkheid, SG-DG sturing) niet past bij de karakteristiek van IT die overal een breinaald door wil steken. Hoe we die twee werelden verzoenen is de grote vraag maar biedt de noodzakelijke basis voor verbetering.

  • Mr A.F. le Gras | 2 april 2020, 18:34

    RISICOMANAGEMENT
    Ik wil mij graag aansluiten bij het betoog van Lourens Visser dat het kernprobleem een tekortschietend risicomanagement is en dat geldt niet alleen voor de overheid. We zijn sterk gericht op optimalisatie van alle processen in de maatschappij en houden van een optimistische benadering van mogelijke problemen. Daar passen zelden worst-case scenario’s in, laat staan reserveringen daarvoor. En als daar al aandacht voor is dan zijn we sterk geneigd de mogelijke schade te onderschatten. Hoe duur ons dat kan komen te staan laat de huidige coronacrisis zien. We zijn gedwongen bijna de hele economie plat te leggen om er maar voor te zorgen dat ons gezondheidszorgsysteem niet overlopen wordt. Dat dat systeem de huidige problematiek niet aankan is een direct gevolg van de optimalisatie die we in het verleden hebben doorgevoerd, zonder acht te slaan op de risico’s daarvan. Mooi dat we één van de laagste ziekenhuisbed/bevolkings ratio’s hebben, maar daar had dan wel een strategische reservecapaciteit bijgehoord die je niet van op eigen benen gezette ziekenhuizen mag verwachten, maar wel van de overheid. De overeenkomst met IT bestaat uit veel meer dan alleen de naam (virus). We hebben gewoon een uiterst kwetsbaar IT landschap gecreeerd, dat tot nu toe slechts last heeft gehad van wat verkoudheidjes, maar de echte test á la die van een coronavirusinfectie nog moet ondergaan. En de schade daarvan zal zeker vergelijkbaar zijn. Zijn we daar op voorbereid ?

  • Arie Gerardus Boudewijn | 21 april 2020, 00:13

    Het is voormalig collega Johan Slöetjes waar Lourens mee bij Logica gewerkt heeft die vele valse aangiften doet, op papier, echter laat deze Janneke Slöetjes als Officier van Justitie deze door het Openbaar Ministerie loodsen. Janneke is als Officier gedetacheerd ivm haar cyber/data kennis ( Ex Bitch of Freedom ) bij de CTIVD en het zijn Ollongren en Bertholee ( nu Schoof.. o nee Akerboom ) die dit proberen te verhullen. Justitie en Rechtspraak gehackt door wat valse aangiften… maar wat nu als er echte problemen komen want dit kunnen ze al niet oplossen.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren