Staatssecretaris Knops zoekt de confrontatie met het Parlement over een open source eis in het zich voortslepende wetgevingstraject van de Wet Digitale Overheid (WDO). Hij miskent het strategische voordeel van een harde open source software eis, om big-tech buiten de deur te houden en om Nederlandse burgers en belangen te beschermen.
Open source is goed voor transparantie, hergebruik en onafhankelijkheid, maar ook als strategisch verdedigingswapen, ten gunste van de eigen soevereiniteit | Beeld: Shutterstock
De Nederlandse overheid praat al jaren over het belang van open source software, maar brengt tot nu toe weinig in de praktijk. Al in 2003 was er het OSOSS programma, voor Open Standaarden en Open Source Software, maar dat is een stille dood gestorven. In het voorjaar van 2020 publiceerde staatssecretaris Knops een revitalisatie van dat beleid, onder het motto: open, tenzij. Die publicatie weerhoudt hem er echter niet van om zijn eigen beleid te ondermijnen, door de wens van de Eerste Kamer voor een open source vereiste voor elektronische identiteitsmiddelen af te zwakken. Later meer over deze eIDs in de WDO (Wet Digitale Overheid). De CoronaMelder en CoronaCheck apps vormen een voor iedereen zichtbare doorbraak van gebruik van open source software door de Rijksoverheid. Die openheid heeft bijgedragen aan het vertrouwen in de apps, en daarmee aan het brede gebruik, zonder wantrouwige discussies over de werking ervan. Voor deze transparante aanpak verdient het ministerie van VWS alle lof.
Geen onderscheid
Laat ik een voorbeeld uit mijn eigen ervaring noemen. Ik ben actief betrokken bij de eID app IRMA, voor attribuut-gebaseerde privacy-vriendelijke authenticatie. IRMA is open source, non-profit en is een poging om publieke waarden digitaal te verankeren. Ook al past IRMA in beginsel goed bij de publieke taken van de overheid, toch kan het ministerie van BZK er niet mee om gaan. Ik heb zelf meermaals meegemaakt dat BZK niet in staat is om een onderscheid te maken tussen, bijvoorbeeld IRMA en Huawei. Dit is iets om even tot je door te laten dringen. De houding van BZK is om non-profit open source software van eigen bodem over dezelfde kam te scheren als gesloten source software van een buitenlandse “systeem concurrent”. Wat is hier aan de hand? Volgens BZK is IRMA een marktpartij die zich maar gewoon netjes op moet stellen in het rijtje van commerciële tech-giganten als Huawei, Google, Apple en anderen. Publieke waarden doen er daarbij niet toe. Je moet wel een erg geharde libertair zijn om dit te kunnen volgen, zeker in tijden van een herwaardering van de beschermende rol van de overheid en van (Europese) soevereiniteit.
BZK meet zichzelf een rol op afstand aan, als marktmeester.
Hoe heeft het zo ver kunnen komen? BZK meet zichzelf een zodanige rol op afstand aan, als marktmeester, dat iedere uiting van voorkeur in de ene richting direct een (juridische) aanklacht uit de andere richting oplevert, van marktpartijen die zich benadeeld voelen. Daarmee is het inderdaad moeilijk voor de overheid om inhoudelijk waardengedreven beleid te voeren. Deze houding is tot stand gekomen in tijden dat men nog dacht dat de markt alles beter kon. Met die gedachte is bijvoorbeeld e-Herkenning aan marktpartijen overgelaten, met de inmiddels bekende funeste gevolgen: hoge kosten, achterhaalde techniek, bureaucratische (aanmeld)procedures, intransparante techniek en gegevensstromen, en dat alles voor incidenteel gebruik, waarbij de overheid uiteindelijk onder groot maatschappelijk protest bijspringt om de hoge kosten te drukken. Een totale afgang waar nog weinig lering uit getrokken lijkt te zijn.
BZK denkt met de afstandelijke opstelling tegenover de verschillende aanbieders waarden-neutraal te zijn. Nog even afgezien van het feit of we wel een waarden-neutrale overheid zouden moeten willen (denk aan de andere keuzes die VWS maakt) is hier natuurlijk wel degelijk sprake van waardengebondenheid. De waarden van de vrije markt staan namelijk bij BZK voorop.
Open source als strategisch instrument
De Eerste Kamer heeft begrepen dat een manier om deze zogenaamd-neutrale positie op digitaal gebied te doorbreken is om waarden expliciet in wetten te verankeren. Dan kan het ministerie ze gebruiken bij het selecteren of prioriteren van aanbieders. De Senaat heeft bij de bespreking van de WDO de lovenswaardige stap genomen om een novelle af te dwingen, waarin open source als vereiste opgenomen wordt bij toelating van een eID middel. Deze vereiste vormt een defensief wapen tegen de agressie en het tech-kolonialisme van de dominante ICT-leveranciers. Open source is dus niet alleen goed voor transparantie, hergebruik en onafhankelijkheid, maar ook als strategisch verdedigingswapen, ten gunste van de eigen soevereiniteit.
Knops wil dat open source slechts een wegingsfactor is, en geen vereiste.
Je zou denken dat Knops in zijn nopjes is dat hij zo instrumenten aangereikt krijgt om met een dergelijke open source eis meer inhoudelijk en waardengedreven beleid te kunnen voeren. Knops lijkt er ongevoelig voor en is vooral in de weer om de open source eis van de Senaat af te zwakken. Hij heeft de afgedwongen novelle zelf zo geformuleerd dat open source slechts een wegingsfactor is, en geen vereiste, zoals de Senaat wilde. Hiermee gaat hij de strijd met het Parlement aan (ook de Tweede Kamer is wakker geworden over dit thema) waardoor invoering van de WDO nog langer op zich laat wachten en uiteindelijk ingehaald gaat worden door de Europese Wallet-ID plannen. Binnen die Europese plannen verliest de WDO zijn waarde, maar de open source eis juist niet. Mogelijk is die eis uiteindelijk het enige wat overblijft van jarenlange inspanningen om een Nederlands wettelijk kader voor digitale identiteiten van de grond te krijgen. Het is een eis om trots op te zijn, als je de strategische waarde ervan tenminste inziet.
Open source software
Software heet open source wanneer de tekst van de programmatuur gepubliceerd wordt en door iedereen gelezen kan worden. Het gaat dan om open inzage. Meestal hoort daarbij dat de software ook door anderen gebruikt en aangepast kan worden. Soms worden nog extra voorwaarden verbonden aan zulk hergebruik, bijvoorbeeld dat de uitbreidingen ook open source moeten zijn. Deze voorwaarden worden beschreven in zogenaamde open source licenties. In de kern gaat het om open inzage.
De meeste commerciële organisaties zijn terughoudend en maken hun software niet open source. Dat kan zijn omdat ze bang zijn dat concurrenten hun methoden overnemen, omdat ze niet willen dat anderen zien hoe (slordig) hun software geschreven is of wat voor verborgen functionaliteit erin verscholen zit. Ook past closed source software in een strategie om afhankelijkheden (lock-ins) te creëren, zodat klanten voor iedere aanpassing alleen bij de originele leverancier terecht kunnen – tegen een hoge prijs uiteraard. Toch zijn er ook commerciële partijen die wel open source software maken (en zelf gebruiken), omdat de afnemer dat vereist, of omdat ze hun verdienmodel meer op dienstverlening baseren en minder op de software zelf.
In het algemeen kun je zeggen dat closed source vooral voordelen heeft voor de producent van de software en dat open source de afnemers voordelen biedt.
Transparantie is een van die voordelen: de afnemers en gebruikers kunnen in principe zien wat de software doet en waar de verwerkte (persoons)gegevens wel of niet naar toe vloeien. Een ander voordeel is onafhankelijkheid: als je als afnemer ontevreden bent met leverancier A, beëindig je de samenwerking en sluit je een nieuwe contract af met leverancier B om de (open source) software verder te onderhouden. Tenslotte geeft open source software allerlei mogelijkheden tot hergebruik en uitbouw.
Bart Jacobs is hoogleraar computerbeveiliging en privacy aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Voor meer informatie, zie zijn persoonlijke webpagina bij de universiteit.