Digitale afpersers - ransomware - leveren soms betere dienstverlening dan de markt. Wat kan de overheid van hen leren?
Adam uit Baltimore kwam ik tegen op een internationale conferentie over goed overheidsbestuur onder de titel ‘De kwetsbaarheid van vertrouwen’. Adam kon zijn verkeersboete niet betalen. En ook zijn waterrekening niet.
De gemeente Baltimore was slachtoffer geworden van ransomware. Dat is software die de toegang tot de computer of de data daarop verhindert, totdat losgeld is betaald. Baltimore was niet voorbereid en betaalde niet, met als gevolg dat de gemeentelijke dienstverlening tot stilstand kwam. Amerikaanse media stonden er bol van.
De rubriek Digitaal verdwaald toont opzienbarende en frustrerende ervaringen in de digitale wereld. Zelf een ervaring gehad? Mail ons!
Twintig Amerikaanse gemeenten overkwam dit jaar hetzelfde. Ook in Nederland zien veel gemeenten het belang van informatieveiligheid onvoldoende in, zo staat in het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ van de Vereniging Nederlandse Gemeenten. Het is niet zichtbaar en wordt soms gezien als last. Een nieuwe standaard moet daarin vanaf dit jaar verandering brengen. Vanaf oktober moeten gemeentebesturen ook gaan oefenen met crisissituaties. Het disciplineert om al voordat het misgaat, te voelen wat de consequenties zijn.
Nu vind ik het opvallend dat er tussen de dienstverlening van de overheid en de makers van afperssoftware overeenkomsten zijn: de dienstverlening is niet vrijwillig en berust op een monopolie. Maar anders dan je zou verwachten, is de klantenservice van afperssoftware vaak zo goed, dat dienstverleners in de markt er nog wat van kunnen leren, zo schreef de maker van anti-virussoftware F-Secure drie jaar geleden. Nadat de computer is overgenomen, zorgen de afpersers voor duidelijke communicatie die laat merken dat er aanspreekbare mensen achter de software zitten, die alles doen om het slachtoffer te ‘helpen’. Er valt te praten over deadlines als slachtoffers wel willen betalen, maar niet goed weten hoe. En na betaling worden gegevens op betrouwbare wijze weer ter beschikking gesteld. Een monopolie kan dus een responsieve dienstverlening opleveren.
Dit lijkt een paradox. Maar bedenk dat niet elk slachtoffer ‘digivaardig’ is of ervaring heeft met betalen in bitcoin. Een dergelijke ‘service’ is nodig omdat afpersen alleen effectief is, als het mensen lukt te betalen.
Bij de overheid is ook sprake van een monopolie in de dienstverlening. Bovendien is die zeker zo ingewikkeld en alleen effectief als mensen begrijpen wat de overheid van ze wil. Maar er is ook een verschil. Als burgers het onlineproces van de overheid niet begrijpen – niet weten wat ze moeten betalen, wanneer of wat ze moeten doorgeven – dan krijgen ze een boete of schulden, geen vergunning of geen toeslag. Een overheidsdienst voelt nauwelijks de noodzaak om te zorgen dat burgers niet vastlopen.
Wat digitale afpersers misschien scherper zien dan de overheid is dat efficiëntie ten koste kan gaan van effectiviteit. Dat het bieden van ondersteuning en alternatieve kanalen een gezamenlijk belang is, meer dan soms lijkt. Wacht dus niet tot je slachtoffer wordt van ransomware, zoals Baltimore, om dat te leren.
Arjan Widlak is directeur en onderzoeker bij Stichting Kafkabrigade, een organisatie die onnodige bureaucratie opspoort en oplost. Arjan publiceert regelmatig over de impact van informatietechnologie op het openbaar bestuur.
Deze bijdrage is eerder (6 juli 2019) geplaatst in Het Financieele Dagblad