Overheid in transitie
Podium

X-Road is geen ‘Holy Grail’ voor het inrichten van de digitale dienstverlening

X-Road is geen 'holy grail', hooguit een inspiratie. | Beeld: Shutterstock/FotoSketcher

Het Manifest ‘Herprogrammeer de overheid’ heeft stof doen opwaaien. Onterecht. Een aantal vaststellingen zijn feitelijk onjuist; een aantal aanbevelingen ook. Het is opvallend hoe vaak Estland, met haar X-Road systeem, wordt gezien als de Holy Grail hoe een staat haar digitale dienstverlening in zou moeten richten. Laten wij de overeenkomsten en verschillen tussen Nederland en Estland eens tegen het licht houden.

Om te beginnen wonen in Estland 16,1 miljoen minder mensen dan in Nederland. Esten wonen met 1.3 landgenoten op een oppervlakte van 45.227 vierkante kilometer. Dat vertaalt zich in 29 inwoners per vierkante kilometer, waarvan de meesten wonen in en rond de steden Tallinn (400.000 inwoners) en Tartu (100.000+ inwoners). Nederland is ietsje kleiner dan Estland, ongeveer 41.543 vierkante kilometer, maar telt wel ongeveer 17,4 miljoen mensen; zo’n 418 mensen per vierkante kilometer.

Nederland begon zo’n 40 jaar eerder met digitalisering dan Estland.

Na de Val van de Berlijnse Muur (1989) zat Estland nog steeds met lastige buurman Rusland. Het land moest welvaart en politiek gezag zien op te bouwen op de puinhopen van het communisme. Voldoende incentive om Greenfield te beginnen. Het idee voor het X-Road systeem ontstond in de late jaren ’90 en werd officieel gelanceerd in 2001. Sindsdien speelt X-Road een centrale rol in de digitalisering van Estland.

Nederland begon veel eerder met digitalisering, vanuit het perspectief van de Open Economie. Aangezien onze overheden georganiseerd zijn conform het subsidiariteitsbeginsel, kent ons land een heel pallet aan spelers die – ieder op hun moment en om hun eigen reden – begonnen te digitaliseren in de jaren ’60 en ’70 van de vorige eeuw. Allereerst begon de Nederlandse Belastingdienst met de digitalisering van hun systemen. Zij waren een van de eerste overheidsorganen die de voordelen van geautomatiseerde gegevensverwerking inzagen. Met het complexer worden van onze samenleving, na de wederopbouw, ontstond de behoefte om meer te doen met minder ambtenaren. Andere Ministeries volgden de automatiseringsgolf.

In de jaren ’80 begonnen de Nederlandse spoorwegen met de automatisering van hun ticketverkoop en informatiesystemen. In 2005 introduceerde de Nederlandse overheid DigiD waarmee burgers online diensten van de overheid kunnen gebruiken; een belangrijke stap in de digitalisering van de Nederlandse overheid. Nog iets later, in de jaren ’90, kwamen de Basis Registraties, zoals de Basisregistratie Personen (BRP): de digitale database waarin de persoonsgegevens van alle inwoners van Nederland worden opgeslagen.

Centraal – decentraal

Dus waar Estland ‘by design’ koos voor één centraal e-overheid concept, geoperationaliseerd met een decentraal X-Road systeem, ontstond de Nederlandse e-Overheid ‘by default’ door organische groei.

Laten we de mogelijkheden vergelijken:

  1. Toegankelijkheid: Zowel in Estland als in Nederland is de digitale dienstverlening zeer toegankelijk. Beide landen kennen snelle internetverbindingen en gratis wifi-hotspots, waardoor vrijwel iedereen toegang heeft tot digitale overheidsdiensten. Hoewel Nederland ook goede toegang heeft tot internet, is de toegankelijkheid van digitale overheidsdiensten minder uniform. Wij hebben er ook meer van.
  2. Integratie: In Estland zijn alle overheidsdiensten geïntegreerd in een enkel digitaal platform, genaamd X-Road. Dit betekent dat burgers met een enkele login toegang hebben tot alle diensten, van belastingaangifte tot gezondheidszorg. In Nederland zijn de digitale overheidsdiensten meer gefragmenteerd en is, ondanks DigID, nog wel vaak een aparte login nodig voor verschillende diensten. Wij werken niet met één identiteit systeem, maar met een stelselstructuur. Hierdoor kunnen verschillende bedrijven ID diensten aanbieden, zoals Digidentity.
  3. Identiteit: Estland heeft een zeer geavanceerd systeem voor digitale identiteiten. Iedere burger heeft één digitale ID-kaart, waarmee ze toegang hebben tot alle overheidsdiensten. In Nederland vertrouwen wij nog grotendeels op fysieke identiteitsdocumenten en is het gebruik van één digitale identiteit beperkt. Niet in het minst omdat ons land inclusiviteit, dus ook van digibeten, politiek wenselijk vindt. Terwijl in een land als Estland de burger zich meer centraal aan laat sturen.
  4. Automatisering: Estland heeft veel diensten volledig geautomatiseerd. De belastingaangifte is bijvoorbeeld zeer eenvoudig. Het systeem selecteert automatisch de juiste vorm en vult deze in op basis van de beschikbare gegevens. In Nederland, hoewel er ook een mate van automatisering is, vereisen veel diensten nog menselijke tussenkomst. Niet zo gek, want de Nederlandse economie is veel groter, complexer en dynamischer dan die van Estland. Daarom is het Estlandse belastingsysteem geautomatiseerd en geïntegreerd, terwijl wij een complexer, maar dynamischer, individueel aangepast belastingsysteem hebben.
  5. Transparantie: Estland heeft een sterk beleid van transparantie in de digitale dienstverlening. Alle transacties en interacties met de overheid worden gelogd en zijn zichtbaar voor de gebruiker. In Nederland is deze transparantie minder uitgebreid. De reden is ook hier logisch. In Nederland hebben wij de redelijke luxe om ons te concentreren op ‘wat’ wij willen bereiken, terwijl in Estland de druk altijd enorm geweest is op ‘hoe’ je dat wilt bereiken. Hierbij is ‘transparantie’, vooral in architectuur, een medicijn tegen digitaal risico.
  6. Cybersecurity: De nabijheid tot Rusland creëert uitdagingen op het gebied van cybersecurity. Na een geschil met Rusland in 2007, werd Estland het doelwit van een massale cyberaanval gericht op de websites van de Estse overheid, banken, kranten en omroepen, waardoor veel diensten tijdelijk ontoegankelijk waren. Sindsdien is Estland een wereldleider op cybersecurity gebied geworden, met een nationale cybersecurity strategie en significante bijgedragen aan internationale inspanningen om de cyberveiligheid te verbeteren.
    Het is niet voor niets dat het NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) in Tallinn is gevestigd.
Roepen om ‘X-Road’ als medicijn tegen vermeende Nederlandse digitale achterlijkheid moet genuanceerd worden.

Hoe ziet X-Road er nu uit ‘onder de motorkap’?

X-Road  is ontworpen om de uitwisseling van gegevens tussen overheidsinstanties, particuliere organisaties, burgers en andere belanghebbenden te vergemakkelijken voor een klein land, met een kleine overheid en onder hoge politieke en veiligheidsdruk.

De eerste versie van X-Road, in 2001, was ontworpen om een beveiligd netwerk te creëren voor de uitwisseling van gegevens tussen overheidsdiensten. Die eerste versie groeide snel en tegen 2003 waren er al meer dan 80 overheidsorganisaties aangesloten op X-Road. In 2007 werd het systeem opengesteld voor particuliere organisaties, waardoor ook banken, verzekeringsmaatschappijen en andere bedrijven toegang kregen tot de gegevens van X-Road. Ter vergelijking: bij ons worden banken en verzekeringsmaatschappijen technisch niet centraal gefaciliteerd, maar zijn historisch een aantal digitale uitwisseling methoden gegroeid, om de interactie met verschillende overheidsinstanties te regelen.

  1. De Nederlandsche Bank (DNB): Sinds de Bankwet van 1998 heeft DNB toezicht op de financiële stabiliteit van banken en verzekeringsmaatschappijen in Nederland. DNB heeft daarom de bevoegdheid om financiële informatie op te vragen en in te grijpen wanneer de stabiliteit in gevaar is.
  2. Autoriteit Financiële Markten (AFM): Sinds de oprichting in 2002 houdt de AFM toezicht op het gedrag van deelnemers op de financiële markten, waaronder banken en verzekeringsmaatschappijen.
  3. Belastingdienst: Op basis van verschillende belastingwetten hebben banken en verzekeringsmaatschappijen de verplichting om informatie te verstrekken aan de Belastingdienst. Dit is met name van belang voor het voorkomen van belastingontduiking en witwassen.
  4. De Autoriteit Persoonsgegevens (AP): Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018, hebben banken en verzekeringsmaatschappijen te maken met strengere regels rond het gebruik en bescherming van persoonsgegevens. De AP houdt toezicht op deze regels.

Nederland heeft dus geen technisch systeem, waar je data zaken mee kunt regelen, maar een pakket aan regels en richtlijnen, waaraan actoren moeten voldoen. Het zijn die regels die hen verplichten tot transparantie en dus tot samenwerking met verschillende overheidsinstanties. Daarvoor worden digitale oplossingen gezocht, die specifiek ontworpen zijn voor die specifieke sector en kunnen voldoen aan soms aparte, strenge eigen beveiligingsstandaarden.

Voor de financiële wereld zijn dat bijvoorbeeld:
  1. SWIFT: Het Society for Worldwide Interbank Financial Telecommunication netwerk wordt wereldwijd door financiële instellingen gebruikt om financiële transacties te communiceren. In Nederland kan de overheid, waaronder de Belastingdienst, via SWIFT informatie opvragen bij banken.
  2. XBRL: Extensible Business Reporting Language is een open standaard voor het communiceren van zakelijke en financiële gegevens, die wordt gebruikt door banken en verzekeringsmaatschappijen om financiële rapporten in te dienen bij toezichthouders, zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).
  3. Digipoort: een digitaal loket van de Nederlandse overheid voor elektronische berichten tussen bedrijven en de overheid. Via Digipoort kunnen financiële instellingen bijvoorbeeld belastingaangifte doen.
  4. FIU-Net: Dit is een digitaal platform dat wordt gebruikt door de Financial Intelligence Unit Nederland. Banken en andere financiële instellingen kunnen via FIU-Net ongebruikelijke transacties melden, die mogelijk verband houden met witwassen of financiering van terrorisme.

In Estland gebeurt dit anders. Onder de sleutelspelers in de ontwikkeling en implementatie van X-Road bevinden zich het Estse ministerie van Economische Zaken en Communicatie, dat verantwoordelijk is voor het beheer en de coördinatie van het systeem en de Information System Authority (RIA), die verantwoordelijk is voor de technische aspecten van het systeem. Veel centraler dus.

X-Road is een gedecentraliseerd open source systeem

Het X-Road-systeem maakt gebruik van een breed scala aan technologieën om een veilige en efficiënte uitwisseling van gegevens te waarborgen. Het systeem maakt gebruik van versleuteling om de privacy van gegevens te waarborgen en maakt gebruik van een gedistribueerde architectuur om de belasting van de servers te verminderen en de snelheid en efficiëntie van de gegevensuitwisseling te verhogen.

Hoewel de visie in Estland dus een centraal concept behelst, is het belangrijkste kenmerk van X-Road juist dat het een gedecentraliseerd systeem is. Dit betekent dat gegevens niet worden opgeslagen op één centrale locatie, maar worden verdeeld over een netwerk van servers. Dit maakt het systeem zeer veerkrachtig en vermindert ook het risico van gegevensverlies of -diefstal. Sinds de laatste Russische hackpogingen staat de complete Estse Staat gemirrored op de fysieke locatie van een aantal ambassades in Europa en elders in de wereld. X-Road draait in de cloud!

Bovendien maakt X-Road gebruik van een open-source model, wat betekent dat de broncode van het systeem gratis beschikbaar is voor het publiek. Dit stimuleert innovatie en stelt ook andere landen en organisaties in staat om het systeem aan te passen en te verbeteren om aan hun eigen behoeften te voldoen. Het is daarom allang achterhaald om over het Estlandse X-Road te praten.

X-Road is geen ‘doosje’ dat je kunt kopen, maar een concept dat je zult moeten omarmen.

Momenteel werkt Estland aan de uitbreiding en verbetering van het X-Road-systeem. Denk aan nieuwe functies, zoals real-time monitoring van de systeemstatus, verbeterde beveiligingsfuncties en verbeterde interoperabiliteit met andere systemen.

Conclusie

De argumenten in het recent aan de Tweede Kamer overhandigde Manifest ‘Herprogrammeer de overheid’ zijn deels onjuist en op zijn minst eenzijdig.

X-Road is geen ‘doosje’ dat je kunt kopen, maar een concept dat je zult moeten omarmen. Als de essentie van dat concept het kunnen uitwisselen van data is, dan vraagt dat meer dan technologie. Het vraagt vooral om afdwingbare afspraken: Soft Architectuur. Afspraken waar juist de Nederlandse overheid al op diverse plekken ervaring mee opdoet, waarmee Nederland ook internationaal goed om aangeschreven staat .

X-Road is hooguit een inspiratie. Geen medicijn. Niets wat hier niet ook al gebeurt.

 

Lees ook:

  • igor van gemert | 19 oktober 2023, 20:16

    Een korte kritische reflectie op deze publicatie
    Landenvergelijking: Estland’s kleinschaligheid vergemakkelijkt digitalisering. Nederland’s complexiteit vereist een andere benadering.
    Digitaliseringstijdlijn: Vroeg starten garandeert geen voorsprong. Estland’s snelle digitalisering na de Sovjet-Unie is indrukwekkend.
    X-Road’s Structuur: Gedecentraliseerd = minder kwetsbaar. Een krachtig aspect voor beveiliging en veerkracht.
    Open Source Voordelen: X-Road’s transparantie en aanpassingsvermogen staan voorop. (maar het schoon houden van open source is een vak apart en kan alleen met een rigide audit en gebruik en beheer proces op de gebruikte componenten)
    Nederland’s Aanpak: Flexibel maar mogelijk inefficiënt door gefragmenteerde systemen.

    Dus eerst een omarmingsproces :

    Analyseer Behoeften: Identificeer tekortkomingen in het huidige systeem.
    Betrek Stakeholders: Alle meningen tellen, van techneuten tot burgers.
    Test Lokaal: Probeer X-Road in een specifieke regio of sector.
    Verzamel Feedback: Aanpassen op basis van ervaringen.
    Voer Landelijk In: Zorg voor training en ondersteuning.
    Evalueer & Update: Blijf up-to-date met veranderende behoeften.
    Kortom, terwijl Estland’s X-Road veel te bieden heeft, moet Nederland een zorgvuldig afgewogen benadering volgen, aangepast aan zijn eigen unieke context. Context is key zeker nu.

  • Vincent Hoek | 20 oktober 2023, 10:36

    Twee nabranders: X-Road draait op veel meer plekken dan alleen in Estland, maar in al die gevallen hebben de betreffende overheden gekozen voor investering in een ‘infrastructuur’ en niet in een ‘data architectuur’. X-Road is weliswaar in Estland ontwikkeld, maar ook Finland heeft de X-Road technologie al in 2018 geadopteerd en is met Estland verbonden in een grensoverschrijdende data-uitwisseling. Ook in IJsland wordt X-Road gebruikt om diverse digitale diensten aan te bieden, onder meer door overheidsinstanties. In Japan heeft de stad Saitama X-Road geadopteerd als basis voor zijn data-uitwisseling en ook de Faeröer Eilanden, een autonome regio van Denemarken ten noorden van Schotland, gebruikt X-Road om verschillende IT-systemen met elkaar te verbinden. Inmiddels onderzoeken ook Oekraïne en enkele Afrikaanse landen momenteel de mogelijkheden van X-Road. X-Road is kortom slechts een data-uitwisselingslaagoplossing, maar wel nog gebaseerd op een oeroude Enterprise Service Bus (ESB) infrastructuurbenadering. Dit is een traditioneel architectuurmodel dat wordt gebruikt voor het ontwerpen en implementeren van de interactie en communicatie tussen onderling verbonden applicaties in een servicegerichte architectuur (SOA). De ESB fungeert als een ‘bus’ waarop alle applicaties zijn aangesloten, waarbij elke applicatie communiceert via de bus in plaats van direct met andere applicaties.
    Dit in tegenstelling tot een moderne data-centrische en context-centrische benadering, die niet zozeer de nadruk legt op de infrastructuur en de communicatietussenlaag (zoals bij ESB), maar op data zelf: hoe het wordt gecreëerd, beheerd, gedistribueerd en geconsumeerd.
    Als Nederland het Estlandse X-Road zou herontwerpen met de hedendaagse inzichten en technische mogelijkheden, zoals Legal Engineering, AI/ML en geverifieerde identiteitsclaims, zouden we waarschijnlijk een hybride benadering kiezen die het beste van deze modellen biedt.
    Legal Engineering zou ons helpen om de juridische en regelgevende aspecten van de gegevensuitwisseling te integreren in het ontwerp van het systeem. AI en ML kunnen worden ingezet om patronen en trends in de gegevens te identificeren, om zo de efficiëntie, nauwkeurigheid en effectiviteit van de diensten te verbeteren. Geverifieerde identiteitsclaims zouden helpen bij het waarborgen van de veiligheid en privacy van de gebruikers.
    Door data en context de kern te maken, zou de complete manier waarop data worden gedeeld en geconsumeerd worden heroverwogen. In plaats van de infrastructuur als het primaire verbindingspunt te zien, zou elke applicatie of dienst verantwoordelijk zijn voor het beheren en delen van zijn eigen gegevens, met interoperabiliteit ingebouwd op databasis. Wat niet alleen veel meer flexibiliteit zou leveren voor de situatie waarin de data worden gebruikt, maar ook veel meer dynamiek zou bieden aan de toegang tot de gegevens, waarbij de mate van controle zou afhangen van de context.
    Zo’n systeem zou veel flexibeler, schaalbaarder en beter in staat zijn om te gaan met complexe, veranderende behoeften dan een traditioneel ESB-model. De enige mate van gecentraliseerde coördinatie en controle om interoperabiliteit en veiligheid te waarborgen zou je dan afvangen met geautomatiseerde beleidsregels. Iets wat wij in Nederland kunnen met http://www.ishare.eu

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren