Zo willen GroenLinks en PvdA de overheid van het ‘Microsoft-infuus’ halen
GroenLinks-PvdA en Nieuw Sociaal Contract presenteren vandaag een plan voor een Nederlandse cloud om de overheid onafhankelijk van Amerikaanse techreuzen te maken. De partijen willen onder meer dat e-mail- en chatapplicaties in eigen beheer blijven.
Overheidsorganisaties kiezen er volgens de twee partijen steeds vaker voor om hun IT over te zetten naar de cloud. “Dat daarmee stilletjes steeds meer macht naar Amerikaanse Big Tech verschuift, lijkt niemand op te vallen. Toch is het reden tot zorg.”
Tweede Kamerleden Jesse Six Dijkstra (NSC) en Barbara Kathmann (GroenLinks-PvdA) hebben drie stappen beschreven waarmee een sterke Nederlandse cloudsector moet worden gerealiseerd. Een onderdeel daarvan zijn essentiële diensten zoals mail- en chatapplicaties. Deze moeten in eigen beheer gehouden worden.
De regie op soevereiniteit herpakken
“Deze functies zijn zo fundamenteel aan het functioneren van onze overheid dat we hierop geen problemen kunnen riskeren. We moeten de regie over digitale soevereiniteit herpakken en stellen daarom het doel in 2029 voor tenminste 30% clouddiensten uit Nederland te gebruiken.”
De Rijksoverheid moet wat Kathmann en Dijkstra betreft haar macht als grootste ICT-afnemer in het land beter aanwenden. “Door Nederlandse inkoopkracht in te zetten kunnen kleinere spelers een kans krijgen te groeien.” Nederlandse en Europese samenwerking moet uiteindelijk leiden tot een voedingsbodem voor een volwaardige Europese concurrent van de Amerikaanse techreuzen.
Ook willen de PvdA-GroenLinks en NSC ook dat ministeries zelf het goede voorbeeld nemen. “Door de Chief Information Officers verantwoordelijk te stellen voor het bewaken van strategische autonomie en dit als harde eis op te nemen in verschillende wetten, kunnen we het tij keren”, zo staat in het plan.”
Gemakzuchtig geweest
“De manier waarop de overheid de afgelopen decennia is omgegaan met de verantwoordelijkheid voor onze data en digitale diensten, is veel te kortzichtig en gemakzuchtig geweest. Zodra Nederland niet meer in staat is om zijn eigen ICT- systemen te beheren, dan komen uiteindelijk burgers in de problemen”, aldus NSC-Kamerlid Jesse Six Dijkstra.
GroenLinks-PvdA Tweede Kamerlid Barbara Kathmann vult daarop aan dat er geen ‘haan naar kraait’ wanneer de gehele digitale infrastructuur van het Rijk naar de Verenigde Staten verhuisd. “Terwijl dit enorme gevolgen heeft en in de huidige turbulente tijden moet je zulke risico’s niet lopen. Deze initiatiefnota houdt de uitlevering van de Rijksoverheid aan Big Tech een halt aan.”
Laten we wel realistisch blijven: een van de grootste uitdagingen die overheidsorganisaties momenteel tegenkomen, is juist het gebrek aan eenheid in hun e-mail- en chatdiensten. Verschillende afdelingen en ministeries gebruiken nog altijd uiteenlopende systemen, soms draaiend op eigen contracten bij eenzelfde leverancier, wat leidt tot inefficiënties en communicatieproblemen. Een bestuurder kan bijvoorbeeld moeite hebben met het inplannen van afspraken in andermans agenda door de verscheidenheid aan systemen, zelfs anno 2024. Dit gebrek aan standaardisatie belemmert niet alleen de efficiëntie maar verhoogt ook de complexiteit en kosten van het beheer. Consolidatie bij één provider zou de communicatie veiliger, eenduidiger, praktischer en goedkoper maken. Daarnaast zijn diensten, zoals e-mail (bijvoorbeeld MS Outlook) en chat (bijvoorbeeld MS Teams) juist ontworpen om naadloos samen te werken met andere clouddiensten (Office 365 draait bij de gratis van Azure, Kubernetes en SQL-Online onder onderling afgestemde instellingen) en zijn alleen geen persoonlijke applicaties meer, maar samenwerkingstools, waarmee je SAMEN aan documenten kunt werken. Inclusief security credentials, digitale handtekeningen, archivering etc. etc.. Dit bevordert niet alleen de efficiëntie maar zorgt ook voor een uniforme gebruikservaring en gecentraliseerd beheer. Het probleem ligt dus niet bij de applicaties zelf, maar bij de rechten- en identiteitsinstellingen. Deze verantwoordelijkheid ligt niet bij de leverancier, maar bij de afnemer (lees het Rijk) ZELF. Helaas blijkt dat overheidsorganisaties hier vaak tekortschieten, dus je kan wel het slot vervangen, maar dat helpt niets als je de deur toch open laat.
In een cloudomgeving wordt toegangsbeheer gecentraliseerd en gestroomlijnd via identity management systemen, zoals Azure Active Directory. Dit maakt het mogelijk om gebruikersrechten en rollen te beheren vanuit één enkele interface. Dit vereist het beheer van groepen, rollen, claims en identiteiten, wat een bottom-up benadering van de organisatie vraagt. Hier schort het aan bij het Rijk.
ALs je een cloud moet vertellen wat je met je organisatie wilt, zul je werkgroepen en processen wel moeten modelleren. Een cloud is ook maar een stom stuk ijzer, wie het ook levert.
Ok, dus we stappen over naar een Nederlandse cloud leverancier (die zijn overigens uitstekend en worden allang om allerlei goede redenen door diverse Nederlandse overheden ingezet, dus dat is niets nieuws) Stel daarnaast dat het Rijk integraal over zou stappen op open source e-mail- en chatoplossingen. Open source software lijk gratis, maar brengt aanzienlijke kosten met zich mee voor implementatie, onderhoud, beveiliging, hardware en ondersteuning. Waar een partij als Microsoft een allesomvattend abonnementsmodel biedt, inclusief e-mail (Outlook), chat (Teams), OneDrive, SharePoint en andere Office-applicaties, moet je dat met Open Source opbouwen. Open source software, zoals Zimbra (e-mail), Mattermost (chat) en Keyrock (security) vereisen complexe installatie en voortdurende onderhoud. Implementatie en jaarlijkse onderhoudskosten kunnen oplopen tot miljoenen euro’s. Bovendien vereisen deze oplossingen gespecialiseerde kennis en personeel voor beheer en beveiliging, wat een extra belasting vormt in een toch al krappe arbeidsmarkt. Een ander belangrijk aspect is de beveiliging en naleving van regelgeving. Cloudproviders, zoals Microsoft, bieden geavanceerde beveiligingsfuncties, zoals multi-factor authenticatie, encryptie en real time anomaliedetectie en zelfs Data Governance en Identity Planes over organisaties heen. Deze functies zijn geïntegreerd in hun diensten en worden wereldwijd gebruikt door banken, defensie en politieorganisaties onder lokale wet- en regelgeving. Het ontwikkelen en onderhouden van vergelijkbare beveiligingsniveaus in een open source omgeving vereist aanzienlijke extra kosten en inspanningen en gaat daarom meestal fout.
Er zijn verschillende voorbeelden van Europese overheden die hebben geprobeerd over te stappen op open source oplossingen, maar uiteindelijk zijn teruggekeerd naar commerciële producten vanwege diverse problemen. (compatibiteit, technische problemen, complexe beveiligingskwesties, slechte ondersteuning, operationele inefficiënties, beperkte toegang tot geavanceerde technologieën, softwarecompatibiliteitsproblemen, hogere kosten ….) Een gebalanceerde, hybride aanpak, waarin de Nederlandse overheid samenwerkt met bestaande cloudproviders en tegelijkertijd investeert in lokale technologieontwikkeling, kan een meer haalbare oplossing zijn. Door strategische samenwerkingen en investeringen in Europese cloudinitiatieven, zoals GAIA-X, kan Nederland wel werken aan het verminderen van de afhankelijkheid van Amerikaanse technologieën en het versterken van de digitale soevereiniteit en dat gebeurt allang. Daar heb je geen emotionele Kamervragen voor nodig.
Wat een bijzondere reactie. Als ik niet beter zou weten dan zou ik denken dat Vincent bij Microsoft in dienst is en daarom als afleidingsmanoeuvre aan open source bashing doet. Een aanzienlijk deel van de reactie bestaat uit de verspreiding van wat we ruim 20 jaar geleden FUD noemden: Fear, Uncertainty and Doubt. En ook onnodig, want er wordt helemaal geen voorstel gedaan om open source email en chat in te gaan zetten. Het voorstel van GL/PvdA en NSC noemt de term “open source” slechts 1 keer in het hele document. En ik citeer die zin : “Allereerst moet in kaart worden gebracht wat het Nederlandse, Europese of open source aanbod momenteel is, welke beperkingen in kwaliteit, betrouwbaarheid of beschikbaarheid deze clouddiensten nog hebben, hoe deze beperkingen verholpen zouden kunnen worden, en welke verdere belemmeringen er zijn om deze diensten door te laten groeien in schaal en volwassenheid. ”
Juist afgelopen maand kwam in de VS naar buiten dat Microsoft bewust beveiligingslekken in stand heeft gehouden waar Chinese staatshackers vervolgens toegang hebben gekregen tot oa de mails van overheidsfunctionarissen. Dus klaarblijkelijk is die cloud helemaal niet zo veilig. En juist in de VS zijn ze daarom nu ook tot het besef gekomen dat de afhankelijkheid van Microsoft helemaal niet zo verstandig is: “It’s time to break the chokehold of big tech companies like Microsoft on government software, set high cybersecurity standards and reap the many benefits of a competitive market”, aldus senator Ron Wyden die met wetgeving komt om die afhan kelijkheid terug te dringen.