De discussie over DigiD en Solvinity laat zien hoe kwetsbaar de digitale infrastructuur van de overheid is. Toch gaat het publieke debat vooral over eigenaarschap en geopolitiek, dat is begrijpelijk, maar dat is niet de essentie. De overname maakte pijnlijk zichtbaar dat we niet scherp onderscheiden welke digitale systemen werkelijk cruciaal zijn. Te vaak behandelen we digitale kernvoorzieningen als reguliere ICT-diensten.
Maak digitale soevereiniteit concreet met ICIA
De overname van Solvinity door het Amerikaanse Kyndryl heeft de gemoederen in Den Haag flink opgeschud. We discussiëren over geopolitiek en de Amerikaanse CLOUD Act, maar we missen de kern. Het werkelijke probleem is dat de overheid op geen enkel niveau (van Rijk tot gemeente) weet hoe cruciaal haar afzonderlijke applicaties zijn voor de uitvoering van haar publieke taken.
We managen op bits en bytes, maar negeren de bestuurlijke impact. Of het nu gaat om de zorg, het onderwijs, vergunningen of uitkeringen: we tasten in het duister over de werkelijke afhankelijkheid. Het is tijd dat elke overheidsapplicatie een verplichte rating krijgt, zodat bestuurders de impact op hun organisatie kunnen benoemen en hierop kunnen sturen.
We managen op bits en bytes, maar negeren de bestuurlijke impact
De echte vraag is: waarom hanteren we geen systematische risicoclassificatie voor onze overheidsapplicaties? Zolang we dat onderscheid niet expliciet maken, blijven we reageren op incidenten in plaats van structureel sturen.
ICT is geen ondersteuning meer
In veel overheidsorganisaties wordt ICT nog steeds behandeld als een ondersteunende faciliteit, vergelijkbaar met catering of schoonmaak. We sturen op kosten, op Service Level Agreements en op technische beveiliging. Maar we vragen zelden wat er bestuurlijk gebeurt als zo'n systeem uitvalt of onder externe invloed komt te staan.
In de praktijk zijn veel applicaties allang geen ondersteuning meer, maar het primaire proces zelf. Uitkeringssystemen, belastingapplicaties, vergunningverlening en identiteitsmanagement: als deze systemen stagneren, stagneert de dienstverlening aan burgers. Toch worden ze vaak op vergelijkbare wijze aanbesteed en uitbesteed als minder kritieke applicaties. Dat leidt tot standaardcontracten waar juist maatwerk in governance nodig is. Commerciële afwegingen kunnen dan botsen met wat bestuurlijk noodzakelijk is.
De bestaande methode: de CIA-triade
Security experts werken we al decennia met de zogeheten CIA-triade. Dit model vormt de basis van vrijwel iedere risicoanalyse en wordt gebruikt bij het ontwerp en beheer van informatiesystemen. CIA staat voor:
- Confidentiality (Vertrouwelijkheid) - Wie mag toegang hebben tot de informatie?
- Integrity (Integriteit) - Is de informatie juist, volledig en betrouwbaar
- Availability (Beschikbaarheid) - Is het systeem beschikbaar wanneer het nodig is?
Met deze drie dimensies wordt bepaald hoe een systeem moet worden ingericht: hoe streng de toegangscontrole, hoe zwaar de beveiligingsmaatregelen en hoe robuust de beschikbaarheidseisen.
De CIA-triade helpt organisaties om technische risico's systematisch te beoordelen en passende maatregelen te treffen. Ze richt zich primair op de technische kwaliteit van informatie en systemen. Maar daarmee is nog niet gezegd hoe belangrijk een systeem is voor het functioneren van de organisatie als geheel.
De toevoeging van Importancy (Belang)
De CIA-triade geeft inzicht in de technische kwaliteit en risico's van een systeem. Wat ze niet expliciet maakt, is de bestuurlijke betekenis. Daarom voegen we een vierde dimensie toe: Importancy. Deze gaat niet over techniek, maar over het belang voor de organisatie: hoe cruciaal is een systeem voor het functioneren? Die vraag dwingt bestuurders na te denken over:
- Hoe essentieel is dit systeem voor onze wettelijke taken?
- Wat gebeurt er als dit systeem langere tijd uitvalt?
- Hebben we alternatieven, of zijn we afhankelijk van één leverancier?
Samen vormen deze vier dimensies het ICIA-model: Importancy, Confidentiality, Integrity en Availability. Door systemen in deze vier dimensies te kwalificeren, bijvoorbeeld op een schaal van 1 tot 5, ontstaat een ICIA-profiel. Dat profiel maakt zichtbaar welke applicaties ondersteunend zijn en welke feitelijk kerninfrastructuur vormen.
ICIA is geen extra beveiligingslaag, maar een bestuurlijk hulpmiddel
ICIA is daarmee geen extra beveiligingslaag, maar een bestuurlijk hulpmiddel. Het helpt om architectuurkeuzes, sourcingbeslissingen en governance in lijn te brengen met het werkelijke gewicht van een systeem binnen de organisatie.
De Solvinity-casus: DigiD als 5.5.5.5-voorziening
Als we het ICIA-model toepassen op DigiD, ontstaat een helder profiel:
- Importancy (5): DigiD is de toegangspoort tot vrijwel alle digitale publieke dienstverlening.
- Confidentiality (5): Het systeem verwerkt identiteitsgegevens van miljoenen burgers. Onbevoegde toegang raakt direct aan fundamentele rechten.
- Integrity (5): De betrouwbaarheid van de digitale identiteit is de basis onder besluiten over zorg, inkomen, belastingen en vergunningen.
- Availability (5): Zelfs korte verstoringen hebben directe maatschappelijke impact.
DigiD kwalificeert daarmee als een 5.5.5.5-voorziening: maximale score voor alle vier dimensies.
Een systeem met deze classificatie is geen reguliere ICT-dienst, maar een fundamentele voorziening. Formeel eigenaar zijn is niet genoeg, de overheid moet ook feitelijk de regie hebben: kunnen ingrijpen als het nodig is, voorkomen dat buitenlandse wetgeving (zoals de CLOUD Act) voorrang krijgt, en zeggenschap houden over wie het systeem beheert of overneemt.
Sommige digitale systemen zijn inmiddels onmisbaar voor de uitvoering van publieke taken
Bij een 5.5.5.5-voorziening hoort een andere benadering dan bij een ondersteunende applicatie. Niet vanuit wantrouwen, .maar vanuit het besef dat sommige digitale systemen inmiddels onmisbaar zijn voor de uitvoering van publieke taken.
Van classificatie naar beleid
De ICIA-classificatie is niet enkel een administratieve exercitie, het is de basis voor alles wat je moet regelen: beveiliging, beschikbaarheid, functioneel en technisch beheer, wie er toegang heeft, hoe je controleert etc. Kortom, de hele inrichting rondom een systeem.
Enterprise architecten (zij ontwerpen en bewaken hoe ICT, processen en organisatie samenhangen) spelen hier een cruciale rol. Zij stellen vooraf vast welke eisen voor welke classificatie gelden zoals: wat betekent een Importantie van 5 voor redundantie en uitwijkmogelijkheden? welke beveiligingseisen horen bij een Confidentiality van 4? hoe robuust moet de infrastructuur zijn bij een Availability van 5?
Wanneer een applicatie vervolgens een ICIA-score krijgt - bijvoorbeeld 5.4.3.4 - is meteen duidelijk welke architectuureisen gelden. Die eisen bepalen vervolgens hoe inkoop moet selecteren (niet alleen op prijs, maar ook op basis van architectuureisen), en hoe beheer moet worden ingericht.
Een systeem met een lage Importantie én lage scores op de andere dimensies kan als standaarddienst worden afgenomen. Volledige uitbesteding en marktwerking zijn dan logische keuzes. Maar zodra één van de dimensies hoog scoort, veranderen de randvoorwaarden.
Bij een classificatie van 4 of 5 op één of meer dimensies moeten expliciet worden beantwoord:
- Waar ligt de feitelijke regie?
- Wie heeft operationele controle over infrastructuur en data?
- Welke juridische kaders zijn van toepassing?
- Is architectonische uitwijk of vervangbaarheid realistisch?
- Is voldoende kennis in eigen huis aanwezig om zelfstandig te kunnen handelen?
Dat geldt niet alleen voor DigiD. Ook generieke voorzieningen zoals e-mailomgevingen, bijvoorbeeld Microsoft Exchange, of centrale documentopslag in de cloud lijken technisch standaarddiensten. Maar wanneer ze het communicatieve of administratieve hart van een organisatie vormen, stijgt hun Importantie aanzienlijk.
Digitale soevereiniteit krijgt pas echt betekenis door ICIA: door te weten wat cruciaal is en daar grip op te houden
Zonder ICIA-analyse worden dit soort keuzes impliciet gemaakt. Met ICIA worden ze expliciet, en daarmee bestuurbaar. Architectuur wordt dan geen technisch schema, maar een instrument om afhankelijkheden en risico's zichtbaar te maken.
Van incident naar structurele sturing
De discussie rond DigiD en Solvinity laat zien dat incidenten vaak voortkomen doordat we vooraf niet hebben vastgesteld hoe cruciaal een systeem is. Veel applicaties zijn in het verleden aangeschaft zonder expliciete ICIA-classificatie. Deze achterstand verdwijnt niet vanzelf.
Een structurele aanpak vraagt om:
- Geef bestaande cruciale systemen een ICIA-score. Start met systemen voor wettelijke taken en generieke voorzieningen zoals e-mail en identiteitsbeheer.
- Maak beleid: architecten, security-officers en beheerders bepalen gezamenlijk welke eisen per classificatie gelden. Voor systemen met hoge scores ligt de regie op bestuurlijk niveau, niet als ICT-detail, maar als strategische verantwoordelijkheid.
- Voer de inhaalslag uit: start projecten om bestaande applicaties in lijn te brengen met hun ICIA-score en de vastgestelde eisen.
Dit is geen pleidooi om alles zelf te doen of minder uit te besteden. Het gaat erom dat je van elk systeem weet hoe cruciaal het is, en dat je daarop de hele inrichting afstemt: wie heeft toegang, hoe robuust moet het zijn, hoe controleer je het, hoe is het juridisch geborgd. Niet achteraf repareren, maar vooraf regelen.
Digitale soevereiniteit krijgt pas echt betekenis door ICIA: door te weten wat cruciaal is en daar grip op te houden.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.