door: Chris Verhoef | 29 december 2014
Hoe weet je of je een wrak IT-gebouw betreedt? Dat weet je net zo min als dat je weet of je een wrak huis betreedt. Gelukkig helpt het bouwbesluit om paal en perk te stellen. Zonder een bouwbesluit verzakken panden of storten ze zelfs in. Daarom bepleit ik een generieke aanpak rond het soort vraagstukken waarmee de commissie Elias zich heeft beziggehouden. Ik noem dat maar even het IT-bouwbesluit.
Tegen de stroom van minder regelgeving in adviseert de commissie Elias dat er wetgeving moet komen vanwege de problemen met omvallende IT-gebouwen. Onder andere een keuringsinstantie met simpele vuistregels om groot geblunder te verminderen.
Hoe weet je of je een wrak IT-gebouw betreedt? Dat weet je net zo min als dat je weet of je een wrak huis of ander regulier bouwwerk betreedt. Gelukkig helpt het bouwbesluit om aan dat laatste paal en perk te stellen. Zonder een bouwbesluit verzakken panden of storten ze zelfs in; we zien het in landen waar men nog niet zover is. Daarom bepleit ik een generieke aanpak rond het soort vraagstukken waarmee de commissie Elias zich heeft beziggehouden. Ik noem dat maar even het IT-bouwbesluit.
In een hoorzitting over problemen bij het online betalingsverkeer heb ik dit idee al eens kort ter sprake gebracht: generieke regels vervat in een IT-bouwbesluit waarin voorschriften staan die borgen dat in een ontwerp van een voorgenomen systeem de privacy, security, beschikbaarheid, betrouwbaarheid en andere vitale aspecten voldoende zijn uitgewerkt, alvorens je een bouwvergunning krijgt.
Daar waar kamerleden ‘privacy by design’ roepen, kan dan de daad bij het woord worden gevoegd. Voor privacy kun je van alles en nog wat bedenken aan generieks. Geen gevoelige data onversleuteld opslaan, geen data onversleuteld over netwerken, gebruik van goede encryptiealgoritmes. Maar ook: goed sleutelbeheer, zodat data niet voor eeuwig onleesbaar worden door encryptie.
Er kan nagedacht worden over de beschikbaarheid van de systemen. Online betalingsverkeer is vitaal voor onze economie en via allestoringen.nl leren we dat de Nederlandse banken de meest storingsgevoelige ter wereld zijn. Wie beschermt de consument die aan deze systemen is overgeleverd? Precies: niemand.
Of denk eens aan de betrouwbaarheid van systemen. Als je 1-1-2 belt en je wordt in de wacht gegooid – ‘blijft u aan de lijn’ – terwijl je vervolgens tegen een dode lijn blijkt te praten. Of je doet een aangifte die vervolgens in het niets verdwijnt. Of je gaat in op een baan via werk.nl en je nieuwe werkgever blijkt je te misbruiken als katvanger. We mogen echt wel eisen stellen aan de betrouwbaarheid van IT-systemen.
Of denk aan veiligheid. Je krijgt op dit moment een omgevingsvergunning zonder dat er naar de IT-kant van een bouwwerk wordt gekeken. Dat staat namelijk niet in de wet. Als je een procesfabriek of een stormvloedkering wilt bouwen, vraagt de betonmenger die de aanbesteding heeft gewonnen aan zijn elektricien of die de maatwerksoftware levert. En niemand die zich afvraagt of die dat wel kan.
Het bouwbesluit staat vol met ISO-normen. Dat kunnen we bij het IT-bouwbesluit ook. Er zijn er teveel om op te noemen. Ik noem er een: de IEEE 830. Die stelt eisen aan eisen. Heel handig als je wilt borgen dat er een maakbaar systeem van komt.
Kortom: er valt iets te zeggen voor een IT-bouwbesluit waarin belangrijke aspecteisen, ontwerpeisen en bouwvoorschriften beschreven worden.
Chris Verhoef is hoogleraar informatica aan de VU en wetenschappelijk adviseur voor overheid en bedrijfsleven.