‘Ik wil tegenspraak vanuit het ICT-vak’

Beeld: Lex Draijer/De Beeldredaktie

Grote ICT-projecten bij de overheid kosten vaak meer tijd en geld dan aanvankelijk geraamd, net als in het bedrijfsleven. “Dat is niet heel vreemd, want ICT is namelijk een jong vak. Het bestaat pas zeventig jaar.” CIO Rijk Lourens Visser zegt dit zonder enige ironie. De voormalig CIO van de Dienst Justitiële Inrichtingen (DJI) en het Havenbedrijf Rotterdam licht zijn uitspraak toe. “Kademuren zijn grote, ingewikkelde dingen, maar die bouwen we in Nederland al een paar honderd jaar. Die kunnen we parametrisch ontwerpen. Huizen bouwen doen we al duizenden jaren. Landbouw – zo oud als de mensheid – is ongelofelijk doorontwikkeld en ondertussen enorm data-gedreven geworden. Vergelijk dat alles eens met ICT, dat pas na de Tweede Wereldoorlog een vlucht heeft genomen. Het vak werd gestuurd vanuit ontwikkelingen bij defensie. Applicaties uit de jaren zeventig kwamen uit de financiële hoek, het telraam werd vervangen door een rekenmachine en toen door een computer. En nu doen we hele stelselwijzigingen bij de Belastingdienst of automatiseren we de ingewikkelde uitkeringsprocessen van het UWV. Dat zijn meerjarenprogramma’s van honderden miljoenen euro’s.”

Noord-Zuidlijn

Pratend over de voorspelbaarheid van dergelijke grote projecten, mag Visser graag een metafoor lenen van de CIO van het UWV. “Aart van der Vlist vergelijkt grote ICT-projecten weleens met het aanleggen van de Noord-Zuidlijn in Amsterdam. Met alle kennis en kunde die er op dat moment is, gaan vakmensen een tunnel boren onder Amsterdam. Tijdens het boren komen ze van alles tegen, zoals zeventiende-eeuwse huizen die opeens verzakken. Dat is een probleem dat men niet had kunnen voorspellen.” De overheid wil uiteraard een betere voorspelbaarheid rondom grote ICT-projecten en ze wordt ook beter in berekenen, maar het blijf ingewikkeld, zegt Visser. “Bij grote projecten praten we over verschillende systemen, netwerken, leveranciers en softwareproducten die moeten samenwerken en een bepaalde prestatie moeten leveren. Het moet functioneren met een workload van duizenden en soms tienduizenden mensen tegelijk. Daarbij wordt de wetgeving fijnmaziger, terwijl de systemen die deze wetswijzigingen moeten faciliteren, verouderen.”

Het toekomstbestendig maken van het ICT-landschap staat bij deze CIO Rijk dan ook bovenaan zijn lijst van speerpunten. “Preventief onderhoud is keihard noodzakelijk om de zaak in de lucht te houden. Als overheid zijn wij een informatiegedreven organisatie. We zijn een dossierfabriek; dossiers en bestanden voeden onze processen. Daarvoor hebben we systemen nodig die goed blijven draaien, maar ook verantwoord en beheerst kunnen worden vervangen en aangepast.”

Citrix

Dat digitale weerbaarheid dan een belangrijke voorwaarde is, werd afgelopen januari pijnlijk geïllustreerd door de perikelen rondom het Citrix-lek. De CIO Rijk was die dagen vooral bezig met het in kaart brengen van de problemen en de mogelijke oplossingen; die verschilden per Citrix-versie. Kennis zat op meerdere plekken in Nederland en Vissers dagen werden gekenmerkt door conferencecalls met collega-CIO’s, CTO’s en IT-leveranciers. Op vrijdag 17 januari nam de dreiging toe en werd besloten om de Citrix-systemen uit te zetten. ”Dan moet je echt een goed verhaal hebben en op het juiste niveau”, stelt Visser. “Mijn doel was te zorgen dat ministers Knops (BZK) en Grapperhaus (JenV) een optimale informatiepositie hadden, zodat zij gezamenlijk besluiten konden nemen, naar buiten konden treden en met hun kennis de Tweede Kamer konden informeren. Natuurlijk heb ik de vraag gekregen of we in december niet al hadden moeten acteren, maar naast het feit dat de adviezen van het NCSC en de veiligheidsdiensten hierin leidend zijn, is het uitzetten van systemen een draconische maatregel. Stel dat het voor niks is, dan is het alsof de NS alle treinen stillegt bij code geel en het vervolgens niet eens gaat waaien.”

Risicomanagement

Het is Visser volkomen helder dat het onmogelijk is om alle kwetsbaarheden in de ICT te kennen en te voorkomen. Maar wat wel kan is goede modellen ontwikkelen voor risicomanagement. In het geval van informatievoorziening is dan de vraag wie baat hebben bij de data. “Dat kan een crimineel zijn, een hacker die het voor de lol doet, of een land met een offensief cyberprogramma. Bij het Havenbedrijf Rotterdam waren de kroonjuwelen bijvoorbeeld de businesscases: hoe ontwikkel je samen met Brazilië of Oman een haven? Dat is intellectueel eigendom en dat moet dus goed beveiligd worden. Een organisatie die weet welke data ze in huis heeft, kan tot op hoog niveau traceren wat relevante dossiers zijn. Hoe die dan beveiligd moeten worden, dat weet iedere organisatie zelf.” Vervolgens is het een kwestie van proactief handelen, maar wanneer?

Een risico benoemen kan al tot problemen leiden, omdat de politiek of de media of de burger dan gaan eisen dat het wordt opgelost

Voor een voorbeeld grijpt Visser terug op waterbeheer. “Wij kunnen in Nederland prima uitrekenen hoe hoog dijken moeten zijn, want dat doen we al eeuwen. Daar hebben we modellen voor. Zijn die dijken dan bestand tegen een storm die eens in de tienduizend jaar voorkomt? Dat kan volgende week gebeuren. Sterker nog, twee maanden later kan er weer zo’n storm razen. Statistisch gezien is de kans heel klein, maar het kan. Moeten we dan de dijken nog hoger bouwen? Of spreken we af wat een aanvaardbaar risico is?”

Risicodenken ligt lastig voor de overheid, weet Visser. “Een risico benoemen kan al tot problemen leiden, omdat de politiek of de media of de burger dan gaan eisen dat het wordt opgelost. Maar risico’s zijn er gewoon en ze laten zich niet altijd oplossen. Ze gaan ook niet weg wanneer we ze niet benoemen. Wat we wel kunnen doen is voor grote ICT-projecten de risico’s inzichtelijker maken. Maak een calculatie met aannames en risico’s. Het kan meevallen of tegenvallen, maar laat zien binnen welke bandbreedte de kosten kunnen vallen. Ja, het risico bestaat dat een project twee keer zo duur wordt als gepland. Dat vinden we niet fijn om horen, maar dan weten we het tenminste wel.”

Wedloop

Naast het streven naar een grotere digitale weerbaarheid, moet Nederland ook grenzen blijven opzoeken, vindt Visser. Tussen die twee doelen zit een spanning die hem intrigeert. “We willen ook een innovatieve overheid zijn. Neem kunstmatige intelligentie. Dat is enorm interessante technologie die niet is tegen te houden. Of gezichtsherkenning. Een verbod houdt die ontwikkeling misschien even tegen, maar niet voor altijd. Dit zijn dingen die gebeuren en als ze niet in het publieke domein worden ingezet, dan wel in het private.” Hij noemt het een wedloop tussen wat technologisch kan en wat mensen willen. “Welke sturing je daaraan zou moeten geven, dat vind ik heel interessant.”

Wat vindt hij dan van de ferme tik op de vingers die Nederland kreeg vanwege de ontwikkeling van fraudesysteem SyRI (Systeem Risico Indicatie)? Visser: “We willen dingen uitproberen en daarvoor moeten we bereid zijn om soms grenzen op te zoeken. En als we zo’n grens bereikt hebben, en de rechter zegt dat iets niet langer ethisch verantwoord is, dan moeten we daar niet bang voor zijn. Als je alles voor wilt zijn en veilig wilt houden, dan gaan andere landen mooie dingen doen die wij misschien missen. We bepalen als mensen samen waar de ethische grens ligt van wat we aan het doen zijn. Vanuit BZK zijn we ook bezig met publieke waarden en AI.”

Tegenspraak

Hoe denkt hij over het stopzetten van projecten? “Als het niet goed gaat, moet je dat doen, hoe moeilijk dat ook is. Het is menselijk om door te gaan; om te denken dat het wel goed komt, omdat je er bijna bent, omdat er al zoveel in is geïnvesteerd.” Hij noemt de nieuwe luchthaven van Berlijn en de opera van Hamburg als voorbeelden van uitstel en enorme budgetoverschrijding. Ingewikkelde structurele projecten, waar prestige een grote rol speelt – naast talloze andere belangen.

De CIO Rijk is een groot voorstander van het georganiseerde tegengeluid: kritische volgers van projecten, die verder geen belang hebben bij het falen of slagen ervan. Een vorm van kwaliteitscontrole, door ervaren mensen die risicoprofielen maken en analyseren en gevraagd en ongevraagd advies geven. “Alle neuzen dezelfde kant op lijkt heerlijk, totdat je allemaal in dezelfde tunnel staat waar geen eind aan komt… Ik zou graag tegenspraak organiseren op inhoud, politiek onafhankelijk, vanuit het vak van de ICT. Daar doen we onszelf uiteindelijk een plezier mee, want we worden er professioneel beter door.”

Coronacrisis

De Citrix-crisis is nog maar naar bezworen en dan krijg je ook als CIO Rijk ineens te maken met een alarmsituatie van ongekende omvang en moet je je rol pakken in de corona-crisis. Als onderdeel van het BZK-brede beleidsteam dat de rijksbrede coördinatie doet op het gebied van huisvesting, personeel, facilitaire diensten en ICT, zorgde Lourens Visser ervoor dat alle ICT-dienstverleners binnen het Rijk optimaal voorbereid waren op massaal thuiswerken door de medewerkers. Via conferencecalls met de CTO’s (directeuren van de ICT-bedrijven bij het Rijk) is de situatie in kaart gebracht. Daarbij gaat het om de technische aspecten: bijvoorbeeld de beschikbare bandbreedte bij de verschillende netwerkproviders, aantallen laptops, tablets en andere devices, en performance van de voorzieningen. Om organisatorische aspecten: zoals bezetting van service desks en aanwezigheid van ICT-personeel op kantoren. En om overige aandachtspunten zoals het goed communiceren richting medewerkers van de departementen en uitvoeringsorganisaties over mogelijke cyberaanvallen.

Dit artikel staat ook in iBestuur magazine 34