De” tenzij” waar niemand over lijkt te praten

De "tenzij" in de beleidsregel bestaat niet voor niets. Hij is bedoeld als ruimte voor een serieuze afweging. In de praktijk lijkt hij regelmatig een beleidsregel die voetstoots doorgevoerd wordt. Open source kiezen is politiek veilig. Je hebt de regels gevolgd, je kunt er later op worden afgerekend als het misgaat maar niemand verwijt je de intentie. Dat is geen beleid maken. Dat is risicomijding op kosten van de organisatie.

Open source is niet gratis

De meest hardnekkige misvatting is dat open source software gratis is. De licentiekosten verdwijnen inderdaad. Maar beheer, ondersteuning, doorontwikkeling en beveiligingsupdates kosten gewoon geld, alleen nu zonder gegarandeerde SLA en veelal zonder aanspreekbare leverancier. Wie betaalt dat? Wie wordt gebeld als het systeem om drie uur 's nachts uitvalt?

Bij proprietary software is het antwoord duidelijk. Bij open source is het antwoord vaak: een partner, iemand die deze fork ondersteund, of erger: de eigen IT-afdeling die al onder hoogspanning staat.

Wat we achterlaten telt ook mee

Een beslissing om over te stappen op open source wordt te vaak beoordeeld op de kosten van de nieuwe oplossing. Zelden op de kosten van de totale overstap. Implementatiekosten die al gemaakt zijn, processen die werken, medewerkers die zijn getraind, integraties met andere applicaties en systemen die zijn gebouwd: al die investeringen verdwijnen niet van de balans omdat er een nieuwe beleidsregel geldt. Ze worden afgeschreven, soms in een keer, en die rekening betaalt de belastingbetaler.

De vraag die bij elke afweging zou moeten worden gesteld is niet: "wat kost de nieuwe oplossing?" maar: "wat kost de totale overstap, inclusief wat we achterlaten, en wat levert die overstap dan concreet op?"

Open source heeft zijn eigen lock-in

De aanname dat open source per definitie vrijheid biedt is ook niet altijd juist. Veel open source projecten worden in de praktijk gedomineerd door één bedrijf of één kleine community. Als die community afhaakt, het project forkt of de financiering wegvalt, zit een overheidsorganisatie met code die niemand meer actief onderhoudt. Dat is een andere vorm van afhankelijkheid, maar niet minder reëel dan vendor lock-in bij een commerciële partij.

Daar komt bij dat niet alle open source licenties gelijk zijn. GPL, AGPL, MIT, Apache, EUPL: ze stellen heel andere eisen aan gebruik, aanpassing en verspreiding. Veel inkoop-afdelingen behandelen "open source" als één categorie. Dat is juridisch onjuist en kan organisaties voor verrassingen plaatsen.

Veiligheid is geen vrijbrief

Open source wordt regelmatig aangevoerd als veiliger, omdat de code inzichtelijk is en kwetsbaarheden sneller worden gevonden. Dat klopt deels, maar het is ook een argument met een keerzijde: open code is leesbaar voor iedereen, inclusief kwaadwillenden. Log4Shell en Heartbleed waren kwetsbaarheden in veelgebruikte open source bibliotheken, jarenlang onopgemerkt door precies de gemeenschappen die ze zouden moeten bewaken. Transparantie helpt alleen als er ook daadwerkelijk iemand meekijkt en handelt.

Een pleidooi voor eerlijk afwegen

Dit is geen pleidooi tegen open source. Het is een pleidooi voor een eerlijkere toepassing van een regel die meer vraagt dan hij op het eerste gezicht lijkt te vragen.

De "tenzij" verdient serieuze aandacht. Stel bij elk besluit de vragen die er werkelijk toe doen: wat zijn de reële totale kosten over een periode van vijf jaar? Wie draagt de verantwoordelijkheid bij uitval of een beveiligingsincident? Wat laten we achter als we overstappen, en weegt dat op tegen wat we winnen?

Pas dan is "open source, tenzij" een beleidsregel. Nu lijkt het te vaak op een vrijbrief.