Met het nieuwe ‘Open, tenzij’-beleid streeft de overheid een flink aantal doelen na, zoals minder verspilling, meer innovatie, economische bedrijvigheid, transparantie en informatieveiligheid. Leveranciersonafhankelijkheid wordt in de beleidsbrief van 17 april 2020 niet genoemd. Maar rusten al deze doelen en waarden niet ook op de onafhankelijkheid van overheidsorganisaties?
Toen de motie-Vendrik op 20 november 2002 met unanieme stemmen werd aangenomen in de Kamer, lag de nadruk daarin op het verwerven van leveranciersonafhankelijkheid. Vanuit de constatering dat de softwaremarkt aan de aanbodzijde sterk is geconcentreerd en veranderen van leverancier hoge exit-kosten met zich meebrengt, verzocht de Kamer de regering om open source software actief te stimuleren en hiervoor concrete en ambitieuze doelstellingen te formuleren. Pas vijf jaar later werd hieraan concreet invulling gegeven met het actieplan Nederland Open in Verbinding. Via verschillende juridische wegen werd het voor departementen, baten-lastendiensten, waterschappen, provincies en gemeenten vereist om een implementatiestrategie te hebben en daarvoor verantwoording af te leggen om zo het strategische doel van leveranciersonafhankelijkheid te bereiken. Deze doelstelling was bij het einde van het actieprogramma in 2011 niet bereikt en wat volgde was een klein decennium van stilte. De doelstelling is echter niet minder relevant of actueel. Ook de eisen van toen zijn vandaag niet minder bindend, maar wel vergeten. En, zoals alle regels, ze zijn alleen effectief als ze gekend zijn.
De nieuwe doelen en motieven voor ‘Open, tenzij’
De nieuwe Open, tenzij-beleidslijn zet in op een aantal andere doelstellingen, zoals minder verspilling, meer innovatie en meer economische bedrijvigheid. De enorme snelheid waarmee vandaag een idee in een concrete toepassing kan worden gegoten, kan alleen bij de gratie van de brede beschikbaarheid van open source componenten. Of het nu gaat om databases, frontend frameworks of modules, de mogelijkheid om in relatief korte tijd een complete toepassing te realiseren zou voor slechts een fractie van de ontwikkelaars open staan, zonder open source software. De investeringen in tijd en geld zouden anders simpelweg te hoog zijn. In de praktijk zien we dan ook dat een groot en steeds groter deel van de commerciële software open source componenten bevat. Volgens een jaarlijkse audit van inmiddels meer dan 1200 commerciële softwarepakketten bevatte 99% open source componenten en gemiddeld 70% van de code bestond uit open source software. Ook commerciële software is inmiddels in de praktijk voor het grootste deel open source software. En starten als bedrijf zonder een basis of aanvulling in open source software is nauwelijks meer reëel; met open source software kan een startend bedrijf meeliften op miljoenen regels code die zich al in de praktijk hebben bewezen.
Ook noemt de Kamerbrief een aantal waarden als motief, zoals transparantie en (rekenschap over bijvoorbeeld) informatieveiligheid. Naarmate we beslissingen meer en vaak volledig delegeren aan software, is die software ook meer bepalend voor het maatschappelijk resultaat. Het bewustzijn daarvan wordt steeds groter. Software krijgt steeds meer een publiek karakter. Dit geldt zeker voor software waarmee we individuele administratieve besluiten nemen, maar steeds vaker ook voor software die op basis van statistiek conclusies trekt, zoals systemen die gebruikmaken van big data en kunstmatig intelligente systemen. Als software bepaalt of en wanneer het stoplicht op groen staat voor colonnes van vrachtwagens, dan ligt er een publieke waardeafweging besloten in de software. Vinden we dat wenselijk, vanwege het milieu, of juist onrechtvaardig omdat de zelfstandige vrije rijder niet in een colonne rijdt en geen groene golf krijgt? En aan de software bij individuele beslissingen kunnen we zien hoe de wet in de praktijk wordt uitgevoerd. Niemand zou een land open en vrij noemen, wanneer de wet niet gekend kan worden. Naarmate meer beslissingen gedelegeerd worden aan software geldt dat ook voor overheidssoftware. Echter, alleen een overheid die zelf het recht heeft om te begrijpen hoe de software werkt waarmee ze haar beslissingen neemt, kan transparantie bieden en rekenschap afleggen over zijn eigen gedigitaliseerde werkprocessen.
Wat maakt de inkoop van software nu zo bijzonder?
We hebben de neiging te denken over open source software als ‘een soort software’. Dat blijkt ook uit formuleringen als “open source software moet gelijke kansen krijgen” of “open source software verdient de voorkeur bij gelijke geschiktheid”. Maar maken vrije en open source licenties eigenlijk niet vooral zichtbaar, dat het over meer gaat dan alleen functionaliteit en de geschiktheid? Het gaat ook over de controle die je als organisatie heb en het vermogen om eigen keuzes te kunnen (blijven) maken.
Die onafhankelijkheid vinden we allemaal vanzelfsprekend. Overheden dienen evident niet onder private controle te staan. Daarom zijn het publieke organisaties. En dat een organisatie ook dingen moet inkopen en daardoor in zekere zin ook afhankelijk is van anderen is net zo evident. Dat hoeft elkaar niet te bijten. Bij de inkoop van potloden is dat heel duidelijk. Er kan een groot kennisverschil zijn tussen de producent van potloden en de koper daarvan, maar niet op het – in dit geval – enige relevante terrein: het gebruik van dat potlood. Een potlood kan een overheid volledig zelfstandig gebruiken. De relatie met de potlodenleverancier is mede daarom van weinig importantie. En wie ook een puntenslijper aanbesteedt, kan dat potlood desgewenst ook zelfstandig onderhouden. En mocht er een probleem zijn, dan is er altijd wel een andere potlodenaanbieder die het huidige ambtelijke potlood kan vervangen. En dit kan zonder dat daarbij het primaire proces van die overheid verstoord wordt, hoezeer dat ook rust op de beschikbaarheid van potloden. Zo niet bij software.
Het eigendom van software, en daarmee de controle daarover, kunnen we opdelen. Dat ligt in de aard van de techniek. En dat is precies wat licenties doen. Traditioneel gaf een commerciële softwarelicentie je het gebruiksrecht op software. Ooit dachten we dat dit het meest beperkte recht was. Dat je die software dan zelf kon uitvoeren en onbeperkt gebruiken leek evident. Dat was geen recht op zichzelf. Het kon niet anders. De komst van de cloud heeft laten zien dat ‘t wel anders kan. Nieuwe techniek geeft aanleiding tot nieuwe rechten. De cloud maakte het mogelijk het gebruikersrecht ook zonder deze mogelijkheden voor gebruikers beschikbaar te stellen. Opeens werd dit zichtbaar. En het is logisch dat aanbieders daarop kapitaliseren. Zo ontstonden nieuwe licentievormen met nog beperktere rechten. Wie gebruikmaakt van software online, heeft pas werkelijk alleen het gebruiksrecht.
Andersom maakte de publieke software licentie (GPL) expliciet dat je ook het recht kunt verkrijgen om de software te mogen begrijpen, wijzigen en gewijzigd verspreiden en schiep het daarnaast een geheel nieuwe mogelijkheid: de mogelijkheid om dat ook zo te houden. De verdeling van die (deel)rechten bepaalt wat mogelijk is en onmogelijk. En ook bepalen die rechten wat makkelijk is of juist omslachtig. Zo is het alleen voor een overheid die het recht heeft om de software te begrijpen mogelijk om zelfstandig de keuze te maken om technische transparantie bieden. Dat is ook zo voor een overheid die de software volledig in eigen bezit heeft. Echter alleen een overheid die zijn software heeft gepubliceerd onder een vrije en open source licentie kan heel makkelijk en zonder papieren afspraken samenwerken met andere overheden en aanbieders, omdat zij allemaal de beschikking hebben over de software en de mogelijkheid om de software te gebruiken, begrijpen en wijzigen. Net zoals de techniek mogelijkheden en onmogelijkheden schept die we functionaliteit noemen, scheppen de eigendomsregels die ook. En die mogelijkheden en onmogelijkheden hangen direct samen met wat je als overheid kunt en kunt leveren in termen van dienstverlening, samenwerking, transparantie en meer.
Wat leert ons dat nu over de inkoop van software?
We kunnen hieruit een aantal dingen leren over het inkopen van ICT. Ten eerste dat gunningscriteria bij een aanbesteding niet alleen zouden moeten gaan over functionaliteit, maar ook over de rechten die je als overheid verkrijgt. Software is anders dan een potlood, mede omdat het niet evident is welke rechten het meest geschikt zijn in het licht van je doelstellingen als overheidsorganisatie. Wanneer ik als overheid meen dat ik volledig inzicht moet kunnen bieden in mijn besluitvormingsproces – als rechtsstatelijk ideaal of om het risico af te dekken dat de rechter het beveelt en mijn organisatie niet klaar is – dan moet ik daar rekening mee houden bij de inkoop. Als het recht om de software te begrijpen onder private controle staat, omdat ik alleen een gebruiksrecht heb, dan voldoet het middel niet, hoe functioneel het verder ook is.
Ten tweede dat volledig eigendom, zoals dat nu de standaard is in de inkoopvoorwaarden, niet per se de meest wenselijke optie is. Wanneer ik er als overheid naar streef om een brede groep van bedrijven te organiseren rond de software die ik gebruik, die eventueel ook onderling makkelijk kunnen samenwerken rond die software, dan zou het wel eens veel effectiever kunnen zijn om die software direct vrij beschikbaar te maken.
Ten derde dat open standaarden en open source software elkaar aanvullen als het gaat om het verwerven van onafhankelijkheid als overheidsorganisatie. Er zijn situaties denkbaar waarin open standaarden voldoende zijn om leveranciersonafhankelijkheid te verwerven. Wanneer er geen belang is bij inzicht in de code, wanneer het niet relevant is om praktisch te kunnen garanderen dat de software veilig is of om daarover verantwoording af te leggen, dan kan bij een goed gestandaardiseerd product een gebruiksrecht voldoende zijn. Dan hoeft dat niet te leiden tot private controle. Al is het goed om te bedenken dat er zelfs dan sprake kan zijn van een zodanige technische verwevenheid, dat er toch sprake is van afhankelijkheid. Vergelijk het met een Kindersurprise. Je kunt het speelgoedje in het chocolade-ei in theorie vervangen, onafhankelijk van het chocolade-ei. Dit is compatibiliteit zoals we dat meestal begrijpen. Echter, door de feitelijke verwevenheid zul je in de praktijk ook het chocolade-ei moeten vervangen. Veel vaker dan niet zijn open standaarden alleen niet voldoende om in controle te zijn als organisatie.
Alle idealen rusten uiteindelijk ook op leveranciersonafhankelijkheid
Uiteindelijk, denk ik, rusten alle doelstellingen of dit nu transparantie is, innovatie, informatieveiligheid, een gezonde marktwerking of bedrijvigheid ook op leveranciersonafhankelijkheid. Op je vermogen als overheidsorganisatie om je ICT zo te organiseren dat je keuzes in praktische zin niet onder private controle staan. De rechten die vrije en open source software biedt, scheppen in elk geval die mogelijkheid. Soms zul je niet al die rechten nodig hebben en is het gerechtvaardigd om een afweging te maken tussen controle en functionaliteit. Soms zul je merken dat wanneer rechten een gunningscriterium zijn, deze minder in steen zijn gehouwen dan nu soms lijkt. Tegelijk is ook dit nog onvoldoende om je onafhankelijkheid als organisatie zeker te stellen. Rechten scheppen alleen een mogelijkheid, nog geen zekerheid.
Strategisch inkopen is denken in overdraagbare taken
Een situatie waarin je kunt wisselen van dienstenleverancier rond software, zoals je wisselt van leveranciers van potloden, vraagt om de juiste voorwaarden, maar ook om organisatie. Het zeker stellen van je onafhankelijkheid als overheidsorganisatie vereist – denk ik – om continu te denken in overdraagbare taken bij je inkoopbeleid. We zien dat een gebrek aan strategische visie bij het bestedingsbeleid heel makkelijk kan leiden tot allerlei zelfversterkende mechanismen die leiden tot afhankelijkheid van aanbieders. Want net zoals ICT niet slechts een kwestie van uitvoering is, maar in hoge mate bepaalt hoe de wet in de praktijk vorm krijgt, geldt dat ook voor de aanbesteding van ICT. Hoe je inkoopt bepaalt in belangrijke mate hoe onafhankelijk je weet te blijven als overheidsorganisatie.
Misschien moet het dus niet gaan om een voorkeur voor open source software bij gelijke geschiktheid of om het teruggeven aan de samenleving wat met publiek geld is ontwikkeld, maar eerst en ten minste om te zorgen dat publieke organisaties volledig onder publieke controle kunnen staan. Dat is een voorwaarde voor elke andere ambitie, want alleen dan kun je daarover onafhankelijk een keuze maken.
Arjan Widlak is directeur van de stichting Kafka Brigade
‘Over de drempel’
‘Over de drempel’ is een project van iBestuur, stichting Kafkabrigade en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Doel: het stimuleren van de beeldvorming over de inzet van open source en de mogelijkheden tot flexibilisering van de aanbesteding van software.
