Hand in eigen boezem ontbreekt

Jeroen Sprenger

door: Jeroen Sprenger, 18 mei 2017

‘Wannacry’ heeft in het weekend van 13-14 mei wereldwijd vele computersystemen in gijzeling genomen. De Nederlandse overheid lijkt de dans te zijn ontsprongen. Het rapport ‘Maak waar!’ maakt duidelijk dat dit niet vanzelfsprekend is.

Belangrijker is of uitvoering van de aanbevelingen ervan het rijk goed beschermt tegen toekomstige cyber-aanvallen. In de Studiegroep Informatiesamenleving en Overheid is de top van de ambtenarij en van de ICT-verantwoordelijken, aangevuld met externe deskundigen, bij elkaar gebracht. Met elkaar hebben zij zich gebogen over de rijksbrede ICT-problematiek. Hun analyses en bevindingen zijn kritisch. “Digitalisering is nog altijd in belangrijke mate een kwestie van afzonderlijke departementen, uitvoeringsorganisaties en gemeenten, die voornamelijk de eigen processen automatiseren. Dit bemoeilijkt de vaak zo noodzakelijke samenwerking van allerlei organisaties om maatschappelijke opgaven echt effectief aan te pakken. In plaats van een snelweg hebben we een doolhof gekregen.”

Met deze constatering wordt ook de zwakte van het rapport duidelijk. Veel leden van de Stuurgroep zijn al meer dan tien jaar betrokken bij de rijksbedrijfsvoering of de advisering daarover en bij de ICT-ontwikkeling ervan. Op verschillende momenten hebben ze er verantwoordelijkheid voor gedragen. Zijn dus ook medeverantwoordelijkheid voor het digitale doolhof. Moeten zij zich niet afvragen of ze wel degenen zijn die de weg uit het doolhof moeten wijzen?

Sinds Paars 2, minister Roger van Boxtel, wordt er op regeringsniveau beleidsmatig aan digitalisering van de (rijks)overheid gewerkt. De door hem ingestelde commissie-Docters van Leeuwen komt in 2001 met een groot aantal aanbevelingen. De strekking ervan is dat er niet langer óp ICT moet worden bezuinigd, maar dóór ICT. Het tweede kabinet-Balkende pakt de uitdaging aan, maar laat de uitvoering aan de individuele departementen en medeoverheden over. Aan samenwerking, aan van elkaar leren, wordt slechts lippendienst bewezen. Het desastreuze resultaat wordt zichtbaar in 2007 als het programma Vernieuwing Rijksdienst onder leiding van Roel Bekker van start gaat. Daarin zit wel een duidelijke oproep tot intensievere samenwerking. ‘De verkokering voorbij, het rijk als één concern’ is het parool. Maar de divergentie tussen de ICT-configuraties van de organisatorische eenheden van het rijk is te groot.


Het ‘gebrek aan doorzettingsmacht’ waarover BZK jarenlang klaagt, is daarom onwaarachtig.


Ook de nieuwe CIO voor het rijk krijgt de convergentie niet echt op gang. Zoals blijkt uit de typering ‘doolhof’ tien jaar later. De problematiek zit ook in de gespletenheid van BZK. De Rijks-CIO mag dan proberen een interdepartementale aanpak te bewerkstelligen, als het op uitvoering aan komt krijgt hij in eigen huis te horen dat BZK-kleine-pet, het facilitair bedrijf, er nog niet aan toe is, de bestaande voorzieningen nog niet zijn afgeschreven of dat er geen budget is gereserveerd. De BZK-top laat dit gedrag toe. Andere departementen staan door die houding niet te dringen interdepartementale voorzieningen wel in eigen huis toe te passen. Het ‘gebrek aan doorzettingsmacht’ waarover BZK jarenlang klaagt, is daarom onwaarachtig.

In het rapport wordt door de samenstellers bekwaam een deel van de problematiek aan factoren toegeschoven die ogenschijnlijk buiten hun competentie liggen. De overheid zou onvoldoende ICT-expertise in huis hebben. Tegenhangers uit het ICT-bedrijfsleven weten wel beter, de overheidscollega’s zijn aan die van hen gewaagd. Hun expertise komt echter in het woud van overheidsmanagers moeizaam tot ontplooiing. De legacy-problematiek waarmee de overheids-ICT heeft te kampen is de schuld van de leveranciers van de oude software. “Zeker bij complex maatwerk zijn publieke organisaties vaak met handen en voeten aan specifieke ICT-aanbieders gebonden, die er alle belang bij hebben om de bestaande systemen te handhaven. Veel publieke organisaties maken voor hun dienstverlening nog gebruik van deze moeilijk te onderhouden legacysystemen. Veel van deze systemen zijn ver na de verwachte levensduur nog steeds in gebruik, en zijn kwetsbaar, onveilig en brengen jaarlijks stijgende onderhoudskosten met zich mee.”

En sinds Wannacry weten we dat ook de veiligheid erdoor wordt ondermijnd. Maar is de legacy-problematiek niet veeleer een gevolg van het moeten bijhouden van bijvoorbeeld arbeidsverledens over periodes van tientallen jaren, bij verschillende organisaties, die met verschillende softwarepakketten zijn opgebouwd? En dat er nauwelijks ruimte in tijd en geld is geschapen voor het inlopen van achterstanden door oude content in te passen in een nieuwe omgeving? Dat valt de externe leveranciers niet te verwijten.

De Studiegroep refereert ook aan de kritiek op BZK en op de uitvoeringsorganisatie Logius. De voorgestelde aanpak suggereert impliciet wat er tot op heden aan zou hebben geschort. Er moet ‘eerst en vooral’ zeer fors worden geïnvesteerd in meer eigen deskundigheid en in een slagvaardiger sturing om alle belanghebbende publieke en private partijen erbij te kunnen betrekken. Een kwalitatieve en
kwantitatieve upgrade van in ieder geval de uitvoeringsorganisatie Logius is daarbij noodzakelijk. Is hiermee het lek boven water?


Dan volgt de loophole die al zo lang het ICT-beleid van de rijksoverheid heeft gefrustreerd


De problematiek van de doorzettingskracht wordt opgelost door de instelling van een Ministeriële Commissie Digitalisering onder voorzitterschap van de minister-president, waarvan het hart wordt gevormd door de bewindslieden van EZ, BZK en VenJ ‘vanuit hun systeemverantwoordelijkheid voor respectievelijk digitale economie, digitale overheid en digitale veiligheid.’ In deze constellatie wordt BZK primus inter pares. Het neemt bijvoorbeeld de rol van EZ in de digitale relatie met het bedrijfsleven over. “De minister van BZK is daarmee verantwoordelijk voor en stuurt op de inzet van de digitale basisinfrastructuur in de primaire processen van ministeries en andere publieke dienstverleners.”

Maar dan volgt de loophole die al zo lang het ICT-beleid van de rijksoverheid heeft gefrustreerd. “BZK is uitdrukkelijk niet politiek verantwoordelijk voor de ICT in de primaire processen van ministeries en andere publieke dienstverleners. Die verantwoordelijkheid blijft waar hij is (en hoort).” De kikkers mogen uit de kruiwagen blijven springen.

“Maak waar!” biedt verstandige analyses, aardige vergezichten, maar schiet schromelijk te kort in de voorgestelde aanpak. De leden van de Stuurgroep verzwijgen dat zij zelf verantwoordelijk zijn voor de ontstane situatie. En geven niet aan wat zij persoonlijk anders gaan doen om scepsis en cynisme bij de overheids-ICT-ers te overwinnen. Want hun inzet is onmisbaar om de ambities van het rapport waar te maken. En om bedreigingen als Wannacry de baas te kunnen blijven.

Jeroen Sprenger is oud-directeur Voorlichting Ministerie van Financiën (Foto: Quintin van der Blonk)

tags:

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.