De andere IT van een ander Nederland

Onderstaande column is het vervolg op een artikel dat ik schreef in de eerste week van het Snowden/NSA schandaal in juni 2013. Waar dat artikel de concrete problemen beschreef beschrijf ik hieronder de andere keuzen de gemaakt hadden kunnen worden en nog steeds gemaakt worden en de voordelen voor Nederland en Europa ten opzicht van het huidige 'beleid'.

Ook gepubliceerd in het Engels op Consortium News en de Huffington Post

De afgelopen 10-15 jaar heeft de IT in Nederland zich niet ontwikkeld in lijn met publieke belangen en het garanderen van grondrechten van de burgers van Nederland. Ook zijn er enorme kansen op het gebied van economische ontwikkeling en werkgelegenheid gemist. Nederland besteedt veel IT uit aan buitenlandse partijen wat niet alleen tientallen miljarden Euro's (1-2% BNP) aan lokale economische groei/werkgelegenheid kost maar de samenleving ook de-facto uitlevert aan buitenlandse spionage op bestuurlijke instanties, bedrijfsleven en alle individuele burgers. Hoewel voor deze risico's al ruim 15 jaar werd gewaarschuwd is dit laatste aspect het afgelopen jaar door de onthullingen van Edward Snowden onweerlegbaar en zijn volle omvang aangetoond. 12 maanden later is er in Nederland geen spoor van een reactie op deze problematiek.

Het had ook anders gekund...

In de eerste 21 maanden van de 21ste eeuw barstte de dotcom bubbel en storten er drie wolkenkrabbers in elkaar in New York. Tussen deze twee gebeurtenissen in verscheen in de zomer van 2001 een grotendeels vergeten rapport aan het Europese Parlement dat de schaal en impact van elektronische spionage beschreef op Europa door de VS en haar 'Echelon' partners (Canada, het VK, Australië en Nieuw Zeeland). Naast een gedetailleerde probleem-analyse gaf het rapport ook concrete voorbeelden van beleidsmaatregelen op IT gebied die overheden konden nemen om buitenlandse inlichtingendiensten het bespioneren van Europa een stuk moeilijker te maken.

In dezelfde periode had de Amerikaanse overheid had een van de grootste anti-trust zaken in haar geschiedenis, tegen Microsoft, gewonnen en de EU was naar aanleiding van deze overwinning een vergelijkbare zaak gestart die ook tot een veroordeling en de hoogste boete in de geschiedenis van de EU zou leiden.

Het was tegen deze achtergrond dat het nadenken over de strategische versus operationele aspecten van IT in de publieke sector veranderde. Het rapport over Echelon maakte duidelijk dat het reduceren van IT tot een instrumentele zaak rampzalige consequenties had op de soevereiniteit van Europese staten te opzichte van, met name, de VS (en wellicht in de toekomst China, andere technisch capabele landen of niet-statelijke organisaties). Ook de economische gevolgen van industriële spionage tegen bedrijven werd een punt van zorg voor de overheid.

IT beleid van de overheid diende gebaseerd te worden op de principes van een democratische en soevereine staat. Dit hield niet alleen een heel ander beleid in op het gebied van selectie en inkoop van technologie maar ook van de balans tussen uitbesteden versus zelf uitvoeren en het vereisen van een hoge mate van transparantie van leveranciers. Open data-standaarden voor publieke informatie werden verplicht en op non-compliance stonden zware sancties (hoewel publieke ridiculisering vanaf 2009 meestal het effectiefste was). De nieuwe kaders voor publieke ICT leidde tot een nieuwe markt voor dienstverleners die oplossingen realiseerden op basis van z.g. 'Vrije Software' (eerder ook wel bekend als 'Open Source'). De hoge mate van transparantie zowel in projectvoering als in de techniek zelf hield alle partijen scherp en maakte hergebruik van systemen de norm. Bestedingen aan software daalde scherp en de budgetruimte die hierdoor vrijkwam werd ingezet voor het in dienst nemen van hooggekwalificeerde IT-ers onder arbeidsvoorwaarden die konden concurreren met het aanbod van marktpartijen.

De combinatie van projectmatige- en technische transparantie en diepgaande kennis binnen de overheid scherpte de markt voor softwareontwikkeling en IT-dienstverlening aan. Kwaliteit steeg gestaag terwijl prijzen permanent onder druk bleven staan. Aangezien alle aanbieders van diensten volledige toegang hadden tot alle in de overheid gebruikte software (enkele uitzonderingen bij defensie, justitie en binnenlandse zaken daargelaten) ontstond er een zeer open speelveld waar alle aanbieders vervangbaar waren (en zij die onder de maat presteerden werden dan ook met enige regelmaat vervangen).

Daarnaast werd computer- en IT onderwijs van kleuterschool tot universitaire studies informatica grondig herzien. Basisbegrip over de werking van computers en informatienetwerken werd net zo normaal als lezen en schrijven. Vanaf 2006 leerde iedere 14-jarige op school hoe je email kon versleutelen en wat de nadelen waren van het gebruik van software waarvan de broncodes niet gepubliceerd zijn. Door dit bewustzijn bij jongeren verliep in Nederland (en vele andere delen van Europa) de adoptie van sociale media heel anders dan in de VS. Jongeren hadden niet alleen 'knoppen handigheid' maar ook echt inzicht in wat er me je informatie gebeurt als je een bericht verstuurd of een foto upload naar websites. Omdat voorzichtig omgaan met je privégegevens cool was werd het sociale-media landschap niet gedomineerd door een handvol Amerikaanse bedrijven maar was er een landschap van gefedereerde diensten zoals Diaspora die onderling concurreerden maar ook compatibel waren op dezelfde wijze zoals dat met email het geval is. Deze diensten waren soms enigszins gecentraliseerd maar net zo vaak volledig gedecentraliseerd en draaiden op micro-servers (zoal de in de UK ontwikkelde RaspberryPi van 35 euro) bij veel mensen thuis.

Door het hoge privacy en veiligheids- bewustzijn had online criminaliteit niet veel vat op Nederland. Vrijwel niemand was naïef genoeg om in te loggen op .ru domeinen naar aanleiding van een fake mail die van hun bank lijkt te komen. En het gebruik van enige ander systeem dan een door de Nederlandse banken sector op maat gemaakte beveiligde USB-stick was al vanzelfsprekend geaccepteerd en ook technisch onmogelijk gemaakt.

Dit is de IT die Nederland had kunnen hebben als er andere keuzes waren gemaakt de afgelopen 12 jaar. Alle informatie en technologie voor deze keuzes was beschikbaar in de eerste maanden van deze eeuw. Doordat er geen- of andere keuzes zijn gemaakt heeft Nederland tientallen miljarden besteedt aan software licenties en diensten van Amerikaanse bedrijven terwijl er goedkopere (vaak gratis) en betere alternatieven bestonden die niet als spionageplatform ingezet kunnen worden. Deze tientallen miljarden zijn niet geïnvesteerd in Nederlandse of Europese dienstverleners, opleiding, onderwijs en R&D. De economische impact daarvan is mogelijk een veelvoud van de 50-70 miljard die in Nederland alleen al aan software licenties is uitgegeven.

Nederland heeft nog steeds alles in huis om alsnog andere keuzes te maken. Hoe laat het ook is en hoe vele tientallen miljarden er ook verkwist zijn het is nog niet te laat om een andere koers in te zetten. Vandaag kan de eerste dag zijn van zo'n nieuwe koers. Concrete voorbeelden in Nederland, Duitsland, Frankrijk en Spanje laten zien dat dit niet alleen mogelijk is maar vrijwel direct leidt tot enorme besparingen, hogere veiligheid en onafhankelijkheid van buitenlandse partijen in toekomstig IT-beleid.

Het is niet vaak dat het herwinnen van nationale soevereiniteit en het herstel van burgerrechten tegelijkertijd kan werken als een nationaal innovatie- en werkgelegenheidsprogramma. Het enige dat ontbreekt is de politieke wil om de bedrijven en overheden die ons bespioneren niet langer daarvoor te belonen met ons geld en onze informatie. We hebben niets te verliezen behalve onze NSA-ketenen.