Nederlands
English
Categorie: nieuws
Grondwet buiten spel?
Er komt een nieuw grondwettelijk artikel over het briefgeheim (artikel 13) om dit artikel klaar te maken voor de 21ste eeuw en de komende maanden mogen burgers hun visie op deze zaak geven. Het briefgeheim moet garanderen dat burgers erop kunnen rekenen dat de inhoud van brieven-in-enveloppe (geldt niet voor ansichtkaarten) altijd vertrouwelijk blijft en niet zo maar wordt ingezien door de overheid voor bijvoorbeeld opsporingsdoeleinden.
Veel van de juridische discussies over deze voorgestelde grondwetswijziging zullen de komende maanden gebaseerd zijn op een aantal veronderstellingen;
1. Er een relatie is tussen wet en grondwet in Nederland
2. De Staat der Nederlanden houdt zich aan aan haar eigen wetten
3. De Nederlandse wet nog steeds relevant is voor dit vraagstuk
Al deze veronderstellingen zijn op z´n minst twijfelachtig.
Wetten worden in Nederland niet structureel aan de grondwet getoetst zoals dat bijvoorbeeld in Duitsland wel gebeurt. Daarnaast heeft relevante artikel 13 allerlei uitzonderingen ingebouwd: de overheid mag het briefgeheim niet schenden tenzij er een wettelijke uitzondering is die zegt dat dat wel mag, een rechter er toestemming voor geeft of iemand van een veiligheidsdienst besluit dat het nodig is voor het garanderen van de nationale veiligheid. Spannende vraag is dus hoe de nieuwe versie van deze uitzonderingen er uit ziet. Want in de huidige vorm werkt de grondwet dus alleen in het geval van een overheid die oprecht werkt aan het behartigen van de belangen van haar burgers. En in dat geval hebben we de grondwet niet zo hard nodig. Een beetje zoals een regenjas van vloeipapier zeg maar. Of de website crisis.nl.
Maar wellicht krijgen we ooit in Nederland grondwettelijke toetsing van nieuwe wetten en een constitutioneel hof, zoals in Duitsland. naar zo´n hof kunnen burgers toe kunnen stappen als ze van mening zijn dat wetten ongrondwettelijk zijn. Op die wijze is in Duitsland het bewaren van mobiele telefoondata (de z.g. dataretentie) afgeschaft.
Wetten hebben echter alleen een beschermend effect voor de burger als de overheid zich ook houdt aan die wetten. En ook Nederlandse ambtenaren tonen met hoge regelmaat hun minachting voor geest en letter van de wet. Iedereen die de Nederlandse overheid wel eens van binnen heeft gezien weet dit. De afgelopen jaren hebben we op Webwereld regelmatig de voorbeelden voorbij zien komen rond aanbestedingsreglementen, de kieswet, de Wet Openbaarheid van Bestuur en de wettelijke vrijheden van journalisten om ons over dit alles te vertellen. En dat is alleen nog maar een relatief klein gebied als ICT… Ook internationaal doet onze overheid hard mee om van mensenrechten een concept te maken dat alleen bestaat als je ten westen van Istanboel woont en geen actief lid bent van Wikileaks.
Al het bovenstaande is, in ieder geval in theorie, te repareren via de nominaal democratische instituties die we in Nederland (en Brussel) hebben. Als we het belangrijk genoeg vinden.
Het echte probleem is veronderstelling #3: dat het überhaupt veel uitmaakt wat een paar mensen in Den Haag hier over roepen. De bulk van het elektronische berichten verkeer van Nederlanders verloopt via de systemen van private bedrijven in de VS; Google/Gmail, Hotmail/MSN, Facebook, Twitter, LinkedIn, Apple, Amazon, Marktplaats/Ebay, enz… En al die bedrijven, zelfs als hun systemen in Nederland staan, vallen onder de Patriot Act (2001) en zijn verplicht mee te werken aan ´The War on Terror´. In de praktijk betekent dit niet alleen onbeperkte toegang tot de data voor ruim twee dozijn inlichtingen diensten maar ook de optie om bedrijven in kwestie te verbieden hun klant hierover in te lichtten. Om als Amerikaans bedrijf (of bedrijf met een vestiging in de VS) tegen de Patriot Act en dat soort post-2001 wetten in te gaan moet je sterk in je schoenen staan.
De afgelopen 20 jaar is ´computeronderwijs´ nimmer uitgestegen boven mensen trainen in het gebruik van applicaties (en dan voornamelijk tekstverwerken op 1 product). Gevolg is nu een bevolking die niet alleen geen enkel begrip hebben van de systemen die ze gebruiken maar ook niet geleerd is een relatie te leggen tussen techniek en maatschappelijke onderwerpen.
De nieuwe Cyber Security Raad (CSR – weer een Three-letter Agency er bij!) wil graag serieus genomen worden door het nieuwe kabinet. Wellicht is dit een mooie eerste case waar deze groep haar tanden in kan zetten. Geeft ook meteen een goed gevoel als de CSR vanaf het begin de nadruk legt op het beschermen van de rechten van burgers.
Parlement en kabinet kunnen zich het best eens gaan beraden over de implicatie van het feit dat hun corebusiness, het maken van wetten, door hun eigen gebrek aan beleid op het gebied van ICT en ICT-onderwijs voor het online domein grotendeels irrelevant is geworden.
Stemcomputer, de zombie die maar niet dood wil
Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).
De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende ‘radioactief, niet aankomen!’-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan ‘als we maar even die bugjes oplossen’.
De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.
Deze houding laat een fundamenteel misverstand zien over de essentie van democratie. Democratie is namelijk geen kwestie van vertrouwen, maar juist van georganiseerd wantrouwen. Door schade en schande hebben we de afgelopen paar duizend jaar geleerd dat macht veel te gevaarlijk is om zomaar aan een klein groepje mensen te geven zonder stevige waarborgen over het gebruik ervan. Een verlichte dictator lijkt weliswaar een efficiënte regeringsvorm, maar hoe hou je de dictator verlicht als deze mens, met de gebruikelijke zwakheden, eenmaal op het pluche zit?
Het systeem dat de plaats van een dictator heeft ingenomen is verre van perfect en wordt geplaagd door traagheid en focus op media-geile onderwerpen, maar iets beters hebben we gewoon nog niet bedacht (wellicht wordt Liquid Feedback van de Piratenpartij ooit werkbaar op grote schaal). Maar in ieder geval is het in een democratie vrij moeilijk om in het geheim grote beslissingen te nemen zonder brede goedkeuring. En daar is het dus om begonnen, een koning of president kan niet zo maar op eigen houtje hele gekke dingen doen die het land te gronde richten of de fundamentele rechten van burgers schenden.
Het wantrouwen tegen macht en machthebbers kan dus niet worden opgelost door de broncode van een stemcomputer online te zetten, omdat burgers niet kunnen vaststellen of de gepubliceerde broncode daadwerkelijk draait op de specifieke stemcomputer op de basisschool in hun buurt. Nog belangrijker is het feit dat 99,99% van de bevolking geen code-audits kan doen. En daarmee komt het dan toch weer neer op het moeten vertrouwen van een heel klein groepje technische experts. En het vertrouwen van een heel klein groepje (welk groepje dan ook!) is nu juist precies wat we niet meer wilden. Als we kleine groepjes technici gaan vertrouwen, kunnen we net zo goed het parlement samenstellen op basis van een steekproef van een onderzoeksbureau. Dat scheelt een heleboel tijd en papier en er is vast wel een leuke Tv-avond om heen te bouwen.
Vaak is ook gezegd dat er met papieren stembiljetten ook gefraudeerd kan worden, waarbij bijvoorbeeld verkiezingen in Zimbabwe naar voren worden geschoven. Belangrijk aspect is hier echter niet de mogelijkheid van fraude, maar de detecteerbaarheid ervan. Effectieve, en dus grootschalige, fraude met een papieren stemsysteem is onmogelijk geheim te houden (daarom weten we ook dat er in Zimbabwe gefraudeerd is) en dat maakt het mogelijk om in te grijpen als kleine groepjes het systeem proberen te misbruiken. Fraude met stemcomputers is in de meeste gevallen onmogelijk om achteraf aan te tonen. De geheugens zijn dan gewist en er zijn geen biljetten om nog eens te hertellen. Dit laatste bleek nog eens pijnlijk bij een lokale verkiezing waar het aspirant-gemeenteraadslid ook bediener van de stemcomputer was. In het stemlokaal waar hij aanwezig was kreeg hij onwaarschijnlijk veel meer stemmen dan in alle andere locaties in de gemeente. Toch kon het OM geen zaak rond krijgen tegen deze mogelijke fraudeur wegens gebrek aan bewijs. De man kan door dit gebrek aan bewijs echter zijn eventuele onschuld ook nooit meer overtuigend aantonen.
Zelfs bij elektronisch stemmen met een geprint stembiljet (een z.g. ‘papertrail‘) kan twijfel ontstaan over de uitslag en het aanvragen van een hertelling van een paper-trail wordt ook meteen een politieke issue (winnaars zijn tegen, verliezers voor). Op welk moment gaan we papertrails hertellen? Welke steekproef is goed genoeg voor de verliezer? Hoe bepalen we dat er reden is om te twijfelen aan de elektronische uitslag? De aanname is toch juist dat de computer goed telt? Er zal dus een bestuurlijke en politieke drempel zijn om überhaupt zo’n hertelling aan te vragen. Dit gecombineerd met het feit dat het bepalen van een ‘winnende’ coalitie in Nederland onder de waarnemingsdrempel van een peiling ligt maakt het aantrekkelijk om stemcomputers te manipuleren. Wat is het waard om de verkiezingsuitslag van de 20ste economie op de planeet te bepalen?
Ondanks kleine incidenten heeft bij het papieren stemproces in Nederland de integriteit nimmer ter discussie gestaan. Bij de vorige generatie stemcomputers moesten, na enig aandringen van externe experts, zelfs Binnenlandse Zaken en TNO toegeven dat deze niet compatibel waren (of ooit waren geweest) met de Nederlandse kieswet. TNO had zelf een geheim toetsings-protocol dat de integriteit van het systeem helemaal niet onderzocht. Zowel de verantwoordelijke ambtenaren als de ‘experts’ van TNO waren simpelweg niet competent om adequaat met dit vraagstuk om te gaan. Het OV-chip-, EPD- en Diginotar-drama waren herhalingen van dergelijk onvermogen. Geen inzicht, geen adequate toetsingskaders, geen inhoudelijk toezicht. En niemand is verantwoordelijk als het fout gaat.
Na afschaffing van de stemcomputers is er geen enkele ambtenaar of TNO-medewerkers ontslagen wegens het verzaken van hun taak en er is dus weinig vertrouwen bij de externe experts dat men nu wel competent is om adequate beoordelingen te maken over een andere technische ‘oplossing’.
Er moet voorkomen worden dat er een situatie ontstaat waarin de integriteit van het proces zelf ter discussie komt te staan, en daarmee de legitimiteit van de uitslag. Het onderscheid is dus de detecteerbaarheid van fraude, niet de (on)mogelijkheid ervan. Stemcomputers lossen geen ernstige problemen op, zijn duurder in gebruik dan papier en ondermijnen de legitimiteit van democratische regeringen. En zoals Churchill al zei: ‘Democracy is the worst form of government, except for all those other forms that have been tried from time to time.’
Deze column is een update van een eerdere publicatie uit 2008 voor Digitaal Bestuur. Deze is helaas verdwenen na een site redesign.
Windows 8 hoeft geen ramp te zijn
Gartner, IT-journalisten en zelfs vele oud medewerkers van Microsoft zijn het er over eens: Windows 8 wordt een ramp. De Metro interface gericht op tablets (een markt die nog vrijwel niet bestaat in relatie tot MS-Windows) is onwerkbaar voor de desktop met verticaal non-touch scherm, toetsenbord en muis. De meeste kantoorwerkplekken zijn daar echter nog op gebaseerd en de meeste legacy applicaties hebben interfaces die uitgaan van een Windows pc met toetsenbord en muis als invoer methode. Het is de doorlopende aanschaf van desktop pc’s met de combinatie MS-Windows en MS-Office die Microsoft al ruim 15 jaar financieel draaiend houdt.
De combinatie legacy applicaties (meestal zeer bedrijfsspecifiek) en gewenning aan MS-Office maakt de voortdurende aanschaf van het Windowsplatform voor veel IT-organisaties vanzelfsprekend, ondanks de hoge kosten van licenties en beheer. Allerlei ellende zoals nieuwe interfaces, gebrek aan compatibiliteit en het plotseling stopzetten van de support op kritieke componenten worden als een onontkoombaar noodlot gedragen. IT-beleid wordt om deze problemen heen georganiseerd in plaats van gericht op het duurzaam oplossen ervan. En het oplossen of onder controle houden van deze problemen vraagt zo veel tijd en geld dat er vaak weinig overblijft om wat verder vooruit te kijken. Zo is bij vele organisaties de perfecte vicieuze cirkel ontstaan die al zo lang doorlopen wordt dat veel IT-ers deze niet eens meer kunnen zien.
Een belangrijk punt hier is echter dat Windows 8 alleen een ramp kan zijn voor hen die het kopen en hen die het zonder succes proberen te verkopen. Voor de rest van ons maakt het helemaal niets uit. Dus als je gewoon een werkende Windows7 pc, een Mac of Linux machine hebt is het heel eenvoudig om deze ellende aan je voorbij te laten trekken. Na een rampzalige Windows versie komt er meestal weer een (iets minder) rampzalige versie (ME/XP, Vista/7) en voor diegenen die dan nog steeds geloven dat zij echt een Microsoft besturingssysteem nodig hebben is dat dan hopelijk weer iets waar men een paar jaar mee vooruit kan.
Organisaties die (vrijwel) geen platform-afhankelijke applicaties meer hebben, bijvoorbeeld doordat zij deze applicaties hebben (laten) voorzien van een web-interface, hebben geen reden meer om überhaupt nog proprietary besturingssystemen aan te schaffen. Organisaties die deze applicaties nog wel hebben kunnen beter even blijven hangen bij eerdere (al aangeschafte) versies van MS Windows zodat alle interfaces compatibel blijven en eindgebruikers kunnen blijven werken in de voor hen bekende omgeving. De ruimte in tijd en geld die daardoor ontstaat op de IT-afdeling kan gebruikt worden om de vendor-lock tussen applicaties en platform te doorbreken.
De meeste applicatie-leveranciers denken inmiddels wel na over web-interfaces of API’s voor tablet apps (als is het alleen maar om met iPad spelende directeuren tevreden te houden). Applicatie-leveranciers die dat nog niet doen moet uitgelegd worden dat in tijd van stevige bezuinigingen de IT Euro maar één keer uitgegeven kan worden; aan hen of aan Microsoft. Lijkt een eenvoudige keuze toch? Gelukkig hebben zelfs bedrijfsspecifieke applicaties niet het eeuwige leven en als het moment is aangebroken waar er iets nieuws te kiezen valt is het handig om bij de TCO van applicaties ook door te rekenen wat de onderliggende infrastructuur kost (licenties, beheer, beveiliging). Vergelijk deze dan met de TCO van applicaties die dergelijke afhankelijkheden niet hebben. Andersom kan je ook tegen je hoster zeggen: ?maakt me niet uit op welk platform je mijn applicaties draait maar ik betaal je alsof het een opensource stack is?. Beetje onderhandelen in een stagnerende markt is altijd mogelijk.
Net zoals bij Vista zullen de belangrijkste slachtoffers van Microsofts-iPad-wannabee-software eenvoudige pc consumenten zijn. Diegenen die een pc of laptop kopen van een retailer en een machine krijgen met een voorgeïnstaleerde ramp. Veel IT-ers zullen de komende jaren weer worden geconfronteerd met familie, vrienden en bekenden die huilend aan de telefoon hangen omdat ze hun favoriete of noodzakelijke pc applicaties niet kunnen vinden of gebruiken. Vista all over again. Doe die bekenden een plezier en downgrade ze naar Win7 indien nodig of upgrade ze naar Ubuntu als dat kan. De belangrijkste reden waarom thuisgebruikers nog Windows willen is gaming. Gelukkig wordt er hard gewerkt aan alternatieven, o.m. door eerder genoemde ex-medewerkers.
Ondanks dat ik de iPad verfoei vanwege de extreme geslotenheid van het platform hebben tablets (met de iPad voorop) voor het eerst in 20 jaar een geheel ander platform dan de Windows pc als reëel alternatief breed neergezet voor non-techies. Voor het eerst in lange tijd is er daardoor een discussie mogelijk over alternatieven. Als die mentale stap eenmaal gezet is ligt de weg open naar IT-beleid dat echt begint bij de vraag hoe de beste functionaliteit wordt gerealiseerd tegen de laagst mogelijk kosten (waarbij dus ook het onderliggende platform ter discussie mag staan).
Als Microsoft haar winstmarges op de Windows/Office combo terugbrengt tot een procentje of 20 (nu 60-80) zien die TCO getallen er een stuk evenwichtiger uit. Net als IBM zal Microsoft als uitgegroeid bedrijf gewoon nog jarenlang vrij saaie-maar-soms-noodzakelijke producten leveren tegen meer normale winstmarges. Dat hoeft, behalve voor aandeelhouders, helemaal geen ramp te zijn.
The Declaration of Independence of Internet
(Orginal from 1776 here. Orginal from 1581 that is the inspiration for the original from 1776 here)
hen in the Course of human events it becomes necessary for people to dissolve the commercial, legal and moral bands which have connected them with an industry and to assume among the powers of the earth, the separate and equal station to which their most fundamental principles entitle them, a decent respect to the opinions of mankind requires that they should declare the causes which impel them to the separation.
We hold these truths to be self-evident, that all lives are enriched by the sharing of culture, that citizens are endowed by their democracies with certain unalienable rights, that among these are knowledge, true ownership of their property and the sharing of culture. That to secure these rights, laws are instituted among the people, deriving their just powers from the consent of the governed. That whenever any of these laws become destructive of these ends, it is the right of the people to alter or to abolish them, and to institute new laws, laying their foundations on such principles and organizing their powers in such form, as to them shall seem most likely to effect their safety and happiness.
Prudence, indeed, will dictate that laws long established should not be changed for light and transient causes; and accordingly all experience hath shewn that mankind are more disposed to suffer, while evils are sufferable, than to right themselves by abolishing the forms to which they are accustomed. But when a long train of abuses and usurpations, pursuing invariably the same object, evinces a design to reduce them under absolute despotism, it is their right, it is their duty, to throw off such laws, and to provide new guards for their future cultural wealth. Such has been the patient sufferance of the people of the Internet; and such is now the necessity which constrains them to alter their former systems of cultural distribution. The history of the present copyright industry is a history of repeated injuries and usurpations, all having in direct object the establishment of an absolute tyranny over the culture of the people of Earth. These are just some of the effects of the lobbying of the copyright-industry:
The destruction of our cultural heritage by forced obliteration and decay, by forbidding or hindering the reduplication and sometimes even the restoration of cultural artifacts. – The destruction of our future, by frustrating education and the sharing of knowledge, thereby condemning many to lower life standards than they could otherwise achieve, especially in developing countries. – The destruction of the creative process, by legally forcing artists and authors to steer clear of any sources of inspiration, and punishing them for accidental similarities and citations. – The destruction of free access to key, contentious pieces of political information by preventing maximum distribution of this information. – The destruction of human and natural resources, by forcing the re-creation of works that would be perfectly usable with some minor rework, but not allowing such re-use. – The destruction of social and economic order, by allowing the control of much of our heritage to end up in just a few hands. Leading to a society where a few have a lot, and a lot have little. – The destruction of innocent lives by transporting citizens of other nations beyond Seas to be tried for offences that are not even offences in their home nations …
In every stage of these oppressions we have petitioned for redress in the most humble terms: Our repeated petitions have been answered only by repeated injury. Corporations, whose character is thus marked by every act which may define tyrants, are unfit to be conduit of culture for a free people. Nor have we been wanting in attentions to our corporate cultural overlords. We have warned them from time to time of attempts by their lobbying to extend an unwarrantable jurisdiction over us. We have reminded them of the limits of our patience and the growing existence of alternatives to their wares. The most recent efforts of the copyright industry to circumvent our most fundamental democratic institutions leaves us no choice but to defend our culture by taking it out of the hands of these corporations.
We, therefore, the Pirates of the World, do, in the name, and by authority of the good people of the Internet, solemnly publish and declare, that we are free and united, and no longer recognize the legal or moral validity of the copyright claims of aforementioned corporations, that we are absolved from all legal and moral allegiance to these corporations, and that all connections between the people of the Internet and the copyright industry is and ought to be totally dissolved; and that as free and Independent people, we have full power to download, distribute, remix, broadcast, perform and to do all other acts and things which Independent people may of right do. And for the support of this declaration, with a firm reliance on strong cryptological protection, we mutually pledge to each other our lives, our fortunes, and our sacred bandwidth
printable version for those ink-based-real-life signing parties here
ICT & Overheid, wat te doen?
Afgelopen vrijdag mocht ik met andere ‘experts’ vragen beantwoorden van de in Parlementaire werkgroep ICT-projecten bij de overheid. Dit is een groep Kamerleden die een Parlementair onderzoek naar de vele ICT fails van de overheid aan het voorbereiden is. Na de zomer (en de verkiezingen) moet het onderzoek van start gaan met een set scherpe onderzoeksvragen. Aan de genodigde experts om voorstellen te doen voor die vragen. Het was opvallend hoe eensgezind de aanwezige IT-ers waren, ook al hadden we allemaal heel verschillende achtergronden (video).
Net als andere columnisten en opinieschrijvers heb ik ook op deze plek de overheid ook wel eens afgebrand over het rijke palet aan verspilling van veiligheid, privacy en algemene middelen. Het gaat, zeker bij de Rijksoverheid, dan ook al snel om gegevens van miljoenen Nederlanders en miljarden Euro’s.
Voor columnisten is het dus eigenlijk altijd prijsschieten met zo’n overheid. Daarom is het ook wel mooi om op dit soort gelegenheden een meer constructieve bijdrage te kunnen leveren. Hoewel het eigenlijk jammer is dat dergelijke bijeenkomsten niet veel vaker worden georganiseerd en niet veel beter worden bezocht door de ambtenaren en leveranciers die verantwoordelijk zijn voor al die projecten. Voor de 6 miljard die op jaarbasis door het putje gaat (en dat zijn alleen nog maar de out-of-pocket kosten – de maatschappelijke impact is mogelijk vele malen groter) is het wellicht handig om wat vaker te overleggen. Niet dat ik het idee heb dat het clubje van vorige week kant-en-klare oplossingen heeft voor alle problemen die er zijn. Wel denk ik dat er een redelijke mate van eensgezindheid was over de grondoorzaken van problemen:
1. Verkeerde prikkels bij zowel de overheid als leveranciers; wie heeft er belang bij het afronden van projecten binnen de tijd en onder afgesproken budget? Niemand. Niet de leverancier want die mag gewoon uren schrijven. Hoe complexer hoe beter dus. Niet de verantwoordelijke ambtenaren want zolang een project loopt hebben ze een klus en een groeiende staf mensen om dingen te doen. Hoe groter je afdeling hoe belangrijker je bent, dus heb je geen belang om small-is-beautiful toe te passen. En omdat projecten snel verpolitiseren geeft het niks als het 10 keer zo duur wordt, want een paar honderd miljoen extra uitgeven is voor een minister minder erg dan opstappen. Er zijn ook nooit sancties bij wie-dan-ook bij mislukkingen. Dezelfde ambtenaren blijven dezelfde 10 grote leveranciers aansturen.
2. Te weinig inhoudelijke kennis om leveranciers aan te sturen; omdat vrijwel alle inhoudelijke activiteiten door leveranciers uitgevoerd worden, ontbreekt het de meeste overheden aan eigen inhoudelijke expertise. Dit biedt ruimte voor leveranciers om adviesrollen te mengen met het leveren van producten en de implementatie dienstverlening. Erg voordelig voor de leverancier, maar niet goed voor kostenbeheersing of technologie-keuzen in het belang van overheid en burgers.
3. Totaal gebrek aan overzicht en transparantie; er is zo weinig transparantie dat de overheid zelf ook niet weet wat ze heeft, wat ze koopt en wat dat kost. Eerdere pogingen van de Algemene Rekenkamer om hier inzicht in te krijgen zijn allemaal op niets uitgelopen. Consequentie hiervan is ook dat de meeste zogenaamde ‘businesscases’ grotendeels gebakken lucht zijn. Als het onmogelijk is om te weten wat iets nu kost en wat het kost om het te vervangen vaar je blind. Waarschijnlijk op een ‘advies’ van de onder 1 genoemde leveranciers.
4. Gevaarlijk naïeve attitude ten aanzien van beveiligingsrisico’s; lektober en de recente incidenten met Scada-systemen laten zien dat de beveiligingsrisico’s niet van incidentele, maar van structurele aard zijn. Met Stuxnet in de mix is het duidelijk dat publieke systemen kinderlijk eenvoudig te manipuleren zijn. De maatschappelijke consequenties van een gerichte aanval zijn nauwelijks te overzien. En dat doet de overheid dan ook niet.
5. Geen zichtbare ambitie om iets te verbeteren aan bovenstaande punten; zolang de overheid het acceptabel vindt om problemen weg te definiëren door ze als onveranderlijke natuurwet of een noodlot te beschouwen gaat er niets veranderen.
Dat klinkt dus allemaal niet best. De vraag is wat we er aan kunnen doen. Ja we. Want als je dit leest gaat het waarschijnlijk ook over jouw overheid. Het ziekenhuis dat je wellicht een keer nodig hebt, de school waar je kinderen naar toe gaan. Het gemaal dat je voeten droog houdt.
Het begint, zoals bij elk probleem, bij het erkennen van de vijf bovenstaande punten. Je moet niet de schaal van de problematiek wegpoetsen met uitspraken zoals "maar het gaat niet altijd fout…". Een auto die soms niet ontploft is niet goed genoeg. Na erkenning van de problematiek moet er een echte ambitie zijn om te verbeteren (wellicht geholpen door wat straffe tekst uit het Parlement). De overheid moet de ambitie hebben om inhoudelijk mee te kunnen praten over de techniek waar ze van afhankelijk is. Daarnaast moet er de ambitie zijn om een overheid te zijn, geen facilitaire dienst van een overheidsbedrijf. De overheid is geen bedrijf. Hou op met doen alsof. Deze ambitie moet de zichtbare kern zijn van al het gedrag daarna. Een grotere transparantie zal gebrek aan kennis en verkeerde prikkels scherp zichtbaar maken zodat er gericht ingegrepen kan worden. Ook maakt transparantie het veel eenvoudiger voor andere burgers met expertise hun overheid van advies te voorzien (bijvoorbeeld over die naïve houding bij beveiliging).
Hoe groot, complex en belangwekkend al deze vragen ook zijn. De veel belangrijkere vragen zijn vorige maand gesteld door Prof. Eben Moglen in een magistrale speech in Berlijn: "Why Freedom of Thought Requires Free Media and Why Free Media Requires Free Technology". Onder ingewijden staat de speech nu al bekend als ‘I have a dream‘ meets ‘Band of brothers‘ (een toekomstvisie gecombineerd met een oproep tot actie). Iedereen die zich bezighoudt met ICT zou deze speech moeten kijken. Ambtenaren minstens drie keer.
Ik hoop dat de Kamerleden er ook een uurtje tijd voor hebben deze zomer. Want 6 miljard euro per jaar weggooien is erg, maar de verworven vrijheden van de afgelopen 1000 jaar laten verdampen, da’s pas echt erg. Daar moet in verkiezingstijd toch iets moois van te maken zijn.
Parlementaire werkgroep ICT-projecten
Op 1 juni 2012 kwam de voorloper van de Tijdelijke Commissie ICT bijeen met een groep experts uit academia en bedrijfsleven. Hieronder mijn geschreven bijdrage. Eerst ruwe Opname van de videostream… Hier de bijdragen van Brenno de Winter, Rene Veldwijk, Pascal Hetzscholdt, Chris Verhoef, Ronald Prins en Walter van Holst. Column achteraf hier.
Inleiding – ICT en de Nederlandse Rijksoverheid
Universaliteit is een aanname in de astrofysica die zegt dat fenomenen zich overal zo gedragen zoals we ze vanaf de aarde kunnen waarnemen. Ik ga er van uit dat de fenomenen die ik waarneem bij ICT-projecten ook spelen bij ICT-projecten waar ik minder informatie over heb (dat dit zo is heeft vooral te maken met de gebrekkige uitvoering van de Wet Openbaarheid van Bestuur, zie opmerkingen Dhr. de Winter).
De wijze waarop ICT-projecten worden aangestuurd is gebaseerd op een nogal naïef model van de werkelijkheid “slimme ondernemers strijden op een open veld met elkaar om de gunsten van de overheid die met verstand en visie inkoopt”. Dit model heeft als nadeel dat we er de uitkomsten van projecten niet goed mee kunnen voorspellen. Vandaar ook deze werkgroep.
Het model "corrupt moeras met verkeerde incentives, bevolkt door zakkenvullers en incompetente clowns" voorspelt de gang van zaken rond projecten veel beter en geeft ook prima aan waarom het steeds mis gaat.
De prijs van alles uitbesteden
Geen visie, geen daadkracht, geen kennis en vooral geen enkele ambitie om hier iets aan te verbeteren. Dit is het overkoepelende thema van alle overheids ICT-projecten die ik van binnen of van buitenaf heb mogen meemaken. En mijns inziens de fundamentele oorzaak van verreweg de meeste concrete problemen waar de werkgroep zicht op wil krijgen.
Van Kennisnet via het EPD, Walvis, stemcomputers, de OV-chipkaart en de mislukte poging de macht van grote software leveranciers te breken – NOiV)… Alles loopt steeds stuk op het zo snel mogelijk reduceren van een maatschappelijk vraagstuk tot een technische project dat vervolgens snel uitbesteed kan worden aan ICT-leveranciers en/of -adviseurs. De maatschappelijke aspecten worden dan snel uit het oog verloren en de rijdende trein van politieke beloften, commerciële belangen en projectenlogica is niet meer te stoppen.
Zelfs deze werkgroep stelt zich ten doel de grote delen van de uitvoering van het onderzoek uit handen te geven. Grote kans dat dit neerkomt op het laten uitvoeren door een adviespartij die als belangrijkste talent een bestaand mantelcontract met de Rijksoverheid heeft. Waarschijnlijk een partij die ook geadviseerd heeft bij een of meerdere van de projecten die mogelijk onderdeel zijn van het onderzoek.
Als adviseur van een groot overheidsproject (uit de lijst van projecten aangeleverd door de werkgroep) heb ik meegemaakt dat ik een andere ingehuurde adviseur moest adviseren welke externe adviseurs hij moest inhuren om een beveiligings onderzoek uit te laten voeren. Het argument dat het voor de overheid lastig is om specialistische expertise aan te trekken zal weliswaar in zeldzame specifieke gevallen kloppen maar de meeste ingehuurde ICT-ers hebben helemaal geen specialistische expertise. Veelal zijn het generalisten en/of projectmanagers zonder veel inhoudelijke kennis. Het onvermogen van de overheid om competent personeel aan te trekken moet gezien worden als een te onderzoeken (en vooral op te lossen!) probleem, geen onveranderlijke natuurwet. Hetzelfde blijven doen en een andere uitkomst verwachten is een teken van waanzin.
Focus onderzoeksvoorstel: kijk naar het bos, niet de boompjes
Door de focus te leggen op individuele projecten is de kans groot dat er uitsluitend gekeken wordt naar operationele problemen binnen deze projecten. De bredere kaders blijven buiten beeld terwijl juist daar de fundamentele oorzaken van veel falen te vinden zijn. Bovendien is het vooral van belang te kijken naar overkoepelende aspecten die een factor zijn bij toekomstige projecten.
Als er iets duidelijk is geworden in de Diginotar zaak is het wel het totale gebrek aan sancties of verantwoording achteraf bij het falen van zowel uitvoerende- als toezicht houdende organisaties en functionarissen. Leveranciers en ambtenaren die de veiligheid van burgers en wellicht het functioneren van de staat in gevaar brengen mogen grotendeels gewoon bijven zitten om en over een paar jaar nog een keer te doen. Evaluatie is binnen deze context is dan ook alleen nuttig als er herbruikbare lessen uit te halen zijn die herhaling van vergelijkbaren fouten bij nieuwe projecten in de toekomst helpen voorkomen.
Analyseer context: oorzaken en maatschappelijke gevolgen van falen
Toen het EPD door de 1e kamer definitief werd afgeschoten was er grote verontwaardiging over de ‘verspilde’ 300 miljoen Euro die aan het EPD besteedt was. In mijn optiek is die 300 miljoen niet het gene waar we ons druk moeten maken. Als de door VWS en Nictiz gebruikte cijfers rond de noodzaak van het EPD in orde van grootte kloppen zijn de echte kosten van het mislukken van het EPD over de afgelopen 12 jaar ruim 20.000 mensenlevens en minstens 16 miljard Euro.
De vraag is dan enerzijds waarom Nictiz niet wat meer budget en macht had om het probleem beter aan te pakken. Anderzijds is het vreemd dat deze nationale ramp niet het allerbelangrijkste onderwerp voor VWS was, met de top van het Ministerie dagelijks met de hand aan het stuur, met wekelijkse updates aan het kabinet en parlement?
Als de veel gebruikte cijfers niet kloppen is de Kamer ruim 12 jaar ‘verkeerd geïnformeerd’ en had men nooit aan het project moeten beginnen. Hoe dan ook: er is iets heel erg verkeerd gegaan en dat had vrij weinig te maken met de techniek van het Landelijk Schakelpunt (waar trouwens ook van alles op aan te merken was).
Het bovenstaande voorbeeld is slechts een van velen waar de formele bestuurlijke motivatie voor het project en de vervolgens toegekende middelen en mandaten geen enkele logische relatie lijken te hebben.
Ook bij de invoering van stemcomputers en de OV-chipkaart zijn dergelijke logische gaten van Alice-in-wonderland-formaat te vinden. Een extreem niveau van publieke transparantie over nieuwe projecten zou hier wellicht kunnen helpen zodat burgers de overheid gevraagd en ongevraagd kunnen helpen bij het vinden van dergelijke gaten.
Ook zou dit mogelijk wat vertrouwen van burgers herstellen dat nogal gedeukt is. De overheid gebruikt bij ICT-falen enerzijds constant het excuus dat zij nu eenmaal niet zo competent is terwijl ze dan twee weken later anderzijds weer haar burgers vraagt te vertrouwen op haar vermogen een nieuwe megalomane techno-fix voor een complex maatschappelijk vraagstuk tot een goed einde te brengen. Een dergelijk diep gebrek aan geloofwaardigheid wordt uiteindelijk een legitimiteitsvraagstuk.
Selectiecriteria voor te onderzoeken ict-projecten:
- Mate waarin de oorspronkelijke officiële motivaties en aannames niet onderzocht of onderbouwd blijken te zijn. Wat was het probleem? Hoe zou het voorgestelde ICT-project dit oplossen? Was dit gat tussen beleid en werkelijkheid niet te voorzien?
- Maatschappelijke kosten van het niet oplossen van een probleem (door het falen van het project), dit zijn vaak een veelvoud van de kosten van de ICT-projectkosten zelf.
- Schade aan burgers en hun rechten door falen van project of verkeerde technische en organisatorische keuzes tijdens de realisatie.
ICT-projecten welke de Kamer zou moeten betrekken in het onderzoek:
- Het EPD – (eerder artikel hierover uit 2005/2008)
- De OV-chipkaart (diverse publicaties)
- Het NOiV & het Algemene Rekenkamer onderzoek naar dit beleid. (input aan dit onderzoek, reactie n.a.v. rapport)
- GOUD/DWR – invoering van ‘gestandaardiseerde’ Rijkswerkplek vanaf 2004. (diverse publicaties)
Onderstaande recente relevante publicaties van mijn hand, met links naar bronnen en verdere onderbouwing:
Asbest & IT, Doublethink en Zen, Wachten op de Grote Klap, Komt een Kamerlid bij de doctor, Vinger in de dijk.
Asbest & IT
Decennia lang zijn in de hele westerse wereld huizen gebouwd met asbest. Asbest was een betaalbaar materiaal dat sterk, slijtvast, isolerend was en bovendien uitstekende brandwerende eigenschappen had. Door al dit fijns en de lage prijs was het ideaal spul om overal voor te gebruiken. En dat deden we dan ook.
Zolang dat asbest netjes op z’n plek blijft is er niet zo veel aan de hand. Dan doet het z’n werk en is er dus geen reden om over asbest na te denken. De problemen ontstaan wanneer er iets moet veranderen, een verbouwing bijvoorbeeld. Als bij het neerhalen van een muur de asbest vrijkomt als microscopische vezels vormt het een enorm gevaar voor de gezondheid van iedereen die de pech heeft dichtbij te zijn. Inmiddels is het verwerken van asbest zeer streng gereguleerd. Ondanks die regulering vallen er door alle asbest die decennia lang in allerlei zaken zijn verwerkt nog steeds twee keer zo veel doden als in het verkeer.
Omdat de lange termijn consequenties van het gebruik van asbest zo groot zijn is het gebruik er van verboden. Dit ondanks het feit dat de oorspronkelijke redenen voor het gebruik nog steeds bestaan. Asbest is nog steeds goedkoop, sterk, slijtvast, isolerend en brandwerend. Maar toch gebruiken we het niet meer omdat we de maatschappelijke prijs te hoog vinden. Strategische en maatschappelijke redenen zijn dus belangrijker dan praktische en technische voordelen. Dat betekent niet dat alles dat ooit met asbest is gebouwd nog deze week wordt afgebroken. Wel dat we het probleem niet meer groter laten worden door asbest te blijven gebruiken. Langzaam maar zeker wordt deze erfenis afgebouwd onder streng gecontroleerde omstandigheden.
Als er gesproken wordt over IT die overheden gebruiken voor hun dagelijks functioneren lijkt het maken van onderscheid tussen strategische en operationele argumenten nog vrijwel onmogelijk. Bezwaren over de fundamentele ongeschiktheid van gesloten of in het buitenland geplaatste (en daarmee niet te controleren) systemen worden eenvoudig weggewuifd met de stelling dat ‘het toch wel handig is’ en ‘men er nu eenmaal aan gewend is’ of zelfs ‘dat verdachtmakingen hierover politiek niet bespreekbaar zijn’. Allemaal citaten die in de jaren ’80 ook van toepassing waren op asbest en de leveranciers ervan.
Een paar weken geleden beschreef ik het surrealisme waarmee binnen de Rijksoverheid IT-strategie discussies gevoerd worden rondom informatie-beveiliging en leveranciers-afhankelijkheid. Het mooie van surrealisme is dat er altijd iemand de overtreffende trap weet te vinden en dat deed het cloudrapport van Cap Gemini dan ook netjes. Zo’n document doet je in eerste instantie schuddebuikend van het lachen onder je buro rollen. Geweldig dat een groot bedrijf als Cap met zo’n stukje zelfspot komt. Het lachen vergaat je echter als blijkt dat het niet om een verlate 1 april grap gaat maar om een serieuze poging van een van de grootse diensten leveranciers van de overheid een visie neer te zetten. Niets toe te voegen aan de prima analyse van Mathieu Paapst . [x] ongeschikt. Discussie voorbij. Next please!
De van oudsher aandoenlijke maar tegenwoordig gevaarlijke naïviteit van Nederland op het gebied van internationale verhoudingen wordt het laatste jaar gelukkig hardhandig afgebroken. De Nederlandse overheid liegt tegen zichzelf en ons bij militaire inzet. De gegevens van cloud-computing klanten blijken inderdaad niet goed beschermd te worden. Israël en de VS gebruiken hun technische kennis van proprietary systemen om hun vijanden digitaal aan te vallen. En minstens 10% van de Pc’s in Nederland is al overgenomen door criminelen. Dit laatste een directe consequentie van het desktop-monopolie dat door de overheid zelf actief is gecreëerd en via het onderwijs tot op de dag van vandaag versterkt wordt.
Vandaag een Iraanse nucleaire installatie, de gegevens van Rop Gongrijp en het domein van Wikileaks. Morgen een Nederlandse (lucht)haven, waterzuiveringsinstallatie, ziekenhuis of een paar Ministeries?
Als Nederland de baas wil blijven over Nederland moeten we ophouden met de quasi naïviteit in gesprekken over technologische strategie. Ondanks alle mooie afspraken geldt internationaal nog steeds de wet van de jungle en we gedragen ons alsof we in een aangeharkt parkje aan het wandelen zijn. Als het niet op je eigen grondgebied staat en je niet onder de motorkap mag kijken heb je geen controle. Dat zou het startpunt moeten zijn van ieder eisenpakket voor vernieuwing of vervanging van publieke systemen.
Zij die leiding (zouden moeten) geven aan ICT strategie voor de overheid moeten echt het gesprek kunnen en durven aangaan over de strategische implicaties van het draaien van een overheidsapparaat op systemen die niet onder haar controle staan. Adviseurs die maar blijven komen met bouwplannen op basis van extra-veel asbest moeten wellicht wat meewariger bekeken worden, zeker als ze allerlei zakelijk relaties onderhouden met leveranciers van het gif waar we nu juist vanaf willen. Tijd om informatie-asbest in de publieke sector streng te reguleren en af te bouwen, ondanks het feit dat het soms handig is, iedereen er mee werkt en we op punten nog bezig zijn met het verfijnen van alternatieven.