Wetten Worden Werkelijkheid in software

Onderstaande brief is als email naar de Tijdelijke commissie ICT gestuurd.

5 mei 2014

Geachte leden van de Commissie ICT,

Door uw voorgangers ben ik op 1 juni 2012 uitgenodigd een bijdrage te leveren aan de expertbijeenkomst van de Parlementaire werkgroep ICT-projecten bij de overheid. De schriftelijke bijdrage die ik destijds heb aangeleverd staat hier.

Als IT-architect maar ook als bezorgde burger heb ik mij sinds 2002 actief bemoeid met het IT-beleid van de overheid op o.m. de dossiers EPD en open standaarden/opensource. In dit laatste dossier was ik in 2002 de initiatiefnemer van de Motie Vendrik die een grotere onafhankelijkheid van dominante leveranciers bepleitte. Vorig jaar mocht ik als technisch expert zitting nemen in de Commissie van Beek die Minister Plasterk heeft geadviseerd over de (on)mogelijkheden van de elektronische ondersteuning van het kiesproces.

Hoewel deze motie Vendrik in 2007 is vertaald in het Actieplan Heemskerk is dit beleid in 2010/11 door de lobbymacht van grote softwareleveranciers en de Amerikaanse overheid de nek om gedraaid. Zelfs de Algemene Rekenkamer is onder druk gezet om bepaalde vragen *niet* te stellen. Sinds 2002 heeft Nederland zo'n 60-90 miljard Euro uitgegeven aan buitenlandse software waarvoor in veel gevallen gratis alternatieven bestaan die net zo goed of zelfs beter zijn. Het gebruik hiervan wordt echter actief bemoeilijkt door zowel de Ministeries van OC&W en BZK, alsmede de VNG daarin gesteund door het lobbyapparaat van grote leveranciers en de Amerikaanse overheid.

Hoewel Minister Donner in 2004 in reactie op de Motie Vendrik al aangaf

  • dat de afhankelijkheid van Microsoft groot was;
  • dat dit een probleem was;
  • en dat middels invoering van open standaarden en de inzet van opensource dit opgelost kon worden;

Is die afhankelijkheid sindsdien nog veel groter geworden terwijl er in die periode ruim een miljard is uitgegeven aan Microsoft licenties. Met dat geld had 10.000 manjaar aan migratie weg van Microsoft naar gratis alternatieven betaald kunnen worden. Geld dat dan in de Nederlandse economie was gebleven en grotendeels via loonbelasting en BTW weer terug bij de overheid was gekomen. Niet dat die 10.000 manjaar nodig waren. De Gemeente Ede deed het tegen de verdrukking in voor een fractie daarvan en bespaart inmiddels 92% op software. De rest van de overheid nog niet. Waarom niet?

Naast de enorme geldbedragen die hiermee gemoeid zijn (de BTW verdwijnt voornamelijk in de Ierse staatskas vanwege inter-Europese leveringen aan Ierse hoofdkantoren) is het de afgelopen maanden dankzij Edward Snowden ook duidelijk geworden dat met name Amerikaanse software wordt ingezet als spionage infrastructuur. Dit heeft concrete consequenties voor bijvoorbeeld de huidige semigeprivatiseerde infrastructuur van het EPD (Landelijk SchakelPunt) dat onder technisch beheer staat van een Amerikaans bedrijf en dat daardoor onder de Patriot Act valt. Maar ook de Windows pc's (die de-facto verplicht zijn in het middelbaar onderwijs) en de Gmail-accounts (die noodzakelijk zijn om een Universitaire studie te volgen) zijn onderdeel van het wereldwijde spionagenetwerk. Net als de iPhones die sommigen van u wellicht gebruiken en waarover NSA interne documenten met trots melden dat het geautomatiseerde aftap succes 100% is tegen nul dollar kosten per device.

Een en ander leidt ertoe dat zelfs als IT-projecten volgens enige definitie 'geslaagd' of 'operationeel' zijn deze vaak de grondrechten van miljoenen Nederlandse burgers (art 12 NL-grondwet, Art 8 EVRM, Art 12 UNDHR) schenden. Voorbeelden hiervan zijn het EPD, de OV-chipkaart en vele informatieverwerkende systemen van overheden die uitbesteed zijn buiten Nederland (zoals de database van vingerafdrukken die een aantal jaren lang vastgelegd is bij de uitgifte van paspoorten).

Zowel de EU als de Nederlandse overheid zijn al sinds de zomer van 2001 op de hoogte van deze problematiek en sindsdien is er in Nederland niets gedaan om de privacy van burgers of de veiligheid van data van Nederlandse publieke en private instellingen te waarborgen. Er is veel gedaan door de overheid dat deze problematiek enorm vergroot heeft.

Bovenstaande heeft in mijn optiek als consequentie dat een zuivere 'operationele' benadering van projectsucces bij lange na niet voldoet als de overheid haar rol als beschermer van de rechten van haar burgers serieus neemt.

Het afgelopen weekend heb ik de vijf video's van de hoorzittingen bekeken en was het meest onder de indruk van de bijdrage van Dhr. Swier Jan Miedema. Hij leek de enige die vanuit oprechte betrokkenheid hardop zei wat hij dacht (hoewel Prof. Verhoef ook best een paar wijze uitspraken deed). Het meest boeiende van zijn betoog vond ik de duidelijke angst om in het openbaar aan de Commissie te bevestigen wat velen in de Nederlandse IT weten: dat een partij als Centric op allerlei manieren haar machtspositie bij lokale overheden misbruikt voor korte termijn gewin (hier een ander voorbeeld).

Dat een IT-professional van dergelijke senioriteit met trillende stem om de hete brei moet dansen is tekenend voor de situatie in de 'markt' voor publieke ICT. Geïnstitutionaliseerde corruptie en machtsmisbruik toestaan lijkt meer op het bestuur van een ontwikkelingsland dan van een democratische rechtsstaat.

In de gesprekken met zowel Dhr. Miedema als diverse andere experts vroegen diverse leden van de commissie meerdere malen of deze personen niet wat zaken konden uitzoeken om 'het probleem' op te lossen. Een kijker van buitenaf zou zo maar kunnen concluderen dat er (twee jaar en 8-12 miljard Euro na de start van de Commissie) nog steeds het idee leeft dat deze problemen opgelost kunnen worden met zoiets eenvoudigs als een betere project-management methodiek. Op basis van mijn ervaring ben ik van mening dat de problematiek veel fundamenteler is.

Met klem wil ik u verzoeken veel breder en fundamenteler naar de problematiek te kijken en geen vragen of oplossingsrichtingen uit te sluiten. Zelfs niet als daarmee significante economische belangen van bovengenoemde leveranciers of de functies van groepen ambtenaren in het geding komen.

Zowel Dhr. Miedema als Prof. Verhoef uitten de mening dat alles wat er misgaat ruimschoots verklaard kan worden door de brede en diepe incompetentie die er bij zowel de overheid als haar leveranciers bestaat. Er zijn echter ook grenzen aan de incompetentie-theorie. Ergens wordt langdurig de ontstellende schaal van geldverspilling, het in gevaar brengen van de cybersecurity van Nederland en de schending van de privacy van miljoenen Nederlanders goed gevonden (of in ieder geval niet van een zwaarwegend belang in een belangenafweging). Het feit dat u met vijf volksvertegenwoordigers gedurende 2+ jaar in een paar uur per week een probleem dat honderden miljoenen per maand kost moet oplossen is wellicht ook een indicatie van de non-prioriteit die er aan gegeven wordt. Er zijn vele ambtenaren, bedrijven, cybercriminelen en spionagediensten in het buitenland die enorm voordeel hebben bij de status-quo. Kijk vooral ook wie er niet naar uw zittingen komen.

In de 21ste eeuw Worden Wetten Werkelijkheid middels software. Het past dus niet langer om de controle hierover volledig uit handen te geven aan (vaak buitenlandse) commerciële partijen. Uitvoerders moeten aan u verantwoording kunnen afleggen over hun doen en laten. Zonder gedetailleerde controle over de technologie waar zij volledig van afhankelijk zijn is dat niet mogelijk.

Vanzelfsprekend ben ik gaarne bereid bovenstaande zaken mondeling toe te lichten.

Met vriendelijke Groet,

Arjen Kamphuis

20 mei 2014: correcties tik/spelfouten n.a.v. email reacties - dank hiervoor!

21 mei 2014: Mailwisseling met Centric over mijn bijdrage

21 mei 2014: Interview BNR radio.

26 mei 2014: Mailwisseling met Centric, deel 2 over mijn bijdrage

9 juni 2014: De andere IT van een ander Nederland scenario hoe het ander had gekund, een keuze die vandaag nog steeds gemaakt zou kunnen worden...