overheid & IT

De andere IT van een ander Nederland

Onderstaande column is het vervolg op een artikel dat ik schreef in de eerste week van het Snowden/NSA schandaal in juni 2013. Waar dat artikel de concrete problemen beschreef beschrijf ik hieronder de andere keuzen de gemaakt hadden kunnen worden en nog steeds gemaakt worden en de voordelen voor Nederland en Europa ten opzicht van het huidige 'beleid'.

Ook gepubliceerd in het Engels op Consortium News en de Huffington Post

De afgelopen 10-15 jaar heeft de IT in Nederland zich niet ontwikkeld in lijn met publieke belangen en het garanderen van grondrechten van de burgers van Nederland. Ook zijn er enorme kansen op het gebied van economische ontwikkeling en werkgelegenheid gemist. Nederland besteedt veel IT uit aan buitenlandse partijen wat niet alleen tientallen miljarden Euro's (1-2% BNP) aan lokale economische groei/werkgelegenheid kost maar de samenleving ook de-facto uitlevert aan buitenlandse spionage op bestuurlijke instanties, bedrijfsleven en alle individuele burgers. Hoewel voor deze risico's al ruim 15 jaar werd gewaarschuwd is dit laatste aspect het afgelopen jaar door de onthullingen van Edward Snowden onweerlegbaar en zijn volle omvang aangetoond. 12 maanden later is er in Nederland geen spoor van een reactie op deze problematiek.

Het had ook anders gekund...

In de eerste 21 maanden van de 21ste eeuw barstte de dotcom bubbel en storten er drie wolkenkrabbers in elkaar in New York. Tussen deze twee gebeurtenissen in verscheen in de zomer van 2001 een grotendeels vergeten rapport aan het Europese Parlement dat de schaal en impact van elektronische spionage beschreef op Europa door de VS en haar 'Echelon' partners (Canada, het VK, Australië en Nieuw Zeeland). Naast een gedetailleerde probleem-analyse gaf het rapport ook concrete voorbeelden van beleidsmaatregelen op IT gebied die overheden konden nemen om buitenlandse inlichtingendiensten het bespioneren van Europa een stuk moeilijker te maken.

In dezelfde periode had de Amerikaanse overheid had een van de grootste anti-trust zaken in haar geschiedenis, tegen Microsoft, gewonnen en de EU was naar aanleiding van deze overwinning een vergelijkbare zaak gestart die ook tot een veroordeling en de hoogste boete in de geschiedenis van de EU zou leiden.

Het was tegen deze achtergrond dat het nadenken over de strategische versus operationele aspecten van IT in de publieke sector veranderde. Het rapport over Echelon maakte duidelijk dat het reduceren van IT tot een instrumentele zaak rampzalige consequenties had op de soevereiniteit van Europese staten te opzichte van, met name, de VS (en wellicht in de toekomst China, andere technisch capabele landen of niet-statelijke organisaties). Ook de economische gevolgen van industriële spionage tegen bedrijven werd een punt van zorg voor de overheid.

Mailwisseling Centric over Commissie ICT deel-II

Onderstaande mail is de tweede reactie in een mailwisseling met Centric die die begon naar aanleiding van mijn bijdrage aan de Tijdelijke commissie ICT. De oorspronkelijke bijdrage van 5 mei 2014 staat hier, een Engelse vertaling hier. De volledige mail van Centric zoals door ontvangen staat onder mijn reactie op deze pagina.

Geachte mevrouw Ferket, beste Noor,

Hartelijk dank voor uw uitgebreide reactie op mijn mail. Ik ben blij dat u op uw eigen wijze de belangrijkste punten uit mijn eerdere schrijven daarin bevestigd:

  • Centric maakt proprietary software applicaties, bij voorkeur gebaseerd op proprietary platformen en middleware;
  • Klanten van Centric die deze applicaties gebruiken worden hierdoor (vandaag gelukkig minder dan 5 jaar geleden) in hun keuzevrijheid voor platformen en middleware beperkt;
  • Centric onderhoudt commerciële relaties met de leveranciers van proprietary software;
  • Als onderdeel van deze relaties is Centric ook wederverkoper van de licenties van deze software met marge;
  • Centric heeft dus een zakelijk belang bij de echte (of beleefde) afhankelijkheid van haar klanten ten opzichte van deze leveranciers (een fenomeen dat ook wel bekend staat als 'vendor-lock');
  • Toen in 2007 Staatssecretaris Heemskerk een eerste stap probeerde te zetten om specifiek dergelijke vormen van afhankelijkheid in de publieke sector te doorbreken reageerde uw voorganger daar vooral defensief op wat leidde tot een serie aanvaringen tussen Centric en de opensource community (inclusief overheidsklanten van Centric);
  • Inmiddels levert Centric op een aantal punten het soort keuzevrijheden waar klanten, Rijksoverheid en Parlement al sinds 2002-2004 om vroegen;

Ik snap dat u bovenstaande punten liever invult als 'feature' waar ik het toch eerder als 'bug' zie. Perspectieven kunnen nu eenmaal verschillen en zolang we daar duidelijk over zijn naar alle andere betrokkenen is dat geen probleem.

BNR interview bijdrage aan ICT Commissie

Op woensdag 21mei gaf ik op BNR Radio commentaar op mijn brief aan de Commissie ICT van 5 mei.

In het gesprek gaan we vooral in op de vraag of inzet van opensource software, waarvan de specificaties voor controle openbaar beschikbaar zijn. Dit in tegenstelling tot z.g. proprietary software die als blackbox wordt geleverd en waarbij alleen de leverancier enige idee heeft wat de software echt doet. Dit laatste was altijd al in theorie een vrij serieus bezwaar voor het toepassen van dergelijke ontransparante software in de kritische functies van de overheid. Maar de theoretische bezwaren zijn door de onthullingen van Edward Snowden over het laatste jaar zeer concreet geworden. Amerikaanse inlichtingen diensten maken gebruik van ongedocumenteerde fouten in software of dwingen Amerikaanse bedrijven zelfs actief om geheime achterdeurtjes aan hun producten toe te voegen. Onder de Patriot Act kan een Amerikaans bedrijf medewerking niet weigeren en mag ze er ook geen melding van maken. De klant van zo'n bedrijf heeft dus geen flauw idee dat deze software van haar computer een afluister apparaat maakt. En in Nederland is er geen grotere klant dan onze overheid.

Verder blijft het gewoon jammer dat we inmiddels 12 jaar nadat de Tweedekamer om een koerswijziging vroeg nog steeds jaarlijks voor miljarden aan buitenlandse software blackbox kopen terwijl er gratis en transparante alternatieven bestaan. Een klein deel van die miljarden in Nederland uitgeven om die te verbeteren zo goedkoper zijn en het geld dat we uitgeven veel meer in de lokale economie houden.

Luister hier de BNR stream of de MP3.

Mailwisseling Centric over Commissie ICT bijdrage

Onderstaande mail is een rectie op de email die ik ontving van Centric naar aanleiding van mijn bijdrage aan de Tijdelijke commissie ICT. De oorspronkelijke bijdrage van 5 mei 2014 staat hier, een Engelse vertaling hier. De volledige door ons ontvangen mail staat onder mijn reactie op deze pagina.

Geachte mevrouw Ferket, beste Noor,

Dank voor uw mail. Wij laten geen “reaguurders” toe op onze site want dan zijn we de hele dag bezig met monitoring van- en reageren op aperte onzin en beledigingen. Uw mail is zeker niet beledigend naar mij maar bevat wel een zeer specifiek perspectief waar ik hieronder graag nader op in ga.

Ik publiceer uw mail (in zijn geheel- geen edits) en mijn reactie op mijn blog. Graag zou ik zien dat u in wederkerigheid hetzelfde doet op uw site zodat er voor alle betrokkenen (met name uw klanten) openheid is over onze uitwisseling van inzichten.

In mijn optiek is het doel van de Commissie ICT veel breder dan het bekijken van een aantal projecten en zijn deze slechts voorbeelden van een structureler probleem waar men inzicht in poogt te krijgen. Er zijn redenen om aan te nemen dat Centric op punten onderdeel van dit probleem is (zeker niet de belangrijkste veroorzaker - meer een symptoom).

Publicatie van de mijn brief is overigens gedaan in overleg met- en op verzoek van de Commissie.

Uw openingszin 'wij herkennen dat beeld niet' gaat heel subtiel volstrekt niet in op de vraag of er wellicht toch een feitelijke basis is voor mijn uitspraken. Het is mogelijk dat u oprecht niet weet wat de percepties zijn van veel van uw klanten en eindgebruikers. Maar een beetje moeite heb ik hier wel mee. Niet in de laatste plaats omdat uw voorganger Ben van Lier op een bijeenkomst in 2007 van NOiV in aanwezigheid van een flink aantal klanten verbaal nogal wild om zich heen sloeg toen deze hem kritische vragen stelden. Een aantal bezoekers was oprecht bezorgd om hem en vroeg of het verstandig was een ambulance te bellen. True story.

In de rest van deze reactie zal ik pogen hier wat duidelijkheid te scheppen, overigens vrijwel geheel op basis van publieke informatie of zaken die mij persoonlijk verteld zijn door (ex)medewerkers van Centric. Geen informatie die u dus niet al zou kunnen hebben.

Ondanks uw stellingname dat Centric in harmonie met haar tevreden klanten mooie dingen doet kom ik vaak 'klanten' tegen, meestal IT-ers werkzaam in organisaties die uw producten hebben, die helemaal niet blij zijn met Centric. Dit heeft trouwens zelden te maken met productfunctionaliteit of de implementatie van werkprocessen. Veel vaker met de technische keuzes die Centric maakt en waartoe zij haar klanten dwingt.

Een recent voorbeeld is de 'strijd' (ik citeer) met Centric die gemeenteambtenaren in Ede in eerste instantie zeggen 'verloren' te hebben over de vraag welk databaseplatform ingezet moest worden ter ondersteuning van een Centric-applicatie (link in brief). De gemeente wilde graag een ander platform gebruiken in plaats van de Oracle oplossing die 80.000 Euro per jaar kost (plus 20% 'onderhoudskosten'). Later gaf Centric toe dat dit wel kon wat dan de vraag oproept waarom dit niet al veel langer en veel actiever werd aangeboden aan lokale overheden.

Wetten Worden Werkelijkheid in software

Onderstaande brief is als email naar de Tijdelijke commissie ICT gestuurd.

5 mei 2014

Geachte leden van de Commissie ICT,

Door uw voorgangers ben ik op 1 juni 2012 uitgenodigd een bijdrage te leveren aan de expertbijeenkomst van de Parlementaire werkgroep ICT-projecten bij de overheid. De schriftelijke bijdrage die ik destijds heb aangeleverd staat hier.

Als IT-architect maar ook als bezorgde burger heb ik mij sinds 2002 actief bemoeid met het IT-beleid van de overheid op o.m. de dossiers EPD en open standaarden/opensource. In dit laatste dossier was ik in 2002 de initiatiefnemer van de Motie Vendrik die een grotere onafhankelijkheid van dominante leveranciers bepleitte. Vorig jaar mocht ik als technisch expert zitting nemen in de Commissie van Beek die Minister Plasterk heeft geadviseerd over de (on)mogelijkheden van de elektronische ondersteuning van het kiesproces.

Hoewel deze motie Vendrik in 2007 is vertaald in het Actieplan Heemskerk is dit beleid in 2010/11 door de lobbymacht van grote softwareleveranciers en de Amerikaanse overheid de nek om gedraaid. Zelfs de Algemene Rekenkamer is onder druk gezet om bepaalde vragen *niet* te stellen. Sinds 2002 heeft Nederland zo'n 60-90 miljard Euro uitgegeven aan buitenlandse software waarvoor in veel gevallen gratis alternatieven bestaan die net zo goed of zelfs beter zijn. Het gebruik hiervan wordt echter actief bemoeilijkt door zowel de Ministeries van OC&W en BZK, alsmede de VNG daarin gesteund door het lobbyapparaat van grote leveranciers en de Amerikaanse overheid.

Hoewel Minister Donner in 2004 in reactie op de Motie Vendrik al aangaf

  • dat de afhankelijkheid van Microsoft groot was;
  • dat dit een probleem was;
  • en dat middels invoering van open standaarden en de inzet van opensource dit opgelost kon worden;

Is die afhankelijkheid sindsdien nog veel groter geworden terwijl er in die periode ruim een miljard is uitgegeven aan Microsoft licenties. Met dat geld had 10.000 manjaar aan migratie weg van Microsoft naar gratis alternatieven betaald kunnen worden. Geld dat dan in de Nederlandse economie was gebleven en grotendeels via loonbelasting en BTW weer terug bij de overheid was gekomen. Niet dat die 10.000 manjaar nodig waren. De Gemeente Ede deed het tegen de verdrukking in voor een fractie daarvan en bespaart inmiddels 92% op software. De rest van de overheid nog niet. Waarom niet?

EPD, korte geschiedenis van een nationale ramp

<Webwereld column>

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Ruim 12 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo'n zoekmachine-oplossing is veel complexer dan een centraal systeem.

Grondwet buiten spel?

<Webwereld column>

Nederlandse GrondwetEr komt een nieuw grondwettelijk artikel over het briefgeheim (artikel 13) om dit artikel klaar te maken voor de 21ste eeuw en de komende maanden mogen burgers hun visie op deze zaak geven. Het briefgeheim moet garanderen dat burgers erop kunnen rekenen dat de inhoud van brieven-in-enveloppe (geldt niet voor ansichtkaarten) altijd vertrouwelijk blijft en niet zo maar wordt ingezien door de overheid voor bijvoorbeeld opsporingsdoeleinden.

Veel van de juridische discussies over deze voorgestelde grondwetswijziging zullen de komende maanden gebaseerd zijn op een aantal veronderstellingen;
1. Er een relatie is tussen wet en grondwet in Nederland
2. De Staat der Nederlanden houdt zich aan aan haar eigen wetten
3. De Nederlandse wet nog steeds relevant is voor dit vraagstuk

Al deze veronderstellingen zijn op z´n minst twijfelachtig.

Wetten worden in Nederland niet structureel aan de grondwet getoetst zoals dat bijvoorbeeld in Duitsland wel gebeurt. Daarnaast heeft relevante artikel 13 allerlei uitzonderingen ingebouwd: de overheid mag het briefgeheim niet schenden tenzij er een wettelijke uitzondering is die zegt dat dat wel mag, een rechter er toestemming voor geeft of iemand van een veiligheidsdienst besluit dat het nodig is voor het garanderen van de nationale veiligheid. Spannende vraag is dus hoe de nieuwe versie van deze uitzonderingen er uit ziet. Want in de huidige vorm werkt de grondwet dus alleen in het geval van een overheid die oprecht werkt aan het behartigen van de belangen van haar burgers. En in dat geval hebben we de grondwet niet zo hard nodig. Een beetje zoals een regenjas van vloeipapier zeg maar. Of de website crisis.nl.

ICT & Overheid, wat te doen?

<Webwereld column>

Klik voor grotere afbeelding

Afgelopen vrijdag mocht ik met andere 'experts' vragen beantwoorden van de in Parlementaire werkgroep ICT-projecten bij de overheid. Dit is een groep Kamerleden die een Parlementair onderzoek naar de vele ICT fails van de overheid aan het voorbereiden is. Na de zomer (en de verkiezingen) moet het onderzoek van start gaan met een set scherpe onderzoeksvragen. Aan de genodigde experts om voorstellen te doen voor die vragen. Het was opvallend hoe eensgezind de aanwezige IT-ers waren, ook al hadden we allemaal heel verschillende achtergronden (video).

Net als andere columnisten en opinieschrijvers heb ik ook op deze plek de overheid ook wel eens afgebrand over het rijke palet aan verspilling van veiligheid, privacy en algemene middelen. Het gaat, zeker bij de Rijksoverheid, dan ook al snel om gegevens van miljoenen Nederlanders en miljarden Euro's.

Voor columnisten is het dus eigenlijk altijd prijsschieten met zo'n overheid. Daarom is het ook wel mooi om op dit soort gelegenheden een meer constructieve bijdrage te kunnen leveren. Hoewel het eigenlijk jammer is dat dergelijke bijeenkomsten niet veel vaker worden georganiseerd en niet veel beter worden bezocht door de ambtenaren en leveranciers die verantwoordelijk zijn voor al die projecten. Voor de 6 miljard die op jaarbasis door het putje gaat (en dat zijn alleen nog maar de out-of-pocket kosten - de maatschappelijke impact is mogelijk vele malen groter) is het wellicht handig om wat vaker te overleggen. Niet dat ik het idee heb dat het clubje van vorige week kant-en-klare oplossingen heeft voor alle problemen die er zijn. Wel denk ik dat er een redelijke mate van eensgezindheid was over de grondoorzaken van problemen:

Parlementaire werkgroep ICT-projecten

Op 1 juni 2012 kwam de voorloper van de Tijdelijke Commissie ICT bijeen met een groep experts uit academia en bedrijfsleven. Hieronder mijn geschreven bijdrage. Eerst ruwe Opname van de videostream... Hier de bijdragen van Brenno de Winter, Rene Veldwijk, Pascal Hetzscholdt, Chris Verhoef, Ronald Prins en Walter van Holst. Column achteraf hier.

Inleiding – ICT en de Nederlandse Rijksoverheid
Andromeda M31 Universaliteit is een aanname in de astrofysica die zegt dat fenomenen zich overal zo gedragen zoals we ze vanaf de aarde kunnen waarnemen. Ik ga er van uit dat de fenomenen die ik waarneem bij ICT-projecten ook spelen bij ICT-projecten waar ik minder informatie over heb (dat dit zo is heeft vooral te maken met de gebrekkige uitvoering van de Wet Openbaarheid van Bestuur, zie opmerkingen Dhr. de Winter).

De wijze waarop ICT-projecten worden aangestuurd is gebaseerd op een nogal naïef model van de werkelijkheid “slimme ondernemers strijden op een open veld met elkaar om de gunsten van de overheid die met verstand en visie inkoopt”. Dit model heeft als nadeel dat we er de uitkomsten van projecten niet goed mee kunnen voorspellen. Vandaar ook deze werkgroep.

Het model "corrupt moeras met verkeerde incentives, bevolkt door zakkenvullers en incompetente clowns" voorspelt de gang van zaken rond projecten veel beter en geeft ook prima aan waarom het steeds mis gaat.

Asbest & IT

<Webwereld column>

Asbest

Decennia lang zijn in de hele westerse wereld huizen gebouwd met asbest. Asbest was een betaalbaar materiaal dat sterk, slijtvast, isolerend was en bovendien uitstekende brandwerende eigenschappen had. Door al dit fijns en de lage prijs was het ideaal spul om overal voor te gebruiken. En dat deden we dan ook.

Zolang dat asbest netjes op z'n plek blijft is er niet zo veel aan de hand. Dan doet het z'n werk en is er dus geen reden om over asbest na te denken. De problemen ontstaan wanneer er iets moet veranderen, een verbouwing bijvoorbeeld. Als bij het neerhalen van een muur de asbest vrijkomt als microscopische vezels vormt het een enorm gevaar voor de gezondheid van iedereen die de pech heeft dichtbij te zijn. Inmiddels is het verwerken van asbest zeer streng gereguleerd. Ondanks die regulering vallen er door alle asbest die decennia lang in allerlei zaken zijn verwerkt nog steeds twee keer zo veel doden als in het verkeer.

Omdat de lange termijn consequenties van het gebruik van asbest zo groot zijn is het gebruik er van verboden. Dit ondanks het feit dat de oorspronkelijke redenen voor het gebruik nog steeds bestaan. Asbest is nog steeds goedkoop, sterk, slijtvast, isolerend en brandwerend. Maar toch gebruiken we het niet meer omdat we de maatschappelijke prijs te hoog vinden. Strategische en maatschappelijke redenen zijn dus belangrijker dan praktische en technische voordelen. Dat betekent niet dat alles dat ooit met asbest is gebouwd nog deze week wordt afgebroken. Wel dat we het probleem niet meer groter laten worden door asbest te blijven gebruiken. Langzaam maar zeker wordt deze erfenis afgebouwd onder streng gecontroleerde omstandigheden.

Als er gesproken wordt over IT die overheden gebruiken voor hun dagelijks functioneren lijkt het maken van onderscheid tussen strategische en operationele argumenten nog vrijwel onmogelijk. Bezwaren over de fundamentele ongeschiktheid van gesloten of in het buitenland geplaatste (en daarmee niet te controleren) systemen worden eenvoudig weggewuifd met de stelling dat 'het toch wel handig is' en 'men er nu eenmaal aan gewend is' of zelfs 'dat verdachtmakingen hierover politiek niet bespreekbaar zijn'. Allemaal citaten die in de jaren '80 ook van toepassing waren op asbest en de leveranciers ervan.

Double Think en Zen

<Webwereld column>

Doublethink is een begrip dat door George Orwell geïntroduceerd is in zijn beroemde roman '1984'. Het is een mentaal mechanisme dat mensen in staat stelt oprecht en tegelijkertijd twee volkomen tegengestelde ideeën te geloven zonder die tegenstelling als problematisch te ervaren.

In de ruim tien jaar dat ik me in Nederland heb beziggehouden met opensource en open standaarden in de publieke sector ben ik heel wat geoefende doublethinkers tegen gekomen. Zo is mij gedurende al die jaren door 'experts' en insiders geduldig uitgelegd dat de migraties naar opensource desktops die de community  wilde onmogelijk waren omdat ambtenaren niet met andere platformen konden werken. Non-techies iets anders geven dan de Windows+Office desktop waarop ze getraind waren in het Nederlands onderwijs zou tot rampen leiden. Het Kon Echt Niet.

De stelligheid waarmee dit (tot op de dag van vandaag) op allerlei plekken als tegeltjeswijsheid gezegd wordt heeft mij altijd verbaasd. Eerder was Nederland namelijk van WP5.2 op DOS naar Word6 op Windows gemigreerd en toen is de Aarde toch ook echt gewoon blijven draaien, gingen kinderen naar school en kwam er water uit de kraan.

De diverse migraties, de meeste buiten Nederland, laten inmiddels ook zien dat gewone eindgebruikers prima hun werk kunnen doen met alternatieve platformen, mits ze daar even wat uitleg en ondersteuning bij krijgen (iets dat men trouwens ook volkomen normaal vindt bij de migratie naar nieuwe releases van de gebruikelijke proprietary systemen).

Dezelfde mensen die jaren lang met grote stelligheid beweerden dat 'Het Echt Niet Kon' zijn inmiddels druk bezig om heel trots iPads uit te rollen naar allerlei managers en directeuren die daar om allerlei redenen om vragen, of ze zelf meenemen. Kennelijk is de adoptie van een totaal ander platform, met een totaal andere interface, helemaal niet zo problematisch als al die jaren is gesteld. Huh?

Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

Komt een kamerlid bij de dokter...

<webwereld column>

Actieplan Heemskerk

Een kamerlid strompelt hoestend binnen bij de dokter. Er loopt bloed uit oren en neus en het linkeroog. “Dokter, ik ben daarnet lelijk gevallen en ik geloof dat ik mijn pols gebroken heb” rochelt het kamerlid. De dokter kijkt naar de pols en voelt er even aan. “Doet dit pijn?”. “Gaat wel” steunt het kamerlid. “Ik geloof dat het wel meevalt” zegt de dokter, “Ik kan vandaag helaas geen röntgenfoto maken want het digitale röntgenapparaat doet het vandaag niet.” Het kamerlid zwaait een en weer. “Het is waarschijnlijk een kneuzing, de verpleegkundige zal u een verband geven. Doet u het een paar dagen rustig aan en mocht de pols dan nog steeds pijnlijk zijn kom dan even terug”. Het kamerlid wankelt de spreekkamer uit, nog steeds bloedend uit oren, neus en oog. De dokter is al weer bezig met het dossier van de volgende patiënt, want doktoren hebben het nu eenmaal druk.

Het hierboven beschreven proces lijkt wel een beetje op de werkwijze van de Algemene Rekenkamer in de beantwoording van vragen gesteld door Kamerleden. De Kamerleden als non-experts een vraag en de Rekenkamer beantwoordt deze zonder de context van de vraag te analyseren of zich af te vragen of de genoemde symptomen wellicht onderdeel zijn van een breder probleem. In het net verschenen rapport worden de vragen netjes beantwoordt, overigens op basis van de meest minimale data. En dat is jammer want het is juist de Rekenkamer die de mogelijkheid heeft zelf vast te stellen dat er wellicht een vraag achter de vraag zit. In plaats van een discussie te houden over 88 miljoen euro aan licentiegelden (minder dan 1% van de totale jaarlijkse licentiebestedingen) had de Rekenkamer ook de vraag kunnen stellen waarom dingen die in omringende landen wel kunnen niet in Nederland lukken. Is Nederland echt zo anders dan Finland, Duitsland, Frankrijk of Spanje?

Vinger in de dijk

<webwereld column>

Je zal de komende dagen maar woordvoerder van Translink zijn. Echt balen. Maar eigenlijk zouden Translink en de verantwoordelijke bewindslieden Brenno et al heel dankbaar moeten zijn. Want door er op deze nette manier aandacht aan te geven is er in ieder geval een kans op het vermijden van heel veel toekomstige fraude. Een handvol journalisten met activistische insteek hebben wederom de rol van Hans Brinker gespeeld en hun vinger in de lekkende dijk gestopt om vervolgens heel hard te roepen 'Help! Er is een lek!'.

Na verloop van tijd (kan soms 3 jaar duren) komt er dan iemand om het gat in de dijk te pluggen met een oude theedoek en een schroevendraaier. De onderliggende problemen worden niet besproken en dus ook zeker niet opgelost. Na verloop van tijd is er weer een ander lek waar dan hopelijk weer iemand z'n vinger in steekt. Zo hobbelen we al zeker tien jaar van drama naar drama. C2000, Walvis, EPD, Stemcomputers, OV-chip, Kind-Dossier, GOUD, P-direkt, SPEER en vele, vele andere publieke succesnummers die trouwe Webwereld lezer wel zal herkennen.