'We kunnen niet anders dan de ict resetten'

Gemeenten maken het te moeilijk voor zichzelf door niet samen te werken op ict-gebied en de complexiteit te laten groeien. Adviseurs Herman Timmermans en Kees Groeneveld, die de nodige ervaring hebben op het gebied van digitale overheid, presenteren daarom vandaag hun boek Reset de gemeentelijke ICT aan de Tweede Kamercommissie Digitale Zaken. ‘Doorontwikkelen vanuit het bestaande biedt geen oplossing.’ En cloudcomputing is niet hét antwoord zoals het vaak wordt voorgesteld.

Waarom zoiets drastisch als een ‘reset’?

Timmermans: ‘De overheid is gewend stap voor stap te ontwikkelen. Als je op ict-gebied zo te werk gaat, ben je heel lang bezig. En de ingreep die moet komen is naar ons idee zo fundamenteel dat we niet anders kunnen dan resetten. Opnieuw beginnen.’

 

Het lijkt zo voor de hand te liggen om samen te werken. Waarom gebeurt dat zo weinig?

Groeneveld: ‘Er zijn 352 autonome gemeenten en die autonomie zit ook in hun ict-inspanningen. Elke gemeente maakt eigen keuzes. En ze vervangen software niet op hetzelfde moment, wat samenwerking lastig maakt.’

 

Ze zoeken dus hun eigen weg. Waarom is dat gevaarlijk?

Groeneveld: ‘Het risico is natuurlijk dat de oplossing die de leverancier aanbiedt, niet de oplossing is die de gemeente het beste uitkomt. De trend is nu dat ze kiezen voor cloudcomputing, omdat dat veiliger zou zijn. In de aanbesteding stellen ze ook eisen. Dat klinkt heel leuk, maar dan zie je dat ze de eigen organisatie vergeten. Een gevaar is dat je schijnveiligheid creëert. Toch krijgen gemeenten langzaamaan door dat je voor cloudcomputing best veel kennis van zaken moet hebben. Hoe wil je sturing geven aan een proces als je er te weinig kennis van hebt?’

 

Leveranciers doen soms alsof alles in de cloud zal eindigen, maar dat is volgens jullie niet zo?

Timmermans: ‘Er zijn hele specifieke eisen van gemeenten waarvan je kunt afvragen of cloudcomputing de oplossing is. moeten. En er is een hele hoop legacy. Gemeenten moeten goed afwegen wat ze naar de cloud brengen en wat ze in eigen huis houden.’

 

‘En waarom. Nu is de keuze voor “cloud” vaak vanwege de kosten. Je importeert dan gelijk een hele hoop andere vraagstukken, zoals hoe het zit met de beveiliging van data en hoeveel invloed er is op de beschikbaarheid van zo’n dienst. Als een gemeente daar niet goed over heeft nagedacht dan loop je het risico dat je aan de leiband van de leverancier komt te lopen.’

 

Jullie zijn positief over de ontwikkeling van Common Ground?

Timmermans: ‘Het is een nieuwe informatiekundige benadering en die kunnen we alleen maar onderschrijven. Het scheiden van data en bewerkingen is een van de eerste slagen die je moet maken om als gemeente eigenaar van de data te blijven.’

 

Groeneveld: ‘Maar het is één aspect en niet de hele oplossing. Als gemeenten hun eigen features eraan gaan toevoegen, ben je weer terug bij af. In theorie kunnen gemeenten met Common Ground makkelijk afscheid nemen van leveranciers, maar in de praktijk gaan leveranciers er toch weer een eigen laag aan toevoegen met aanvullende functionaliteiten, waardoor het lastig wordt om over te stappen. De vraag blijft in hoeverre leveranciers en gemeenten zich aan de uitgangspunten houden. Common Ground moet onderdeel zijn van een visie, een groter geheel, en dat is nu niet goed ingevuld.’

 

Waarom kunnen jullie je niet aan de indruk onttrekken ‘dat de keuze voor Common Ground aanvankelijk is ingegeven door emotie’ die is ontstaan ‘uit de onbalans in belangen tussen opdracht­gevers en leveranciers’?

Groeneveld: ‘In het recente verleden maakten verschillende leveranciers gebruik van hun positie. Een voorbeeld: bij Centric gingen ze modules aanbieden in één suite. Wie een module wilde, moet dan de hele suite afnemen. Toen PinkRoccade werd overgenomen door TSS, ging de onderhoudsbijdrage tot 40 procent omhoog. Toen Vicrea werd overgenomen door datzelfde TSS, ging de bijdrage zelfs in één geval tot 1600 procent omhoog. Het zorgde voor een tegengeluid van gemeenten. Common Ground is onderdeel van dat tegengeluid.’

 

Timmermans: ‘Het ontstond in een soort black box. Mensen gingen bij elkaar zitten en regels opschrijven. Dat wekte verwondering bij de leveranciers. Wij roepen op om te gaan samenwerken – ook met de markt.’

 

Wat is jullie indruk van het Europese data- en cloudproject Gaia-X?

Timmermans: ‘Ik kan niet in een glazen bol kijken maar van de laatste geluiden word ik niet vrolijk. Europa heeft op ict-gebied, ten opzichte van Amerika en China, natuurlijk gigantisch de boot gemist en Gaia-X is voor een deel bedoeld om de achterstand in te halen. Het initiatief is in Duitsland begonnen, Frankrijk is aangehaakt en nu lijkt het alsof de Fransen demarreren en oplossingen promoten om de markt te beheersen, zoals Big Tech dat doet. Dat zet kwaad bloed, onder andere bij kleinere lidstaten. Alsof de ene dominante partij wordt vervangen door de andere.’

 

‘Van de opstelling van de Nederlandse overheid hierover werden we niet vrolijk. Zoals bij veel EU-projecten keek Nederland de kat uit de boom. De houding was: “Waar gaat dit over? Waarom zouden we ons daarover druk maken? En het is ook nog eens duurder.” De overheid heeft Gaia-X helemaal op zijn beloop gelaten en pas onder druk van de industrie kwam er beweging.’

 

De overheid legt de nadruk op regels en procedures voor beveiliging terwijl de technische vertaling achter blijft lopen, schrijven jullie. Vinkjes zetten lijkt een doel op zich. Dat hoor ik ook van ethische hackers, maar overheden wijzen al snel naar de BIO. Wat moet daaraan veranderen en hoe?

Groeneveld: ‘Bij Hof van Twente kon je op het hoogste autorisatieniveau binnenkomen met het wachtwoord Welkom2020. Je kunt aan elke leverancier wel vragen om de certificering, maar intern moet het niet achterblijven. De meeste overheidsorganisaties zijn eigenlijk te klein om de kennis en kunde in huis te hebben. Dat moeten ze erkennen en veel meer gaan samenwerken.’

 

Timmermans: ‘Probeer vooral de complexiteit te verminderen. Er wordt veel wet- en regelgeving ontwikkeld, maar de vertaling naar uitvoering komt pas later. Dat kan niet. Wij pleiten ervoor om daar al bij het ontwerp over na te denken. Geen extra controle- en auditlijstjes, maar werk by design. De mensen die het uitvoeren, zoals privacy officers, worden bedolven onder allerlei regels en procedures. Toch kom ik nergens het begrip ‘complexiteitsreductie’ tegen.’