0

i estuur Onafhankelijk kwartaalmagazine voor de iOverheid. Nummer 46, jaargang 13, april 2023 ai Tweede Kamer focust op risico’s staat van de uitvoering Groeimodel om te informeren, agenderen en inspireren RIKKY VAN OSCH, NIEUWE VOORZITTER ACICT ‘Overheden moeten ons zien als die kritische vriend’

SOCIETY 5.0: DE MENSELIJKE MAAT IN PUBLIEKE DIENSTVERLENING Society 5.0 staat voor een superslimme samenleving. Het is een visie op de wijze waarop onze samenleving zich kan ontwikkelen door slim gebruik van nieuwe technologieën. Society 5.0 biedt een wenkend perspectief voor Nederland om verder te kijken. Maar het vinden van de balans tussen doorgeslagen digitalisering en doorgeslagen maatwerk is hard nodig. Zeven op de tien Nederlanders vinden bijvoorbeeld dat de overheid technologie beter moet toepassen in haar dienstverlening. Meer weten? Download Society 5.0: waardengedreven digitalisering met de menselijke maat’ via: www.capgemini.nl/society-5-0

the chief ‘Mag het wat minder?’, kun je denken bij het lezen van dit nummer van iBestuur. En dan heb ik het vooral over complexiteit. Deze stoorzender steekt in meerdere artikelen de kop op. Neem het interview met Rikky van Osch, voorzitter van het Adviescollege ICT-toetsing. Wat ziet zij als een van de oorzaken van het IT-falen bij de overheid? “Projecten zijn vaak te groot, te complex en te veel gecentraliseerd. De uitvoering van het systeem voor de Omgevingswet is enorm complex geworden, want alle aanvragen - van heel groot tot aan de dakkapel - moeten via één systeem. Dat is vragen om problemen.” Ze zegt niets nieuws, maar de neiging tot complexiteit is blijkbaar hardnekkig. Lees er het artikel over de ‘Staat van Uitvoering’ maar op na. Over deze optelsom van rapportages van uitvoeringsorganisaties zegt Nathan Ducastel, directeur VNG Realisatie: “We lopen vast in complexiteit. […] Een deel van die complexiteit komt tot stand doordat de samenleving om heel fijnmazige wet- en regelgeving vraagt met veel ruimte voor uitzonderingen op uitzonderingen.” Complexiteit kan ook voortkomen uit het speelveld. Zo dringt de Kamercommissie Digitale Zaken er bij het kabinet op aan werk te maken van wetgeving over de risico’s van AI. Staatssecretaris Van Huffelen wil wachten op regelgeving uit Brussel, waarop de Nederlandse regelgeving dient aan te sluiten. Zo lig je te dobberen in de doldrums, terwijl je weet dat er een storm in aantocht is. Wat te doen? Ik pleit voor de aanstelling van Johan Remkes als speciaal rapporteur voor complexiteitsreductie. Arnoud van Gemeren arnoudvangemeren@ibestuur.nl Nummer 46, april 2023 3

6 ‘Overheden moeten ons zien als die kritische vriend’ Rikky van Osch, Adviescollege ICT-toetsing Staat van de Uitvoering Groeimodel om te informeren, agenderen en inspireren 18 56 4 12 • Bestuurlijke Kopgroep Digitalisering: ‘Buitenboordmotortje’ versterkt bestuurlijke aandacht • Dit is ‘het decennium van de provincie’ • ‘We gaan echt dingen voor elkaar krijgen met elkaar’ • Projecten in de etalage ‘Te veel focus op toetsing en controle, te weinig op uitvoering’ ICTU-directeur Hans Verweij over IT-projecten Zuid-Holland op expeditie ‘Platform is opstap naar iets veel groters’ De belofte van quantum advantage ‘Nu vast nadenken over maatschappelijke impact’ 36 60

in dit nummer 68 84 Podium • Selectie van een SaaS-leverancier [32] • Europese Commissie geeft flinke impuls aan data delen [48] • Digitale veiligheid van smart city-systemen: analyse en oplossingsrichtingen [52] • ‘Waar is de burger in de Nederlandse cybersecuritystrategie? [64] • Innoveren op topniveau? Dat kan alleen met innovatiemanagement [92] • ICT en gedragsverandering: de crux zit in acceptatie [95] • De informatiehuishouding van de toekomst: inspiratie uit de natuur [102] Afelonne Doek [59] Sophie in ‘t Veld [67] Piek VisserKnijff [75] Partners Microsoft [40], Centric [42], TCS [44], Salesforce [46], Tanium [51], Amazon Web Services [76], Capgemini [78], Blueriq [80], Deloitte [82] Nummer 46, april 2023 5 Tweede Kamer focust op risico’s van AI Nog veel beren op de weg I-strategie Rijk: data en algoritmen ‘Tijd nodig om dit soort I-aspecten in ons DNA te krijgen’ De democratie crasht... ... maar het is nog niet te laat Digitale spoelkeuken ‘Met DigiD is een single point of failure gecreëerd’ Columns Sander Klous[35] 72 88

Rikky van Osch is sinds 1 januari 2023 voorzitter van het Adviescollege ICT-toetsing, tot eind 2020 bekend als BIT (Bureau ICT-toetsing). Ze is de opvolger van Hans Verkruijsse. Met 35 jaar ICT-ervaring op zak, kent ze de worstelingen van de CIO. “Ik voel me vooral hun sparringpartner.” Maar wel een kritische. Rikky van Osch, nieuwe voorzitter Adviescollege ICT-toetsing ‘Overheden moeten ons zien als Waarom koos u voor deze functie? “Ik ben al drie jaar lid van de toezichtraad. Toen het nog BIT heette, keken we periodiek naar het beoordelingsproces. Met de omvorming tot Adviescollege (AcICT) zijn we inhoudelijk meer betrokken. Dat vind ik veel leuker, want ik heb 35 jaar ICT bij overheden en bedrijfsleven gedaan. Die praktijkervaring is mijn toevoeging. Ik voel me de sparringpartner van de CIO’s. We kunnen elkaar recht in de ogen kijken en het gesprek aangaan over wel en niet goed.” Is dat de nieuwe benadering van u; meer overleg en minder op het hakblok leggen? “Ik leg het accent als voorzitter iets anders, daar is ook meer ruimte voor na uitbreiding van het college van drie naar vijf.” Ik proef dat u projecten, projectleiders en CIO’s minder wilt veroordelen en meer wilt overleggen. Klopt dat? Door Peter Olsthoorn Beeld Lex Draijer/De Beeldredaktie 6 “Ik denk dat ik waarde kan toevoegen in die dialoog omdat ik zelf ook in hun positie heb gezeten. Bij de SVB leidde ik het PGB-traject (PersoonsGebonden Budget) waarvan het voorstel destijds een negatief advies kreeg

die kritische vriend’ Nummer 46, april 2023 7

van het BIT. Daarna leidde ik project vAKWerk van de SVB voor de Kinderbijslag, dat kreeg juist een heel positief onthaal. Beide ervaringen bieden voordeel in de CIO-overleggen waarin ik zit, ik ken de worstelingen.” Hoe kwam dat eerste snoeiharde advies aan? “Ik kwam uit de financiële wereld en was nieuw bij de overheid. Het BIT had wel gelijk, maar het ergste vond ik het politieke gevolg van dat openbare advies: politici grepen het aan voor kritiek op de hele PGB-uitvoering. Die moest de SVB uit handen worden genomen vond de oppositie.” Ontvangers van jullie concepten schrikken zich een hoedje en uiten kritiek. Past de AcICT concept-rapporten op verzoek aan, en soms om politieke redenen? “Ja, niet zelden schrikken ze flink van de concepten die wij toesturen vóór publicatie. Natuurlijk vragen opdrachtgevers, meestal DG’s of plaatsvervangers, om conclusies af te zwakken. Of ten minste de formuleringen te verzachten. Dan ga je in overleg of er valide argumenten zijn voor aanpassing. Die doen we alleen op feitelijke onjuistheden. We gaan al om de tafel vóór de eerste bevindingen; dat vinden betrokkenen vaak al behoorlijk zwaar ook al erkennen ze de problemen. Ze zijn bang voor de openbaarheid en de politieke gevolgen; en dat de oplossingen veel geld zullen kosten. Dan moeten ze een hoger budget gaan vragen.” Nog steeds ‘BIT-angst’? “Ja, en dat is jammer, want we vergezellen de scherpe adviezen altijd van suggesties voor verbetering. Dat wordt niet altijd zo opgepakt, zeker niet door de politiek en de media. Vanmorgen nog bespraken we een conceptadvies dat de opmerking ontlokte: ‘Als De Telegraaf dit maar niet negatief gaat oppikken.’ Dan wordt er op voorhand om aanpassingen gevraagd. Als we daaraan beginnen, is het einde zoek. Als je de toonzetting verandert, zwak je een advies af. Doe er je voordeel maar mee dat we het zo scherp stellen.” Dat vindt u, maar de ontvangers zijn AcICT liever kwijt dan rijk? “Dat is echt aan het veranderen. Met één DG heb ik nu regelmatig overleg en die zegt letterlijk: ‘Adviseer zo scherp mogelijk’, want die ziet de voordelen ervan. Bij Binnenlandse Zaken noemen ons nu ‘een kritische vriend’. Wellicht is dit ook wat sarcastisch bedoeld, maar ik zou willen dat ze ons daadwerkelijk als die kritische vriend zien; dat we hen de helpende hand bieden. Als een project uit de klauwen loopt, kan ons 8 tegenkomt? De plaatsvervangend SG van Financiën, vroeg om diepgaand overleg. We hebben nu met de leiding van de Belastingdienst elke drie maanden vrijblijvend overleg voor kennisdeling. Met 35 jaar praktijkervaring kan ik helpen. Ook bij Justitie komt zo’n gesprek op gang. Maar we ontmoeten ook opdrachtgevers en projectmanagers die gaan ‘terugmanagen’ en in de verzetsstand gaan. Ik vind het heel belangrijk om die trend van kritische vriend, onafhankelijk maar met een wil tot dialoog, vast te houden en te zorgen dat ze ons zo zien.” Is er nog licht aan het einde van de tunnel bij de Belastingdienst? “We zien een rode draad van problemen in de hele ICT bij de overheid. Projecten zijn vaak te groot, te complex en te veel gecentraliseerd. De uitvoering van het systeem voor de Omgevingswet is enorm complex geworden, want alle aanvragen - van heel groot tot aan de dakkapel - moeten via één systeem. Dat is vragen om problemen. advies ook ondersteunen om meer geld te vragen om de zaak weer op de rit te krijgen.” Problemen met ICT-projecten stapelen zich op, zoals bij de Belastingdienst. Wat kunt u doen? “We hebben drie rapporten van projecten gemaakt en komen dezelfde patronen tegen. Dan is de vraag: hoe voorkom je een vierde en vijfde keer dat je dezelfde struikelblokken Als je de toonzetting verandert, zwak je een advies af. Doe er je voordeel maar mee dat we het zo scherp stellen

Rikky van Osch: “We ontmoeten ook opdrachtgevers en projectmanagers die gaan ‘terugmanagen’ en in de verzetsstand gaan.” De bouw van een nieuw systeem is bijna altijd een big bang, veel te groot opgezet, een gevolg van de wetgeving die als een waterval komt terwijl ICT agile wil werken, veel meer iteratief. Aan die wetgeving wordt soms zelfs het systeem gekoppeld, zoals PLOOI voor de Wet open overheid. Dan vraagt de uitvoering zich af, inclusief de IT’ers: “Is dit nog wel de oplossing voor het probleem dat we moeten oplossen?” Neem een concreet probleem: nieuwe box 3-wetgeving bij de inkomstenbelasting. De Belastingdienst zet, inclusief ICT, de hakken in het zand, want ziet een zoveelste veroordeling opdoemen. Je kunt toch niet even kijken of het lukt met het systeem en zo niet, dan moet de regering maar terug naar de Tweede en Eerste kamer voor aanpassingen? “Het is nooit zo dat je iets niet kunt automatiseren, maar de Belastingdienst kampt met hele oude systemen die niet geschikt zijn voor nieuwe toepassingen. De dienst heeft de afgelopen jaren te weinig ruimte gekregen voor vervanging, Nummer 46, april 2023 terwijl er jaarlijks nieuwe wetgeving bijkomt. We kampten daar aanvankelijk ook bij de SVB mee, COBOL-systemen voor AOW en Kinderbijslag met 6 miljoen regels. Elke kleine wijziging had direct consequenties voor het hele systeem en leidde tot enorme testtrajecten. Wij konden die legacy tijdig moderniseren, maar de Belastingdienst staat nu voor een dikke muur en wil drie jaar gevrijwaard blijven van wettelijke wijzigingen.” Het hele systeemdenken is ouderwets en staat diametraal tegenover het denken in data en AI. Zo’n box 3-heffing reëel maken met genoten inkomsten met behulp van AI vereist toch een totaal andere benadering? “Terechte opmerking, maar er zijn uitzonderingen. Het probleem is ook dat we alles willen automatiseren. Die laatste 20 procent kost 80 procent van de inspanning en budget. Misschien moeten we gaan voor automatisering voor 80 procent en een andere oplossing zoeken voor de laatste 20 of misschien 5 procent van de gevallen.” 9

Hoe ingewikkelder de regelingen, des te groter dat percentage. Recent onderzoek van de UvA naar toeslagen spreekt van een ‘wirwarverzorgingsstaat’. Kan AcICT ook politiek advies verstrekken? “Als politiek zich uitlaat over ICT, kan ICT ook de bal terugspelen naar de politiek. Bij de SVB hadden we te maken met nogal wat verschillende uitleggen van het begrip ‘inkomen’, waarbij je steeds met correcties moest komen op uitkomsten van het systeem.” Kan AcICT proactiever worden? Zo stokt de teruggave aan slachtoffers van de toeslagenaffaire. Kan AcICT dan zeggen: laat ons uw systeem eens even bekijken? “Dat moet ik even nagaan in de wetstekst, want voor zover ik weet kunnen wij enkel ingaan op aanvragen van de Rijksoverheid. AcICT heeft wel als additionele taak de beoordeling van onderhoud en beheer van bestaande systemen gekregen.” Dus een kritisch advies is een momentopname. Is een structurele bewaking niet te verkiezen? “Dat is uiteraard nodig, maar dat is de taak van CIO’s. Wij komen wel vaker terug bijvoorbeeld bij het DSO - met wel vijf adviezen -, BRP en PGB. Maar om dat steeds en overal te doen is te veel gevraagd; hoe groot zouden we dan niet moeten worden? We kunnen maar de helft van de aanvragen honoreren en selecteren op vermoedelijke risico’s. Blijkbaar doen we dat goed want we hebben altijd een hoop op te merken.” Maar u weet niet wat AcICT allemaal mist. “Dat is juist. We willen wel groeien, maar kunnen niet alles toetsen. Het budget van ruim 5 miljoen euro staat lichte groei toe.” Die 5 miljoen is tegenover de omvang van de projecten en opbrengsten van de bijsturing toch veel te weinig? “Ja, we zijn heel betaalbaar. We toetsten in 2022 projecten voor in totaal 1 miljard euro. Als je dat door een big four consultancybedrijf zou laten doen ben je al heel snel een veelvoud kwijt.” Ton Elias, van 2012-2014 voorzitter van de Tijdelijke commissie ICT-projecten bij de overheid, waaruit het BIT voortvloeide, zei recent dat er weinig verbeterd is. Hoe leest u dit? “Hoe was het zonder ons geweest? We kunnen veel betekenen, maar de overheids-ICT niet redden. Overheden moeten meer leren van elkaar. En ICT moet integraal onderdeel van Nummer 46, april 2023 wetgeving worden, in wisselwerking, zoals Mariette Lokin in het vorige iBestuur Magazine bepleit. Neem de STAP-regeling voor vouchers van 1.000 euro voor opleidingen. Dat systeem werd door zwakke wetgeving en uitvoering gestopt vanwege fraude. Daarnaast was het niet passend voor de doelgroep. Nu komen er al veel aanpassingen aan de systemen en de uitvoering (inspectie).” We kunnen veel betekenen, maar de overheids-ICT niet redden Leveranciers zijn medeschuldig aan falende projecten. Ze worden vaak niet eens genoemd, laat staan aangepakt. Waarom adviseren jullie niet om facturen van leveranciers niet – volledig – te betalen? “Wij zullen dat nooit suggereren, maar benoemen soms leveranciers die niet leveren, zoals bij DidiInhuur. Bij UWV hebben we opgemerkt dat er een vendor lock-in dreigt, overigens de eerste verantwoordelijkheid van de opdrachtgever.” Kunt u daarin niet wat steviger optreden? “We zien wel dat de afhankelijkheid van externe leveranciers voor ICT veel te groot is. Bovendien hebben ze vaak dezelfde belangen als ze elkaar moeten beoordelen op kwaliteit. Er is krachtiger leveranciersmanagement nodig bij de Rijksoverheid zodat de regie daar ligt. IT-personeel werven is echter moeilijk, je loopt tegen te lage salarisnormen aan. Dat zijn van die dilemma’s die je niet oplost, net als Europees opgelegde aanbestedingstrajecten. Dat zijn drama’s, met veel te veel rompslomp. Treurig…” 11

Staat van de Uitvoering Groeimodel om te informeren, agenderen en inspireren In januari dit jaar kreeg Kamervoorzitter Vera Bergkamp de ‘Staat van de Uitvoering’ overhandigd uit handen van Abdeluheb Choho, directeur RVO. De Staat van de Uitvoering is de optelsom van individuele rapportages van een groot aantal uitvoeringsorganisaties over knelpunten in de praktische uitvoering van beleid. iBestuur keek naar een aantal rapportages en sprak erover met Nathan Ducastel (directeur VNG Realisatie) en Nathalie van Berkel (lid Raad van Bestuur UWV). e wortels van het rapport ‘Staat van de Uitvoering liggen ook weer in rapportages: met name het rapport ‘Ongekend onrecht’ over de toeslagenaffaire. In de nasleep daarvan is vastgesteld dat er interventies nodig zijn om herhaling te voorkomen. Via het programma Werk aan Uitvoering wordt gewerkt aan verbeteringen op zes gebieden: dienstverlening, digitalisering, wetgeving, samenwerken in de driehoek, statuur en vakmanschap, en de rol van de politiek. D Onderdeel van het programma Werk aan Uitvoering is de Staat van de Uitvoering, bedoeld om ‘slepende problematiek in de beleidsuitvoering aan het daglicht te brengen’. Individuele uitvoeringsinstellingen rapporteren via hun vakminister aan de Tweede Kamer over hun eigen Stand van de Uitvoering. Maar er gaat ook informatie rechtstreeks naar Tweede Kamerleden in de vorm van zogenaamde knelpuntdocumenten. Door Erik Bouwer Beeld iBestuur/Barry Hage 12

Nummer 46, april 2023 13

Nathalie van Berkel, lid Raad van Bestuur UWV: “Het accent van de inhoud ligt op wet­ en regelgeving waar we niet vanaf kunnen wijken, die tot ingewikkelde situaties in de praktijk leidt.” “Die knelpuntenbrieven zijn, in tegenstelling tot andere rapportages, dus géén politieke documenten”, benadrukt Nathalie van Berkel, lid Raad van Bestuur UWV, in een vraaggesprek met iBestuur. “Doel van die knelpuntenbrieven is het informeren van Kamerleden en zorgen voor bewustwording over de ongewenste effecten van wetgeving en beleid. Waar lopen wij als publieke dienstverlener tegen aan? En is dit echt wat u als wetgever heeft bedoeld? Dit aan de orde stellen hoort bij onze professionaliteit als publieke dienstverlener.” Groeimodel De Staat van de Uitvoering is omkleed met de nodige speelruimte: het programma is bedoeld om ‘te informeren, te agenderen en te inspireren’. De opstellers noemen het ook een ‘groeimodel’: het vergt ‘meerdere jaren om een compleet beeld van de uitvoering te krijgen’, aldus de bijbehorende website. Dat blijkt ook uit een globale analyse van iBestuur (zie verderop): de ene uitvoeringsinstelling rapporteert zeer uitgebreid en kijkt zowel naar binnen (bedrijfsvoering) als naar buiten (wetgevers en beleidsmakers, én prestaties richting burgers en bedrijven); de ander beperkt zich tot vijf punten in een overzichtje van twee A4’tjes. “Waar knelt het nu in de uitvoering? Hoe kom je tot meer publieke waarde? Daar hebben we vanuit verschillende perspectieven en op verschillende manieren een beeld van gegeven”, reageert Nathan Ducastel (directeur VNG Realisatie) op de verschillen in de documenten. Ducastel gelooft ook niet in een soort blauwdruk of format hiervoor. “Ik zie dit zelf vooral als een eerste goede oefening. De verschillende Standen van de Uitvoering zullen ons helpen om er meer lijn in te krijgen.” Potentie Zou een externe partij met een frisse blik laten meekijken naar de knelpunten tussen beleid en uitvoering kunnen helpen dingen nog scherper te krijgen? Nathan Ducastel geeft hierbij aan dat externe experts vanuit verschillende expertises en rollen, zoals Albert Jan Kruiter (IPW), Herman Tjeenk Willink en Reinier van Zutphen (NO), ook al zorgen voor scherpe reflectie en voldoende input van buitenaf richting de uitvoeringsinstellingen. In reactie op de verschillen in de opzet en omvang van de rapportages wijst Van Berkel vooral op de grote verschillen die tussen de publieke dienstverleners bestaan. Omvang, type werkzaamheden en regelingen, onderliggende werkprocessen en de afspraken tussen publieke dienstverleners, departement en minister: ze lopen sterk uiteen. En zbo’s kunnen zich in knelpuntbrieven wat meer vrijheden veroorloven omdat ze niet rechtstreeks aan een minister rapporteren. Van Berkel focust daarom liever op de potentie van de knelpuntbrieven. “Uniek is dat we hiermee als zbo zelf in gesprek kunnen met de leden van de vaste Kamercommissie. Het accent van de 14

Nathan Ducastel: “Vanuit de uitvoering lukt het onvoldoende tegendruk richting de wetgever te organiseren.” beeld: ilya van marle inhoud ligt op wet- en regelgeving waar we niet vanaf kunnen wijken, die tot ingewikkelde situaties in de praktijk leidt. Een voorbeeld: mensen met een Wajong-uitkering mogen in veel gevallen naast hun uitkering ook werken. Als zij een variabele bonus van hun werkgever ontvangen, verdienen ze wellicht meer dan wettelijk is toegestaan. Als UWV bij de verrekening over de jaargrens heengaat, wordt er bruto verrekend. Dat kan betekenen dat iemand bij verrekening van 1.000 euro soms 2.000 euro moet betalen. Dit bruto-netto verschil kan cliënten in financiële problemen brengen, omdat meer dan het ontvangen bedrag terugbetaald moet worden. Dat leidt regelmatig tot problemen. Het verschil moet men zelf terugvragen bij de Belastingdienst. Veel mensen weten dit niet. Het is bovendien een onnodige workaround en wij zouden dit graag anders willen voor onze cliënten.” Ducastel benadrukt vooral het belang van een van de eindconclusies in het eindrapport: “We lopen vast in complexiteit. We proberen alles in wetten en regels te vatten. Een deel van die complexiteit komt tot stand doordat de samenleving om heel fijnmazige wet- en regelgeving vraagt met veel ruimte voor uitzonderingen op uitzonderingen. Hoe fijnmaziger de afspraken, hoe lastiger de uitvoering en hoe lastiger het beleid. Vanuit de uitvoering lukt het onvoldoende daar tegendruk richting de wetgever op te organiseren. En als dat wel gebeurt doen we dat vaak vooral binnen de eigen kolom en te weinig over domeinen heen. De vele bezuinigingen op de uitvoering hebben daar ook invloed op gehad.” Diagonale oriëntatie Dan de overstap naar de verbeter- en veranderplannen, want uiteindelijk moet de overheid – van Rijk tot gemeente en van departement tot zbo’s – hard aan de slag. Dat is althans de overtuiging van Ducastel. “De problemen zoals die bijvoorbeeld ontstaan zijn rond de toeslagenaffaire kan je niet alleen Nummer 46, april 2023 15 Hoe fijnmaziger de afspraken, hoe lastiger de uitvoering en hoe lastiger het beleid

vanuit één ministerie oplossen. Sterker nog, het denken in organisaties – kolommen met bijbehorende geldstromen die wetten uitvoeren – staat ons hierbij meer in de weg dan dat het helpt. Maatschappelijk opgaven vragen om diagonale oplossingen, volgens processen en ketens, door organisaties en lagen heen.” Een ander risico dat Ducastel ziet is dat het aanpakken van knelpunten misschien wel leidt tot optimalisaties binnen uitvoeringsinstellingen, maar niet per se in de ketens. Om juist dat te voorkomen is een aparte DG aangesteld die hier organisatieoverstijgend mee aan de slag gaat, aldus Ducastel. Analyse CBR, Kadaster De Staat van de Uitvoering, de Standen van de Uitvoering en de knelpuntbrieven moeten de wetgevers voorzien van inzicht: waar loopt goed bedoeld beleid vast? In deze analyse kijken we naar de keuzes die wel en niet gemaakt zijn rond de Staat van de Uitvoering. En we lichten er drie voorbeelden uit: CBR, Kadaster en DUO. Essentieel dat wij als gemeenten onze invloed laten gelden Het idee van een ‘diagonale oriëntatie’ is in ieder geval omarmd, zegt Ducastel. Maar het doorvoeren ervan, je raadt het al, is complex. “Het betekent bijvoorbeeld dat je geld op een andere manier gaat verdelen. Ook zullen dan andere vraagstukken versneld moeten worden aangepakt, zoals het wegwerken van IT-legacy en een beter gebruik van de al bestaande generieke digitale infrastructuur. Dat is een belangrijke en onmisbare basis”, bepleit Ducastel. Inlvoed gemeenten Tot slot de 342 gemeenten, waar een groot deel van de uitvoering van beleid terechtkomt. Ducastel: ““Uiteraard zijn gemeenten en provincies allereerst democratisch gelegitimeerde bestuurslagen met een eigen mandaat, autoriteit en taken. Maar gemeenten doen ook heel veel taken in medebewind, waarbij ze veel samenwerken in ketens met andere overheden. Gemeenten staan daarbij het dichtst bij de burger of ondernemer. Zij zien goed wat de effecten zijn van alle verschillende regelingen naast elkaar en waar het knelt, terwijl ze niet verantwoordelijk zijn voor de wetgeving die tot die uitvoering leidt. Daarom vind ik het essentieel dat wij als gemeenten meedoen met de Staat van de Uitvoering en onze invloed laten gelden.” 16 et belangrijkste bezwaar van de Staat van de Uitvoering is dat het ontbreekt aan standaardisatie of een format. Dat verwijt maakt ook de stuurgroep achter de Staat van de Uitvoering. De ene dienst maakt veel meer werk van de verantwoording dan de ander en daardoor varieren de documenten nogal in kwaliteit en mate van detail. H CBR wil grotere rol In de knelpuntenbrief van het CBR valt meteen op dat de organisatie een “overkoepelende beweging wil maken”: de transitie van uitvoerder naar publieke dienstverlener. Het CBR heeft namelijk de wens om “een grotere rol (te willen) gaan spelen op het terrein van de verkeersveiligheid en de eigen kennis, expertise en data nadrukkelijker in wil zetten om proactief een bijdrage te leveren aan de vorming en doorontwikkeling van beleid.” Het CBR beschrijft verder de uitdagingen en dilemma’s die de organisatie ervaart. Het CBR legt aan de hand van meerdere voorbeelden de nadruk op de impact van beleidskeuzen (denk aan de verplichte rijtest voor mensen met ADHD). Het CBR wijst daarbij naar de beleidsmakers als obstakel voor de uitvoering. Maar de organisatie reflecteert niet op de grotere rol die het CBR zelf zegt te willen gaan spelen. Zo’n beweging vergroot de kans dat de uitvoering van de (wettelijke) kerntaken de komende tijd een probleem blijft en dat het aantal programma- en beleidsmedewerkers blijft groeien, maar dat wordt dus niet als knelpunt gezien.

en DUO Zo voeren uitvoeringsorganisaties vaak eigen klanttevredenheidsonderzoek uit, maar is niet altijd duidelijk hoe en wat nu precies bij wie is gemeten, aldus de stuurgroep. Een gevolg daarvan is dat de inhoud van de individuele Standen van de Uitvoering niet altijd even concreet is, laat staan vergelijkbaar. Er wordt vooral geschreven over hoe de complexiteit van landelijk beleid belemmeringen opwerpt, maar minder over de uitvoering van de diensten zelf (de prestaties van hun primaire proces) of hun eigen wendbaarheid. De conclusies lokken daarnaast de aanstelling van nog meer beleidsmakers en veranderaars uit. Dat wordt impliciet onderstreept door de onderzoekers zelf, die in de Staat van de Uitvoering in een afsluitende infographic aangeven dat tussen 2017 en 2021 de Rijksoverheid relatief harder in omvang is gegroeid op het vlak van beleid en ondersteuning dan op het vlak van uitvoering. Er wordt nauwelijks aandacht besteed aan zaken waarmee men wil gaan stoppen. Nieuwe wetgeving en de stapeling van beleid maken de uitvoering ingewikkelder, en zijn ‘verreweg de grootste knelpunten voor burgers, ondernemers en uitvoeringsorganisaties’. Rapportagedruk Een extra risico is de uitbreiding van de Staat van de Uitvoering naar gemeenten. Er zijn al allerlei benchmarks, Rekenkamerrapporten en Ombudsmanrapportages beschikbaar die allemaal richting gemeenteraden gaat. Maar in plaats van samenwerken en harmoniseren wordt gekozen voor het optuigen van een nieuw instrument richting de Tweede Kamer. Dat betekent nog meer informatie- en rapportagedruk, terwijl binnen veel gemeenten een gebrek aan capaciteit de uitvoering onder druk zet of de grenzen van de uitvoering zelfs al bereikt zijn (aldus de VNG eind vorig jaar). Kadaster kijkt naar prestaties Hoewel de knelpuntenbrief van het Kadaster zeer summier is, is het Kadaster ook de enige uitvoeringsinstelling die direct aangeeft dat de 950 woorden een aanvulling zijn op het jaarverslag van het Kadaster. Dat jaarverslag biedt op een heldere manier inzicht in (wettelijke) (kern)taken, doelstellingen en prestaties van de organisatie. Ook neventaken worden helder beschreven. Bij de publieksdienstverlening staat “de tevredenheid over de dienstverlening is goed en werd in 2021 met een 8,0 beoordeeld,” maar onduidelijk is hoe en volgens welke standaarden dit wordt gemeten. Ook is niet duidelijk welk (meetbaar) niveau van dienstverlening het Kadaster wil bieden (denk aan doorlooptijden) en wat daarin behaald wordt. Wel is het Kadaster glashelder als het gaat om het (kostendekkend) resultaat van de wettelijke taken: er blijft ruim 39 miljoen over. DUO is bondig en volledig Met De stand van DUO wil de organisatie een beeld geven van de dienstverlening, van de waardering daarvoor bij klanten, én van de aandachtspunten “die zij en wij ervaren”. DUO is zeer concreet en bondig over de eigen prestaties (inclusief meetmethoden) én over de uitvoeringsproblemen die de klant raken. DUO benoemt ook aan welke oplossingen wordt gewerkt; ook wanneer dat niet lukt. Soms is dat te wijten aan de verschillen in dynamiek van besluitvorming bij beleid en uitvoering. Verschillende knelpunten hebben te maken met de ketens waar DUO in werkt. Problemen in die ketens ontstaan onder meer door complexiteit, onvoldoende regie en onderlinge afhankelijkheden. Die komen soms pas tot uiting bij de daadwerkelijke invoering van nieuwe regelgeving en maken het soms extra moeilijk om vraagstukken snel op te lossen. Nieuw beleid wordt wel getoetst om alle mogelijke consequenties voor de uitvoering in kaart te brengen, maar uitvoeringstoetsen kijken op dit moment niet altijd naar alle gevolgen voor de héle onderwijsketen: van studenten tot instellingen en softwareleveranciers. DUO stelt vast dat beleidsmakers meer gebruik zouden kunnen maken van de ervaring van DUO met het vertalen van beleid in de dagelijkse uitvoering. Nummer 46, april 2023 17

Interprovinciale Digitale Agenda Digitalisering is onontbeerlijk gezien de omvangrijke opgaven waarvoor provincies staan. Niet alleen van bedrijfsvoering en dienstverlening, maar ook en vooral op de inhoudelijke thema’s zelf. De Bestuurlijke Kopgroep Digitalisering (BKD) die in 2019 in het leven werd geroepen, sluit haar werkzaamheden op 20 april formeel af tijdens de Dag van de Digitale Provincie. Een terugblik met BKD-voorzitter Martijn van Gruijthuijsen (VVD-gedeputeerde Noord-Brabant) en BKD-lid Mirjam Wulfse (VVDgedeputeerde Groningen). “We moesten echt een been bijtrekken.” Door Els Wiegant Bestuurlijke Kopgroep Digitalisering ‘Buitenboordmotortje’ E en achterstand was voor de provincies reden om de kopgroep in te stellen, vertelt Martijn van Gruijthuijsen. “Naast de reguliere structuur heb je soms een buitenboordmotortje nodig voor een thema dat extra bestuurlijke aandacht vraagt. Dat was dit. In het begin was dat nog best lastig, maar door corona werd digitalisering ineens een relevant en populair onderwerp.” De kopgroep bestaat uit zes gedeputeerden. Ieder van hen heeft een collega-bestuurder van een andere provincie als ‘digitale tweeling (m/v)’. Mirjam Wulfse: “De provincies moeten de omslag maken van analoog naar digitaal, naar datagedreven werken. Onze taak was het om onze colleges en organisaties mee te nemen in dat denken. Die zes was precies goed om stappen te kunnen zetten én het Umfelt betrokken te houden.” Slim te werk gaan Het initiatief voor de Interprovinciale Digitale Agenda ontstond vanuit de Kring van Provinciesecretarissen. Sinds 2021 is het programma onderdeel van de IPO-begroting. Bij haar start stelde de kopgroep zich een principiële vraag, vertelt Van Gruijthuijsen. “Beperken we onze ambitie tot de digitalisering van bedrijfsvoering en dienstverlening of gaan we verder? We kozen voor dat laatste. We koppelden digitalisering aan onze kerntaken: stikstof, wonen, energie en regionale economie. Op die inhoudelijke thema’s moet je datagedreven leren werken. Dat deden we door in living labs dingen te ontwikkelen. Zo oogst je gelijk het laaghangende fruit, want zoiets als stikstof is heel actueel en dynamisch en met data kun je de toegevoegde waarde van digitalisering goed aantonen.” Wulfse vindt dat het de kopgroep enorm heeft geholpen dat 18 Overdrachtsdossier met oproep In de afgelopen jaren leverde de BKD een veelheid aan producten en instrumenten op: van een bijdrage aan de standaard voor het nationaal algoritmeregister tot nota’s over dataethiek, van kerndatasets tot handreikingen. Wulfse: “We hebben in korte tijd grote stappen gezet.” Van Gruijthuijsen: “Er is door veel mensen hard aan gewerkt, waardoor we erin zijn geslaagd niet alleen een been bij te trekken maar zelfs voorloper te worden.” Het meest recente product van de BKD is een Whitepaper Digitalisering. Daarin doet de BKD vijf aanbevelingen aan het IPO-bestuur (zie kader). Van Gruijthuijsen: “Het is een soort overdrachtsdossier met een oproep: wij hebben al veel gedaan, maar wees u ervan bewust dat het werk niet klaar is. Blijf er bestuurlijk op acteren.” Wulfse: “Digitalisering is niet de taak van een klein cluppie. Het moet in de volle breedte worden opgepakt. Dat vergt veel en dit whitepaper is onze inbreng versterkt het Rijk de provincies erkende als ‘gebiedsautoriteit’. “Er is een aantal grote opgaven bij ons neergelegd. Dat betekent keuzes maken en dat is superingewikkeld. Nederland zou eigenlijk anderhalf tot twee keer zoveel grondgebied moeten hebben om alle opgaven goed te kunnen situeren. Wil je in zo’n complexe situatie slim te werk gaan en keuzes maken die je kunt verantwoorden en inzichtelijk maken, dan red je het niet met papier. Dan heb je data nodig, goede data.”

Martijn van Gruijthuijsen en Mirjam Wulfse: “Digitalisering is niet de taak van een klein cluppie.” beeld: ilse wolf/erik slot bestuurlijke aandacht om dat gedachtegoed te laten doorsijpelen naar de nieuwe bestuursperiode na de verkiezingen van maart 2023.” Of de verkiezingen voor de Provinciale Staten de gemaakte vorderingen kunnen afremmen of zelfs tenietdoen, is niet helemaal uit te sluiten, vindt Van Gruijthuijsen. “Garanties heb je nooit in een democratie.” Toch denkt Wulfse dat het besef van de noodzaak van digitalisering in alle provincies voldoende aanwezig is. “We hebben op de provinciehuizen ook analoge sessies gedaan, gewoon met de kaarten op tafel. Dan zie je hoe schier onmogelijk het is om zonder de juiste digitale middelen al die opgaven in elkaar te passen, in je keuzes allerlei waarden mee te nemen en dat te doen binnen de gestelde tijd. Je moet daarnaast laten zien hoe je tot die keuzes bent gekomen, dat vraagt de bevolking van ons.” Houding van het Rijk Noemenswaardige weerstand heeft de kopgroep na een misschien wat moeizame start niet ontmoet. Het enige waar Van Gruijthuijsen zich een klein beetje zorgen om maakt, is de houding van het Rijk. “Het Rijk ziet eerder problemen, zoals beperkingen in verband met de privacy, dan kansen. Provincies hebben zeker aandacht voor de ethische kant van data, maar op onze bestuurslaag heb je het meestal over ruimtelijke aspecten die niet direct aan personen zijn gekoppeld. Juist daarom zeg ik tegen het Rijk: ga met ons mee, gebruik óns om te innoveren op digitalisering.” Nummer 46, april 2023 Aanbevelingen in het Whitepaper Digitalisering Zorg ervoor dat digitalisering interprovinciaal nadrukkelijk op zowel de bestuurlijke als de ambtelijke agenda blijft staan door het thema te verankeren in de IPO-structuren. Stel uiterlijk in Q3 2023 een Interprovinciale Werkagenda Digitalisering op om collectief uitvoering te kunnen geven aan de grote opgaven. Geef individuele provincies het advies om bij de formatie het thema digitalisering als bestuurlijke portefeuille te beleggen. Zorg voor versteviging van de interbestuurlijke positionering en profilering, zodat de gezamenlijke provincies een krachtige gesprekspartner zijn richting Rijk en Europa. Zorg dat collectieve uitvoeringskracht binnen afzienbare tijd beschikbaar is. Stel uiterlijk Q3 2023 een businessplan op met ontwikkelplateaus. 19 1 2 3 4 5

Interprovinciale Digitale Agenda Digitalisering heeft een gezicht gekregen Dit is ‘het decennium van Op het gebied van digitalisering waren de provincies hekkensluiter, nu lopen ze voorop. Zo typeren Marcel van Bijnen (provinciesecretaris Zuid-Holland), Jolinda van der Endt (directeur BIJ12, zie kader) en Jan van Ginkel (concerndirecteur provincie Zuid-Holland) de ontwikkeling van de afgelopen vier jaar. Met een handjevol enthousiaste collega’s wakkerden Van Bijnen en Van Ginkel het vuurtje aan. De laatste: “Iedereen was met digitalisering bezig, maar niemand dacht dat je daar de provincies bij nodig had. Dat is substantieel veranderd.” Door Els Wiegant Hoe het begon… Marcel van Bijnen: “In de Kring van Provinciesecretarissen – ik zat toen in Brabant – werd geconstateerd dat de provincies achter liepen op digitalisering, het had te weinig prioriteit. Ik wilde het thema graag op me nemen, maar alleen met mensen die daar echt enthousiast voor waren. Want niet iedere provincie was veranderingsbereid; er was wel een andere mindset nodig.” Jan van Ginkel: “We zagen steeds meer maatschappelijke vraagstukken op ons afkomen waar je digitalisering hard voor nodig hebt. Denk aan de energietransitie. Wij zijn eraan gaan sleuren om de provincies mee te krijgen. De bestuurlijke kopgroep die een jaar of zo later in het leven werd geroepen, heeft er ook vol energie aan getrokken. Lekker creatief, buiten de gewone structuren om, zijn we een beweging gaan creëren. Dat is fantastisch gelukt.” Jolinda van der Endt: “Ik ben kort na de start aangehaakt om de producten die voor de digitalisering van de provincies worden ontwikkeld, te kunnen beheren. Wij hebben ervoor gezorgd dat we voorbereid waren om bijvoorbeeld datasets te ontwikkelen en te beheren. Ook ontwikkelen we methoden om data op een uniforme en gestandaardiseerde manier op 20 te halen bij de bron, zodat optelbare en betrouwbare gegevens kunnen worden doorgegeven aan de provincies. Voor de ontwikkeling van de informatievoorziening die hiervoor nodig is maken we gebruik van bestaande ICT-voorzieningen en licenties die we al in huis hebben. We hebben die slim, efficiënt en state-of-the-art aan elkaar gekoppeld, zodat we een stevige basisinfrastructuur hebben. Daardoor kan de Vaste Kamercommissie Digitale Zaken in de Tweede Kamer snel reageren als de provincies iets vragen.” Wat het opleverde… Van Bijnen: “Wat we ons hadden voorgenomen was: het been bijtrekken op de onderdelen waar de provincies in achterliepen én toewerken naar uniformering. Voorheen werkte iedere provincie voor zich; in de loop der tijd zagen we steeds beter waar je dingen slimmer samen kon doen. Daar is uniformering voor nodig. Bovendien wil je als collectief kunnen optreden richting Rijk, gemeenten, leveranciers, et cetera. Ook daarvoor zijn massa en uniformiteit onontbeerlijk. Digitalisering heeft pas nut als het in onze kernopgaven tot verbetering leidt. Neem de PAS-uitspraak van de rechter. Dankzij die uniformiteit konden we geodata koppelen en heel snel een monitor ontwikkelen. Zodat het Rijk meteen kon zien: hier zit het probleem, daar de uitstoters en daar de mogelijkheden om te schuiven.’ Van Ginkel: “Door onze samenwerking zijn het profiel en de positie van de provincies aan het veranderen. We zitten nu aan allerlei beleidstafels en zijn een interessante gesprekspartner geworden voor Rijk, VNG, Unie van Waterschappen, Europa, het bedrijfsleven en kennisinstellingen, zoals universiteiten. Dat is echt in de afgelopen vier jaar opgebouwd.” Van Bijnen: “Onze bestuurders worden ook steeds vaker geraadpleegd, door de Tweede Kamer of de staatssecretaris bijvoorbeeld. Rondom digitalisering in combinatie met de grote opgaven zoals woningbouw, energietransitie en het Nationaal Programma Landelijke Gebied doen zij inmiddels heel goed mee. Sterker nog: ze willen vooraan lopen. Ook in het bestuur en de begroting van het IPO is het nu geborgd; het was het kleinste onderdeel, inmiddels is het ’t grootste. Daar ben ik wel trots op.”

de provincie’ Marcel van Bijnen.”Toewerken naar uniformering.” Jolinda van der Endt: “Digitalisering is concreter gemaakt.” beeld: keith shoolbred Van der Endt: “Digitalisering heeft een gezicht gekregen. Voorheen was het nogal een abstract begrip, nu is het veel concreter gemaakt en de urgentie ervan is duidelijk geworden.” Van Ginkel: “Europa en het Rijk kijken altijd erg naar de morele, ethische kant van digitalisering. Ook daar zijn de provincies nu actief in. We bouwen aan een ethisch-morele agenda en hebben onlangs een Interprovinciale Ethische Commissie met externe partners in het leven geroepen.” Wat de volgende stappen zijn… Van Bijnen: “We moeten nu alles wat met digitalisering te maken heeft, verbreden en ‘3.0’ maken. Dat doen we onder meer door gezamenlijk in te kopen, door te kijken naar infrastructuur en naar hoe we het uitwisselen van kennis makkelijker kunnen maken. Dat is een on-going proces. Op de dossiers waar we nog niet zo lang mee bezig zijn, zoals energietransitie, moet je het hele veld aan elkaar verbinden. Daar heb je digitalisering ook bij nodig. Dit is ‘het decennium van de provincie’ Jan van Ginkel.” Bouwen aan een ethisch­morele agenda.” gebleken: als je ziet wat er allemaal op ons afkomt, dan kun je er niet onderuit dat digitalisering daar een belangrijke basis en driver voor is.” Van Ginkel: “Onze kernopgaven kunnen wij alleen realiseren als we dat met al onze partners samen doen. Dat betekent dat je digitaal gegevens moet uitwisselen. Daarvoor moet je niet alleen beleid ontwikkelen, maar ook uitvoeringskracht hebben. Dat is een nadrukkelijk punt in deze volgende fase: versterking van die uitvoeringskracht.” BIJ12 BIJ12 ondersteunt provincies bij de uitvoering van wettelijke taken en doet dat met kennis, informatie en data over het landelijk gebied en de fysieke leefomgeving. Kijk voor meer informatie op: bij12.nl. Nummer 46, april 2023 21

Interprovinciale Digitale Agenda ‘We gaan echt dingen voor Van stikstof, woningbouw tot energietransitie. De maatschappelijke opgaven in de fysieke leefomgeving zijn niet meer op te lossen zonder inzet van data. Daarom startte vier jaar geleden de Interprovinciale Digitale Agenda, waarin de twaalf provincies samenwerken aan deze vraagstukken. Programmamanager Marten Tilstra en Larissa Riemsma, programmamanager Drenthe Digitaal, kijken terug. “We zijn echt een ecosysteem geworden.” Door Pieter Verbeek e digitale transformatie staat hoog op de agenda bij alle overheden in ons land. Anders dan bij het Rijk en de gemeenten vindt deze voor provincies vooral plaats in de fysieke leefomgeving. Zo ontwikkelden de provincies een kerndataset voor de energietransitie. Bij de woningbouwopgave is inzicht in plancapaciteit en voortgang onmisbaar. En voor de stikstofcrisis zijn stikstofanalyses nodig om beleidskeuzes te kunnen onderbouwen. D De afgelopen vier jaar heeft de Interprovinciale Digitale Agenda (IDA) langs vier programmalijnen gewerkt: data, dienstverlening, innovatie en bedrijfsvoering. Dat heeft een aantal succesvolle producten en verbeteringen in de dienstverlening van provincies opgeleverd. Zo hebben de provincies vanuit de IDA in de eerste programmalijn samen met Rijk, gemeenten en kennispartners de eerder genoemde kerndataset ontwikkeld voor de monitoring van het klimaatbeleid en in het bijzonder de energietransitie. Dat was nodig, want er was vaak sprake van een vergelijking tussen appels en peren tussen provincies, zo concludeerden de provinciale rekenkamers in 2018. Een uitdaging bij de digitale transformatie is nog wel om de mensen mee te krijgen, voegt Larissa Riemsma van de provincie Drenthe, toe. “We hebben techniek en data, maar hoe wij daar als mensen mee om (kunnen) gaan is cruciaal. Datagedreven werken vraagt om een hele andere manier van denken en andere vaardigheden. Als je data wilt gebruiken moet je ze wel kunnen interpreteren. Daar moeten we dus medewerkers in meenemen en opleiden.” Ook binnen de Interprovinciale Digitale Agenda is hier aandacht voor, met name in het project Digivaardige organisatie. Veranderende wetgeving De programmalijn Dienstverlening gaat vooral over hoe de provinciale (publieke) diensten nog beter kunnen worden afgestemd op veranderende wetgeving en de behoeften van ondernemers en inwoners. Toegankelijkheid, privacy en voldoen aan wetgeving vormen rode draden in de gezamenlijke aanpak hierin van de provincies. Van de Wet modernisering elektronisch bestuurlijk verkeer (Wmebv), Single Digital Gateway (SDG), de Wet digitale overheid (Wdo), de Wet elektronische publicaties (Wep) tot de Wet open overheid (Woo). “Er komt nogal wat af op provincies”, vertelt Tilstra. “Dan hebben 22

elkaar krijgen met elkaar’ Marten Tilstra en Larissa Riemsma: “Concrete resultaten boeken voor de provincies” Nummer 46, april 2023 23

Interprovinciale Digitale Agenda we het nog niet eens over de Europese wetgeving die eraan komt. We moeten er allemaal wat mee. Het is dus logisch om dan met z’n twaalven de krachten te bundelen, en centraal een aanpak te bedenken. Vanuit de IDA hebben we bijvoorbeeld een handreiking gemaakt voor de implementatie van de Wmebv. Voor de SDG zijn de gezamenlijke provincies via IDA in januari 2023 succesvol technisch aangesloten op het Europese Your Europe portaal. Wat waardevol is gebleken is dat we als IDA echt een ecosysteem zijn geworden dat concrete resultaten boekt voor de provincies.” Digitale Innovaties De programmalijn Innovatie stelt provincies voor een heel andere uitdaging, stelt Tilstra. “Provincies zijn zelf allemaal bezig met innovatie, ze kijken bijvoorbeeld of AI kan worden toegepast bij de bediening van bruggen of sluizen of bij infrastructuuronderhoud. Maar ze namen nog maar zeer beperkt succesvolle innovaties van elkaar over. Daar lijkt nu ook verandering in te komen. We zien dat dit begint te werken.” Zo hebben Zeeland en Noord-Holland de techniek achter de Utrechtse snuffelfiets overgenomen voor eigen projecten. En begin dit jaar is de Dutch Societal Innovation Hub van start gegaan: een publieke innovatiehub die bedoeld is om digitale innovaties beter toegankelijk te maken voor provincies en gemeenten (zie verderop in dit katern)”. Cybersecurity De samenwerking op het gebied van bedrijfsvoering is de afgelopen jaren ook versterkt in de programmalijn Bedrijfsvoering, volgens Tilstra. “Provincies waren nog hoofdzakelijk zelfstandig bezig om hun bedrijfsvoering te regelen. De afgelopen jaren is het gelukt om op een aantal belangrijke onderwerpen meer samen te werken. We zijn inmiddels bezig met een aantal succesvolle Europese aanbestedingen. En er wordt gewerkt aan het Informatieknooppunt Cybersecurity. De provincies zijn als enige bestuurslaag nog niet aangesloten op het landelijk dekkend stelsel voor cybersecurity en ontvangen dus nog niet uit eerste hand dreigingsinformatie. Met dit informatieknooppunt gaat dat straks wel gebeuren.” Interprovinciale i-Visie Binnen de provincie Drenthe hebben ze in ieder geval veel profijt van de komst van de IDA, stelt Riemsma. “Met name als het gaat om de implementatie van de wetten. Iedere provincie moet dat doen, dus het is veel handiger om samen te werken en kennis te delen over de implementatie dan wanneer iedereen het wiel zelf moet uitvinden. In Drenthe kunnen we op die manier ook onze mensen efficiënt inzetten. Maar ook bij het werken met data heeft Drenthe veel gehad aan de IDA. We moeten als provincie integrale gebiedsplannen gaan opleveren. Los maar eens een stikstofprobleem op zonder data, dat gaat gewoon niet lukken. Je hebt metingen nodig. Daar is interprovinciale afstemming bijvoorbeeld vanuit IDA enorm van belang, anders kunnen we die integrale gebiedsplannen gewoonweg niet opleveren.” In IDA-verband ontwikkelden de provincies een informatiekundige visie op de ontwikkeling van de informatievoorziening van provincies: de interprovinciale i-Visie. Die heeft voor Dren24

the grote waarde. “Ik heb voor ons beleid in Drenthe een aantal programmalijnen uitgezet die ik zo kon overnemen uit de i-visie”, vertelt Riemsma. “Dat gaat bijvoorbeeld over de basis op orde brengen, slimmer omgaan met data en om mensen beter uit te rusten. Digitalisering gaat zo snel, je moet er flexibel in staan met elkaar. Dat is ook een van de doelen: flexibeler worden om te kunnen inspelen op die opgaven. Tegenwoordig zijn er meer data dus die moet je gebruiken; en laten zien aan de samenleving wat je ermee doet. Ik wil verder als provincie een informatieknooppunt maken zodat je de data beschikbaar kunt stellen aan anderen, zodat die er ook mee aan de slag kunnen en je met elkaar een ecosysteem gaat bouwen.” Dat is ook de toekomst vult Tilstra aan. “De provincies vervullen vanuit hun rol als middenbestuur steeds meer een rol als informatiemakelaar in plaats van zich alleen met beleidsontwikkeling bezig te houden.” Van denken naar doen Als programmamanager voor IDA ziet Tilstra drie prioriteiten voor de gezamenlijke digitaliseringsagenda. “We moeten gaan van denken naar doen. We moeten niet alleen praten, maar echt dingen voor elkaar krijgen met elkaar. Ten tweede is dat we ons verbinden met bestaande samenwerkingsverbanden. De derde prioriteit is dat we meer vertellen wat we doen, het meer laten zien. Daar gaan de we komende tijd mee verder.” En dat doet Tilstra met een klein programmabureau met enkele vaste medewerkers en een aantal ingehuurde projectleiders. De IDA is sinds 2021 een programma van het IPO. “Door sprak de kopgroep uit dat het thema digitalisering ook in de komende bestuursperiode bestuurlijke aandacht nodig heeft. Een van de uitdagingen de komende jaren voor provincies is om meer met data vooruit te kijken, legt Tilstra tot slot uit. “We willen met behulp van data niet alleen checken hoe het gaat, maar ook scenario’s voor de toekomst ontwikkelen. Dat is voor afzonderlijke opgaven al ingewikkeld, zoals energie of stikstof, laat staan voor de combinatie van verschillende opgaven in de fysieke leefomgeving in onderlinge samenhang. Daar valt nog een wereld te winnen voor provincies, en daar gaan we met volle energie mee door.” IDA onder te brengen binnen IPO heeft het programma duidelijk bestuurlijke aandacht gekregen en is het mogelijk geworden om een versnelling aan te brengen op dit thema.” IDA kent een soortgelijke governance als de andere IPO-programma’s: de Ambtelijke Regiegroep IDA en een Bestuurlijke Kopgroep Digitalisering. De kopgroep had een tijdelijke opdracht en is inmiddels opgeheven. Bij het einde van zijn werkzaamheden Provincies namen nog maar zeer beperkt succesvolle innovaties van elkaar over Nummer 46, april 2023 25

Interprovinciale Digitale Agenda Programmalijn Data Kerndataset voor monitoring energietransitie Hoever staat het met de realisatie van de energietransitie in de twaalf provincies in Nederland? Om dat op een eenduidige wijze te monitoren werken de provincies aan een ‘kernset indicatoren’ en een gezamenlijke ontwikkelagenda. De resultaten zijn geborgd in het dashboard van de zogeheten Regionale Klimaatmonitor. e provincies hebben zich gecommitteerd aan de energietransitie zoals vastgesteld in het Klimaatakkoord. De vraag is hoe je de stand van zaken en voortgang in kaart brengt. “Ik ben heel erg van meten is weten”, zegt Martha Klein, senior expert Beleidsmonitoring Energietransitie bij de provinD cie Noord-Holland en medeverantwoordelijk voor het project ’interprovinciale afstemming monitoring klimaatbeleid’ bij het IPO. In 2021 hebben adviesbureaus AEF en Quintel een verkennende studie uitgevoerd naar de afstemming tussen provincies voor de monitoring van klimaatbeleid. Hun onderzoek leidde tot het rapport ‘Mijlpalen op weg naar Parijs’. De adviezen daarin zijn omarmd en hebben geleid tot een gemeenschappelijk functioneel ontwerp (GFO). De kernset indicatoren is hier onderdeel van. Provincies monitoren op uniforme wijze in navolging van het advies: ‘Structureer de gezamenlijke kerndataset zo dat dit het beleidsverhaal van de transitie vertelt’. De indicatoren behelzen vier lagen: emissies, energie (het verbruik), resultaten (concrete maatregelen per sector) en de voortgang van beleid; en dat in vijf sectoren van het Klimaatakkoord; energie, gebouwde omgeving; mobiliteit; industrie; landbouw. In totaal 45 indicatoren die eens per jaar worden 26

Niveau Beschrijving 1 2 3 4 Emissies broeikasgassen Energiegebruik en verduurzaming Maatregelen Voortgang Randvoorwaardelijk: e-infrastructuur en capaciteit geactualiseerd door cijferaars van CBS, Kadaster en RVO. Daarnaast is er een ontwikkelagenda om de dataset te verbeteren en uit te breiden. Begin 2022 was de kerndataset klaar. De VNG, Nationaal Programma Regionale Energiestrategie (NP RES), het programma Verbetering Informatievoorziening Energietransitie (VIVET) en EZK zijn vanaf het begin betrokken en willen resultaten toepassen en toewerken naar een kerndataset voor alle decentrale overheden. Deze brede netwerksamenwerking onderschrijft het belang van de zorg voor eenduidigheid, vergelijkbaarheid en optelbaarheid van de cijfers. Bevlogen projectleider Martha Klein: “Zodat je de gebiedscijfers goed kunt optellen, het zijn appels plus appels en peren met peren.” Basis voor gesprek “De kernset is geïnstitutionaliseerd in de Regionale Klimaatmonitor van RVO en op die manier voor iedereen beschikbaar. We zien zo de trends over de jaren heen. Deze cijfers vormen de basis voor rekenmodellen om eveneens op een eenduidige manier prognoses voor 2030 te maken”, aldus Klein. Dat klinkt fraai, temeer daar dit project niet meer dan zo’n 50.000 euro procesgeld heeft gekost en op veel bijdragen van provincieambtenaren kon rekenen. Maar nu: wat heb je eraan om per provincie te meten? Klein: “Belangrijk is dat politici in de provincie kunnen zien in hoeverre de gigantische doelstellingen behaald worden. Welke inzet en maatregelen zijn effectief; dat is voor de energietransitie een terugkerende vraag.” Wat voegt dit toe aan het mondiale klimaatbeleid? Klein: “Om als Nederland de doelstellingen voor 2030 en 2050 van alle transitiepaden van het Klimaatakkoord te behalen, heb je inzicht nodig in de energievraag- en aanbod (zoals meer wind en zon) en de betekenis daarvan voor benodigde infrastructuur. De cijfers helpen om gezamenlijk het gesprek aan te gaan over het halen van doelstellingen. Provincies hebben een taak bij de verduurzaming van bijvoorbeeld industrie en glastuinbouw, ze ondersteunen gemeenten in de energietransitie, en zijn een belangrijke partner voor de regionale energiestrategieën.” Appels plus appels en peren met peren Vooralsnog is de uitdaging dat elke provincie goed gebruik gaat maken van de beschikbare data. Daarnaast ontbreekt er nog informatie over bijvoorbeeld land- en tuinbouw. Ook is er geen gezamenlijk inzicht in de invloed van en oplossing voor netcongestie wat de energietransitie bemoeilijkt. “De verbouwing van het energiesysteem is eveneens een enorme ruimtelijke opgave met de uitbreiding van transformatorstations, warmtenetten en waterstofinfrastructuur. Dat zijn allemaal onderwerpen met provinciale inbreng, denk bijvoorbeeld aan omgevingsvergunningen.” De kernset is daarom nooit ‘af’; data in het werkveld van de energietransitie blijven voorlopig nog volop in beweging. KERNDATASET Maatwerk Totaal Transitiepad elektriciteit Transitiepad gebouwde omgeving Transitiepad mobiliteit Transitiepad industrie Transitiepad landbouw Nummer 46, april 2023 27

Interprovinciale Digitale Agenda Programmalijn Dienstverlening Single Digital Gateway Burgers en ondernemers hebben recht op digitale informatie over producten en diensten van de overheid. Dit is vastgelegd in de Dienstenwet en de Wet modernisering elektronisch bestuurlijk verkeer (WMEBV). Om ervoor te zorgen dat dit ook over landsgrenzen heen mogelijk is, is er de Europese verordening Single Digital Gateway (SDG). Jan Willem van der Kas e Single Digital Gateway voorziet in de pan-Europese ontsluiting van overheidsinformatie via de centrale toegangspoort YourEurope.eu. Elke EU-burger of bedrijf moet via enkele vragen naar relevante informatie geleid worden. De diensten en regelingen van de provincies moeten beschikbaar zijn via Nationale Portalen Rijksoverheid.nl en KvK Ondernemersplein, en internationaal via Nederland Wereldwijd (Rijksoverheid) en Business.gov.nl. Alle informatie moet uniform beschikbaar zijn, qua voorwaarden en hoe je aanvragen moet indienen, zodat burgers en ondernemers op uniforme en over de grenzen van de eigen lidstaat heen digitaal zaken kunnen doen met provincies. Daartoe wordt de Provinciale Producten Catalogus ontwikkeld. Dit project behelst twee sporen. De inhoud: teksten redigeren en de verplichte vertalingen naar het Engels. En de techniek: het overhevelen van de informatie uit de bronnen naar de catalogus. D Het eerste deel van het project is klaar. Jan Willem van der Kas: “Het grootste werk zit niet in de techniek maar in het inventariseren van de producten en diensten van de provincies. Vervolgens moesten we die uniformeren over de provincies heen en in het Engels laten vertalen door een vertaalbureau; dat is een verplichting van de SDG.” De techniek behelsde een aansluiting via een API (SDG brugfunctie) van de contentmanagementsystemen van de provincies naar de Nationale Portalen. De VNG en de Unie van Waterschappen ontwikkelen voor hun eigen achterban een vergelijkbare API. Dit project lijkt meteen een goede aanleiding om de produc28 ten van alle provincies te standaardiseren. Van der Kas: “De meeste producten, zoals kabels en leidingen leggen, vallen onder de SDG, maar de afzonderlijke provincies hebben specifieke producten die daar niet onder vallen; bijvoorbeeld in het kader van de mijnbouw in Limburg. En alle provincies hebben ieder hun eigen voorwaarden en tarieven, en dus teksten. Er is enkel op titels en samenvatting geüniformeerd.” Heel efficiënt klinkt dit niet. Waarom niet meer standaardisering? Van der Kas: “Dat zou inderdaad moeten kunnen. In het bedrijfsleven zie je meer stroomlijning. Maar elke provincie opereert zelfstandig als bevoegd gezag. Wel is de samenwerking in de projectgroep intensief en provincies leren van elkaar.” Drie fasen Er zijn vier verschillende aanbieders van CMS-systemen bij de provincies, die allemaal moesten kunnen koppelen aan de nationale portalen. De SDG-brugfunctie, die in fase 1 werd ontwikkeld, maakt dat mogelijk. In fase 2 wordt ervoor gezorgd dat de getoonde diensten en producten langs digitale weg kunnen worden aangevraagd. Als je een procedure vanwege een nationale wet digitaliseert moet je volgens de SDG-richtlijnen ook Europees de procedure digitaal maken. De gelijktijdige fase 3 betreft de ondersteuning of assistentie van burgers en bedrijven bij hun aanvragen. “De hele klantreis van aanvraag met aanlevering documenten, conversatie, eventueel beroep en ondersteuning analyseren we nu voor 45 producten. Dat is geen sinecure, want je hebt ook te maken met bijvoorbeeld het DSO (Digitaal Stelsel Omgevingswet). Dat loket is (nog) niet in het Engels beschikbaar, dus optuigen voor Europeanen wordt nog een grote uitdaging.” Is dat dan allemaal nodig voor buitenlanders? Van der Kas: “Vaak zijn de procedures ook in het Nederlands nog niet digitaal beschikbaar en dat is sowieso verplicht. Wat Europeanen betreft is het kip-ei: als de mogelijkheden er zijn, krijg je vast meer buitenlandse aanvragen. Dat is de wens van de EU.”

Marten Tilstra en Irene van Hooff. beeld: phil nijhuis Programmalijn Innovatie Dutch Societal Innovation Hub Dutch Societal Innovation Hub (DSIH) luidt de naam van een initiatief van onder meer het IPO (provincies) en de VNG (gemeenten) voor de professionalisering van de kennisuitwisseling en -ontwikkeling ten behoeve van de twin transitions. BZK ondersteunt de samenwerking tussen de verschillende overheidslagen. e DSIH speelt in op de strategie van de Europese Commissie om de digitale en de groene transities met elkaar te verbinden: de twin transitions. De transities kunnen elkaar immers versterken, aansluitend op de Europese missies voor 2030: Adaptation to Climate Change, Climate-Neutral and Smart Cities by 2030, en A Soil Deal for Europe. Het DSIHconsortium sluit daar met zijn ambities mooi bij aan, en kreeg D Nummer 46, april 2023 daarom geld uit het beschikbare miljardenfonds. Brussel en BZK betalen elk ruim 2 miljoen van het 5,5 miljoen euro tellende budget. De DSIH is in januari 2023 van start gegaan, met als uitgangspunt ‘missiegedreven innovatie’: samenwerking voor toegang tot digitale innovaties voor de maatschappelijke opgaven van provincies en gemeenten. De provincies doen mee vanuit de Interprovinciale Digitale Agenda (IDA), geleid door Marten Tilstra. Missiegedreven Vanuit de VNG is Irene van Hooff programmaleider voor DSIH. “Dit past binnen onze Europese digitaliseringsstrategie waarmee gemeenten warm draaien voor nieuwe wetgeving en financiering vanuit de EU.” Van Hooff spreekt van een meerjarig programma gericht op het halen en brengen van kennis. “Naast betrokken gemeenten en provincies doen we dit ook 29

Interprovinciale Digitale Agenda met andere Europese innovatiehubs (European Digital Innovation Hubs) om elkaars behoeften en projecten te leren kennen. We ontdekken zo waar we onszelf nog moeten organiseren en ontwikkelen. Hoe werken we tot nu toe aan de missies? Dat is een pittige opdracht gezien onze traditionele gescheiden silo’s. De systeemverandering zit erin om zowel met Europese partners als met provincies en gemeenten te leren om missiegedreven samen te werken.” Nauw samenspel Provincies zijn vanuit hun wettelijke taak intensief met de fysieke leefomgeving bezig. Tilstra: “Prioriteit in de komende jaren hebben de grote transities die daar plaatsvinden: woningbouw, stikstof en energietransitie. Deze ontwikkelingen beïnvloeden elkaar sterk en het bewerkstellingen van die samenhang in beleid en projecten is een uitdagende opgave.” Het Rijk heeft met de provincies afgesproken dat zij in juli een eerste versie van hun integrale gebiedsplannen presenteren voor het bijeenbrengen van deze grote opgaven. Tilstra: “Dit gaat niet meer met een traditionele werkwijze; we moeten digitaal innoveren om er verder mee te komen. Dat sluit heel goed aan op de Europese intenties. De DSIH biedt de kans om de digitale innovaties te vinden die provincies hierbij kunnen helpen.” Echter, benadrukt Van Hooff, dit behelst meer dan het even opzetten van een serie digitaliseringsprojecten: “Het is een nauw samenspel met wetgeving die op ons afkomt en democratisch verantwoording afleggen. Uitgangspunt is het Digital Decade Compass dat de samenhang van elementen voor de opgave tot 2030 schetst voor wat betreft technologie, wetgeving en publieke waarden binnen onze democratie. Er komt zo’n bak werk op provincies en gemeenten af dat we dat geheel eerst heel goed in kaart moeten brengen, zodat we effectief afspraken kunnen maken en geen werk dubbel doen.” Snuffelfiets Toch al een concreet voorbeeld? Tilstra: “Neem het inzetten van sensoren voor de meting van luchtkwaliteit. In Utrecht is de Snuffelfiets bedacht, waarmee burgers met een meetkastje op hun fiets door de stad fietsen. Dat leidt tot heel precieze inzichten en de provincie kan dat gebruiken voor ontwikkeling van beleid. De techniek die hiervoor is ingezet is door de provincie Noord-Holland weer toegepast in een andere context; de inzet van citizen science voor luchtkwaliteitsmetingen. Onze doelstelling is dat de DSIH er aan bijdraagt dat digitale innovaties via het netwerk gemakkelijker hun weg kunnen vinden naar andere organisaties. Niet alleen binnen Nederland, maar binnen heel Europa.” 30 Programmalijn Bedrijfsvoering Informatie Nienke van den Berg is extern projectleider voor het project ‘Informatie Knooppunt Cyber Security van de Interprovinciale Digitale Agenda. “Het doel is om de provincies als bestuurslaag zo goed mogelijk te wapenen tegen cyberaanvallen en cybercriminaliteit. Dat geef ik samen met de security officers van de provincies vorm.” ijn opdracht is - eenvoudig gezegd - na te gaan op welke manier de gezamenlijke provincies en BIJ12 (uitvoeringsorganisatie provincies) kunnen aansluiten op bestaande structuren van beveiliging om beter voorbereid zijn op dreigingen”, zet Van den Berg uiteen. “Daarbij hoort een gecoördineerde aanpak ingeval van incidenten en preventie. Tegelijkertijd willen we voldoen aan de Europese richtlijn NIS-2 voor bescherming van vitale infrastructuur. De provincies die voorzieningen hebben voor verkeer en waterbeheer krijgen daarmee mogelijk van doen.” In de Interprovinciale Digitale Agenda is opgenomen dat er een businesscase moet worden opgesteld met de scenario’s voor de provincies en BIJ12 om aan te sluiten op het bestaande Landelijk Dekkend Stelsel (LDS). Praktisch gezien is het belangrijkste doel het verkrijgen van toegang tot actuele dreigingsinformatie vanuit het Nationaal Cyber Security Centre (NCSC) van het ministerie van Justitie en Veiligheid. Op dit moment hebben provincies nog geen directe toegang tot deze informatie, vanwege het ontbreken van een schakelorganisatie. Van den Berg: “Daarom werk ik nauw samen met de security officers van de twaalf provincies en BIJ12 om het dienstenpakket en de vormen van samenwerking en het organiseren van de diensten te verkennen. Het resultaat kan zijn het oprichten van een nieuwe, eigen organisatie specifiek voor deze bestuurslaag, maar ook het andere uiterste is mogelijk: extern bij een bestaande organisatie of “M Nienke van den Berg

Knooppunt Cyber Security een marktpartij beleggen. Een hybride model is ook mogelijk.” IP-ISAC Voorbeelden van dergelijke sectorale organisaties zijn de Informatiebeveiligingsdienst (IBD) van gemeenten, Z-CERT voor de zorgsector, CERTWM voor de waterschappen en SURF-CERT voor het onderwijs. Zij sluiten hiermee aan op het Landelijk Dekkend Stelsel, een structuur voor nationale samenwerking tussen de publieke en private partijen, met als doel digitale ontwrichting te voorkomen en Nederland beter bestand te maken tegen cyberaanvallen. Wel is er al een Interprovinciaal-Information Sharing and Analysis Centre (IP-ISAC) ingesteld om vertrouwelijke uitwisseling van informatie te vergemakkelijken en te formaliseren. Een ISAC is een overlegvorm over cybersecurity waarin organisaties uit dezelfde sector gevoelige en vertrouwelijke informatie uitwisselen over incidenten, dreigingen, kwetsbaarheden en maatregelen. Van den Berg: “Denk bijvoorbeeld aan aanvallen met ransomware en hun verwoestende uitwerking zoals de aanval op de Universiteit van Maastricht of VDL. Of recent, de drie jeugdige hackers - van wie er een nota bene werkzaam was Geen centrale verantwoordelijkheden Inmiddels is de basis van een goed samenhangend dienstenpakket op papier gezet met alle provincies samen. Van den Berg: “Het belangrijkste in de aanpak is – naast het ontwikkelen van de scenario’s - het creëren van draagvlak. Het is cruciaal dat de business case de steun heeft van alle betrokkenen.” Het Informatie Knooppunt Cyber Security krijgt een adviserende en coördinerende taak in de operationele informatie beveiliging van de provincies, maar zal geen bevoegdheid hebben tot disciplinaire of repressieve maatregelen als een provincie qua beveiliging een scheve schaats rijdt. Immers, het Knooppunt neemt geen centrale verantwoordelijkheden over, die blijven bij de afzonderlijke provincies en BIJ12. Die blijven ook soeverein in hun beleid. Is dat verstandig? Van den Berg: “Dat is het bestuurlijke en democratische uitgangspunt. Je ziet wel, net als bij andere projecten van het IPO, zeker binnen IDA, dat provincies meer op één lijn komen en van elkaar leren.” Bord bij de ingang van de universiteitsbibliotheek geeft uitleg over de cyberaanval op het computersysteem van de Universiteit van Maastricht. beeld: anp als ethische hacker - die duizenden bedrijven, waaronder Ticketcounter, chanteerden voor bedragen tussen de 100.000 en 700.000 euro.” Nummer 46, april 2023 31

Bij de selectie van een SaaS-leverancier door de overheid valt op dat voorafgaand aan het sluiten van het contract nauwelijks inhoudelijk met de mogelijke leveranciers wordt gesproken. De selectie is hoofdzakelijk gebaseerd op de schriftelijke reactie op de eisen die onderdeel uitmaken van de markt uitvraag. Het gevolg is dat bij de in gebruik name van een SaaS-dienst de desbetreffende overheidsinstantie regelmatig geconfronteerd wordt met de nadelige consequenties van deze aanpak. Selectie van een SaaS-leverancier Maak de eisen expliciet! D e selectie van een SaaS-leverancier moet gebaseerd zijn op concrete eisen op het gebied van: zakelijke functionaliteit, inkoopvoorwaarden, beschikbaarheid, integriteit en vertrouwelijkheid, data vindbaarheid, dataformaat, beheer en technische implementatie. In de praktijk is de keuze veelal gebaseerd op de inkoopvoorwaarden van de betreffende overheidsinstantie en een opsomming van eisen. Het gehanteerde abstractieniveau van de beschreven eisen is dat de dienst moet voldoen aan de BIO, Door Jeroen Mol Beeld Shutterstock/iBestuur 32 de AVG en de standaarden zoals die zijn beschreven door Forum Standaardisatie. Het is een utopie om te veronderstellen dat een mogelijke leverancier de tijd neemt om de hieraan gerelateerde documentatie door te nemen en beschikt over de benodigde diepgaande inhoudelijke kennis om invulling te geven aan deze technische eisen. Een directeur van een van de grootste ITbedrijven ter wereld verwoordde het als volgt: “De overheid moet technisch inhoudelijk sturen en niet het probleem bij de leverancier leggen.” Bij de selectie van een SaaS-leverancier is het belangrijk dat betrokken organisaties weten wat er van hen verwacht wordt. Maak vanuit IAM-oogpunt (identity and access management) afspraken over: verantwoordelijkheden,

Podium communicatie- en rapportagelijnen, de inhoud (inclusief frequentie) van de rapportages, het melden van incidenten die zich voordoen bij de SaaSleverancier en welke events worden gestuurd naar het Security Operations Center (SOC) van de desbetreffende overheidsinstantie. Naast de benodigde afspraken is het van belang om de technische implementatie van de SaaS-leverancier te kennen om afwijkingen van de standaarden te kunnen vaststellen. Het doorgronden van de technische implementatie vereist diepgaande inhoudelijke kennis, zowel aan de kant van de overheid als aan de kant van de SaaS-leverancier. De praktijk leert dat deze kennis in betrokken organisaties schaars is. Een onderwerp dat extra aandacht verlangt, is de technische implementatie van authenticatie en autorisatie. Authenticatie (wie ben je?) Dit vindt plaats op basis van een specifiek betrouwbaarheidsniveau. DigiD en eHerkenning bijvoorbeeld bieden beide vier betrouwbaarheidsniveaus. Authenticatie bij SaaS-applicaties vindt in de huidige markt veelal federatief plaats, op basis van het SAML 2.0-protocol. Het federatieve authenticatieproces valt voor het grootste gedeelte buiten de reikwijdte van de SaaSleverancier. De authenticatie-informatie in transport (van Identity Provider naar applicatie) vereist dat deze informatie beveiligd is met minimaal TLS 1.2 inclusief bijbehorende cipher suites (zie NCSC website). Het is raadzaam om enkele accounts bij een SaaS-leverancier aan te maken voor SaaS-applicaties die onderdeel uitmaken van een cruciaal proces. Op deze manier wordt het risico gemitigeerd dat een SaaS-applicatie onbruikbaar is op het moment dat federatief aanmelden niet mogelijk is. Autorisatie (wat mag je?) Uit oogpunt van vertrouwelijkheid moet worden vastgesteld op basis van welke risicoafweging de SaaS-leverancier functiescheiding heeft geïmplementeerd. Autorisatie vindt plaats op basis van voorwaarden. Eén van de voorwaarden is het authenticatie betrouwbaarheidsniveau. In het merendeel van de SaaS-applicaties is het betrouwbaarheidsniveau geen voorwaarde voor toegang. Autorisatie in een SaaS-applicatie kan op de volgende manieren geïmplementeerd zijn: 1. Token gebaseerde autorisatie. De federatie Identity Provider levert een token dat attributen bevat op basis waarvan toegang wordt verleend tot gegevens. 2. Object gebaseerde autorisatie. Op basis van een accountobject in de SaaSapplicatie wordt toegang verleend tot de gegevens. SCIM-protocol De huidige SaaS-implementaties zijn hoofdzakelijk gebaseerd op object gebaseerde autorisatie. Hierbij wordt bij de eerste keer aanmelden een accountobject in de applicatie aangemaakt. In een dergelijke situatie vormt het ‘identity lifecycle management’ een aandachtspunt omdat het verwijderen van een accountobject in de applicatie niet automatisch plaatsvindt op het moment dat het gerelateerde federatieve account wordt verwijderd/disabled. Deze situatie is in strijd met het AVG-principe Opslagbeperking. Om dit probleem te mitigeren biedt het merendeel van de SaaS-applicaties de functionaliteit voor geautomatiseerd ‘identity lifecycle management’ voor een specifieke doelgroep. Deze functionaliteit omvat het automatisch Nummer 46, april 2023 Selectie Voor de selectie van een SaaS-leverancier die voldoet aan de verwachting van de overheidsinstantie, moet invulling gegeven worden aan de volgende aspecten: • De in het selectieproces betrokken medewerkers hebben inhoudelijke kennis van de benodigde zakelijke functionaliteiten, inkoopvoorwaarden, informatiebeveiliging, IAM, data, IT-architectuur en IT-beheer. • De technische eisen zijn zodanig gespecificeerd dat deze bruikbaar zijn voor een SaaS-leverancier. Het advies is om deze technische eisen op te nemen in de standaardvoorwaarden van de overheidsinstantie bij de aankoop van software/software ontwikkeling. • De overheidsinstantie en de mogelijke SaaS-leverancier moeten met elkaar het gesprek aangaan over de wijze van samenwerken en de wijze waarop technisch invulling wordt gegeven aan de gestelde eisen. 33

Inlogmiddel Uniek kenmerk DigiD eHerkenning BSN KVK-nummer Account overheidsinstantie UPN (optioneel) Autorisatie op basis van: BSN, authenticatie betrouwbaarheidsniveau n.v.t. (vindt plaats in dienstencatalogus en machtigingenregister) Rol, authenticatie betrouwbaarheidsniveau Herleidbaarheid (uniek kenmerk per gebruiker) BSN PseudoID UPN (optioneel) Op basis van het AVG­principe Minimale Gegevensverwerking worden, vanuit IAM­oogpunt, minimaal de volgende gegevens geregistreerd bij een accountobject. Het doorgronden van de technische implementatie vereist diepgaande inhoudelijke kennis aanmaken van accountobjecten in de applicatie, inclusief de bijbehorende identiteitsinformatie, voorafgaand aan de eerste keer aanmelden. Ook is het mogelijk de identiteitsinformatie te updaten en het accountobject te verwijderen in de applicatie. Het door Forum Standaardisatie aanbevolen protocol om deze functionaliteit te realiseren is SCIM. Op het moment dat deze functionaliteit wordt aangeboden maar niet op basis van het SCIM-protocol dan moet nagegaan worden of wel alle functionaliteiten (import, update, verwijderen) worden ondersteund. Het nadeel is dat deze functionaliteit uitsluitend bruikbaar is voor accounts die door de desbetreffende overheidsinstantie beheerd worden. Met als gevolg dat de niet beheerde accountobjecten handmatig verwijderd moeten worden op basis van door de overheidsinstantie vastgestelde voorwaarden. Een Identity Governance and Administration (IGA) applicatie bevat de benodigde identiteitsinformatie en biedt ‘user account provisioning’ functionaliteit op basis van het SCIM-protocol. Ook biedt een IGA-applicatie de functionaliteit om autorisatierollen te sturen naar een applicatie. Een eis vanuit IAM-oogpunt is dat de SaaS-applicatie de beschreven functionaliteiten biedt op basis van een standaard API waar de IGA-applicatie op kan aansluiten. Onduidelijkheid over eisen Tot slot: verwijzingen naar onderwerpen die door Forum Standaardisatie beschreven zijn, zijn niet altijd direct bruikbaar voor de SaaS-leverancier. Bijvoorbeeld de toegang tot een REST API op basis van het NL GOV Assurance Profile for OAuth 2.0. Het desbetreffende profile bevat verscheidene implementatiekeuzes. In de praktijk hebben weinig overheidsinstanties een OAuth configuratie uitgewerkt op basis van het NL GOV Assurance Profile met als gevolg dat de SaaSleverancier niet weet wat exact geëist wordt door de overheid. Het advies is om een OAuth-configuratie (inclusief implementatiekeuzes) te beschrijven en niet een algemene verwijzing op te nemen naar Forum Standaardisatie. Jeroen Mol is domeinarchitect identity and access management bij Rijkswaterstaat 34

Klous Donut Donut, anyone? D e datagedreven maatschappij is uitgepuberd en werd in de afgelopen tien jaar behoorlijk volwassen. Het gebruik van data is eigenlijk niet weg te denken in hoe we dingen organiseren. Toch is er nog een essentiële stap nodig om het volle potentieel te benutten. En daar hebben we een holistische aanpak voor nodig. Nu word ik zelf altijd wat kriegelig van consultants die roepen om holisme. Maar het is wel zo. n 2013 schreef ik met Nart Wielaard het boek ‘Wij zijn big data’. We lieten daarin zien wat dataficatie betekende voor de maatschappij. Vier jaar later volgde het boek ‘Vertrouwen in de slimme samenleving’. Dat ging over de risico’s die gepaard gaan met data-analyse en mogelijke oplossingen daarvoor. In de jaren daarna werd steeds duidelijker dat waardecreatie vooral mogelijk is door gebruik te maken van data van verschillende partijen. Samenwerken is dus het devies, soms tussen partijen met tegengestelde belangen. Dat is geen nieuws en zo’n beetje alle Europese regelgeving die nu wordt ontwikkeld voor digitale technologie gaat over de voorwaarden die van toepassing zijn op dat soort samenwerking. I Sander Klous Hoogleraar Big Data Ecosystems, UVA en partner bij KPMG aar de vraag is: hoe bouw je als bestuurder het juiste model waarin alle aspecten een samenhangende plek krijgen? Holistisch dus. Eigenlijk zouden ze over een soort business model canvas moeten beschikken, een bekende aanpak waarmee tal van organisaties de afgelopen jaren met succes kwamen tot innovatieve nieuwe vormen van waardecreatie. Alleen is het deze keer wat ingewikkelder: M Nummer 46, april 2023 het gaat immers niet om een canvas voor één organisatie maar om de samenhang tussen meerdere partijen en dus ook om het overbruggen of verzoenen van belangentegenstellingen. Tussen concurrenten bijvoorbeeld. e Data Sharing Coalition heeft een mooie aanzet gegeven met de ontwikkeling van het Data Sharing Canvas. Ze adresseren daarbij met de term BLOFT (Business, Legal, Operational, Functional and Technology) alle aspecten en doen handreikingen om met elkaar aan de slag te gaan. Bij het Business Model Canvas wordt gebruikgemaakt van een methode die design thinking wordt genoemd. In een aantal workshops wordt een iteratief non-lineair proces doorlopen om ‘wickedproblems’ te adresseren, een techniek die ook zinnig zou zijn voor de uitwerking van het Data Sharing Canvas. D at zou een samenhangende – jawel holistische – aanpak opleveren waar bestuurders en managers echt mee kunnen gaan bouwen. En het goede nieuws is dat alle bouwstenen van het BLOFTmodel er eigenlijk wel zijn. Het doet al met al denken aan de donut-economie van Kate Raworth. Zij brak door met het gelijknamige boek waarin ze vele reeds beschikbare inzichten en theorieën op het gebied van duurzaamheid handig aan elkaar knoopte en er ook nog eens een sticky term voor bedacht. Zoiets hebben we nu ook nodig voor de volgende stap in de datagedreven maatschappij. Een kekke naam voor een handzaam model. Iemand ideeën? D 35

Hans Verweij, ICTU-directeur projecten & softwareontwikkeling, herkent de problemen rondom de stijgende kosten van de top 10 van duurste IT-projecten zoals die onlangs is gepubliceerd op iBestuur. nl. Maar hij benadrukt ook dat uitgaven aan IT niet alleen als een kostenpost moeten worden gezien. “Vooraf meer investeren in kwaliteit in IT-projecten betekent een grotere slagingskans.” ICTU-directeur Hans Verweij over IT-projecten ‘Te veel focus op toetsing en controle, te weinig I CTU is een onafhankelijke advies- en projectenorganisatie binnen de overheid. De organisatie voert al vele jaren opdrachten uit voor de overheid. In totaal heeft ICTU zo’n tweehonderd opdrachten op jaarbasis, waarvan zo’n zestig projecten en programma’s. Dat gebeurt met een vaste bezetting van 170 fte en een ‘flexibele schil’ van zo’n 350 ICT-professionals die worden ingehuurd van marktpartijen. De projecten waarbij ICTU betrokken is variëren qua waarde van enkele miljoenen tot soms enkele tientallen miljoenen. Een slag kleiner dan de eerder op iBestuur.nl genoemde tien duurste projecten die qua kosten en uitloop flink uitlopen (zie kader). “Het beeld van projecten die vele jaren uitlopen en miljoenen duurder uitpakken dan oorspronkelijk gepland herken ik vooralsnog niet bij ICTU”, vertelt Verweij. Wat is het verschil tussen die top 10-projecten en de projecten waaraan ICTU werkt? “De projecten die wij draaien vallen voor een deel onder ‘grote IT-projecten’ van de overheid. Dat betekent dat ze een waarde van 5 miljoen euro of meer hebben. Maar de echt grote projecten van honderd miljoen of meer hebben wij niet in onze portefeuille. Wij proberen onze projecten bewust klein te houden en te beperken tot enkele miljoenen.” Te snel, te goedkoop Door Sjoerd Hartholt Beeld ANP 36 Verweij herkent de factoren die IT-projecten veelal belemmeren: erfenissen uit het verleden, hoge mate van complexiteit, wetswijzigingen, hoge verwachtingen, onvoldoende uitgewerkte plannen, legacyproblemen en datakwaliteit, toevallige tegenvallers. “Dat oude IT-systemen moeten worden aangepast op basis van veranderende wetgeving is daar zeker één van, en

op uitvoering’ Top 10 duurste overheidsprojecten budget MILJOEN € 1 Digitaal systeem voor treinbeveiliging 2 Project rationalisatie IT Belastingdienst 3 Vernieuwing van C2000 4 Luchtverkeersleidingssysteem Schiphol 5 Software Omgevingswet 6 Maritiem Operatiecentrum Kustwacht 7 Nieuwe verkeersmanagementsystemen 8 Nieuw UWV-datacenter 9 Basisregister Onderwijs 10 Vernieuwing ICT Douane Nummer 46, april 2023 2.514 235 211 201 172 128 123 117 115 112 Het communicatiesysteem C2000 kreeg in maart veel kritiek nadat het faalde bij een klopjacht op overvallers in Brabant. overschrijding MILJOEN € 114 100 44 48 200 31 89 50 35 0 vertraging JAAR 0 5 5 2 5 3 5 0,5 1 5 37

Ton Elias: ‘Meer expertise nodig bij de overheid’ Voormalig VVD-Kamerlid Ton Elias maakte in 2014 naam als voorzitter van de Tijdelijke commissie ICT. Deze commissie onderzocht na een reeks mislukkingen de grondoorzaken van ICT-problemen van de overheid. In het eindrapport werden tientallen aanbevelingen gedaan die moesten leiden tot verbetering. De conclusies brachten het nodige teweeg op onder meer het gebied van toezicht: met de komst van onder meer BIT, inmiddels het Adviescollege ICT-toetsing, werden de teugels strakker aangetrokken. Tegenover iBestuur geeft Elias aan dat “gebrek aan deskundigheid en kwaliteit bij de overheid op IT-gebied, met slecht opdrachtgeverschap als gevolg”, de belangrijkste oorzaak is voor de uitdijende IT-projecten. Het leidt er volgens hem toe dat externe partijen de problemen van de overheid nu moeten oplossen door projecten vooraf te toetsen en bij te springen waar nodig. “Dat is dodelijk. Er is op IT-gebied veel meer expertise binnen de overheid nodig, om zelf de kwaliteit van de geboden producten en diensten te kunnen beoordelen en ook zelf meer uit te kunnen voeren.” Eén van de grootste kritiekpunten waarmee volgens Elias jaren na zijn rapport nog altijd niets is gedaan, is het salarisgebouw van de overheid voor IT’ers. “Het is verschrikkelijk vervelend dat daar nog altijd niets van terechtgekomen is. De overheid zou daar veel flexibeler in moeten zijn.” Elias schetst een voorbeeld: “Wanneer een ‘nerd’ briljant is in IT, daarin uitstekend werk levert en over enorme kennis beschikt moet hij gewoon 150.000 euro kunnen verdienen bij de overheid. Oók als hij niet leidinggeeft aan veertig, vijftig mensen. Wij hebben er destijds voor gepleit om veel meer flexibiliteit in de salarissystematiek toe te passen. De Tweede Kamer stemde daarmee in. De toenmalige minister ook, alleen is daar niets mee gebeurd uit een soort ‘gewoonte’; een cultuur die maar niet verandert. Nog altijd kunnen alleen de leidinggevenden bij de overheid in de hoogste schalen komen.” toenemende complexiteit is dat ook. Wat in mijn ogen belangrijk is en altijd terugkomt: er wordt te weinig geïnvesteerd. Projecten moeten vaak snel en goedkoop worden uitgevoerd.” Veel IT-voorzieningen hebben volgens Verweij jarenlang te weinig aandacht gekregen: ze zijn zo verouderd dat ze niet meer kunnen worden aangepast aan ‘de moderne tijd’. Daarnaast is er nog een groeiend probleem: het tekort aan IT’ers. “Vernieuwen of compleet nieuwe programma’s uitrollen binnen de overheid wordt daardoor een bijna onmogelijke taak. Het is al lastig genoeg om de bestaande voorzieningen ‘boven water’ te houden. En met te weinig middelen en het ontstaan van legacy vertrekken goede IT-professionals uit de organisatie om elders daadwerkelijk met vernieuwing bezig te kunnen zijn.” Wat Verweij ook ziet is dat opdrachten nog steeds laag in de lijn worden belegd. Zo krijgen beleidsadviseurs de verantwoordelijkheid voor IT-projecten. “Maar dan loop je tegen situaties aan dat bij de start de funding onvoldoende is geregeld en dat het dan moeilijk is om aan financiering te komen als er meer geld nodig is. Dat levert dan ook weer vertraging op.” Focus op toetsing en controle Kritiek op hoe de overheid met IT omgaat is er al jaren. Wat Verweij in de discussie hierover heel belangrijk vindt is de sterke focus op kosten. “De politiek ziet IT vooral als een grote kostenpost en dat is een groot probleem. IT moet juist worden gezien als ‘enabler’ voor maatschappelijke opgaven: technologische vernieuwing kan dienen als hefboom voor allerlei nieuwe ontwikkelingen. Wanneer je IT-uitgaven puur als kosten ziet en niet als een investering wordt het moeilijk om een succesvol programma uit te rollen.” Juist de focus op goedlopende IT-projecten kan volgens hem succes opleveren. “Wat 38

kunnen we daarvan leren? Hoe kunnen we deze lessen ten goede gebruiken in plaats van alleen de faalfactoren te kijken?” De commissie Elias heeft belangrijk werk geleverd door belangrijke faalfactoren in kaart te brengen. “Het toezicht is aangescherpt en er worden vooraf hele goede adviezen gegeven door AcICT. Dat is positief, maar toch zie ik nog dat we kansen laten liggen, juist vanwege de nadruk vooraf op faalfactoren. De overheid is daardoor heel risicomijdend gaan werken, met een enorme focus op toetsing en de controle. Daarin is de afgelopen jaren veel geïnvesteerd, terwijl de uitvoeringscapaciteit nog altijd tegen grenzen aan loopt. Projecten kunnen beter worden door juist meer te investeren in de kwaliteit van de uitvoering van IT-projecten en minder in toetsing en controle. Investeren in toezicht is belangrijk, maar het maakt het primaire proces van IT-projecten niet sterker. En dat zie ik als een gemiste kans.” Doordacht van start Volgens Verweij bestaan er manieren om van tevoren verzekerd te zijn van meer grip op een project. Dat kan onder meer door te investeren in mensen en in een zogeheten ‘kwaliteitsaanpak’. De kwaliteitsaanpak van ICTU kenmerkt zich door het gebruik van diverse kwaliteitsinstrumenten die bij allerlei type projecten kunnen worden ingezet. Veel van deze instrumenten worden ingezet aan het begin van de opdracht. “Zo gebruiken we de ‘doordacht van start’-methode om de vraag achter de vraag te doorgronden en de belangrijkste risico’s in kaart te brengen. We laten onze offertes altijd tegenlezen en betrekken waar mogelijk de stakeholders zo vroeg mogelijk in het traject. We gebruiken een opdrachtenchecklist om bij start de relevante wet- en regelgeving in beeld te krijgen. Denk aan de AVG, informatiebeveiliging en toegankelijkheidseisen. Dankzij het hanteren van deze vaste kwaliteitsaanpak krijgen we van tevoren alles goed in beeld, houden we grip op de uitvoering en worden we niet te afhankelijk van de inbreng van externe specialisten die wisselend van kwaliteit kan zijn.” Nee verkopen Ook een belangrijk punt: ‘nee’ durven verkopen aan opdrachtgevers. Verweij: “Wanneer de randvoorwaarden niet goed geschetst zijn moet je bij een intakegesprek als opdrachtnemer altijd ‘nee’ kunnen zeggen. Dit gebeurt nog te weinig, waardoor projecten vaak te ‘onrijp’ starten.” ICTU werkt standaard met meerdere fases die pas kunnen beginnen na een ‘go’, om te voorkomen dat projecten te groot worden en de opdrachtgever de regie verliest. “We hakken projecten in brokken en zien de voorfase als een van de belangrijkste fases. Daarin zitten onder meer een informatieplan, een beveiligingsplan en een kwaliteitsplan.” Deze werkwijze maakt dat ICTU soms als een lastige partij voor overheden wordt ervaren, geeft Verweij aan. “Maar we zorgen zo wel voor succes in de uitvoering.” Soms is het lastig om geconstateerde risico’s bij projecten expliciet te maken. “Wanneer een partij zijn werk niet goed heeft gedaan of de financiën nog niet heeft geregeld, maken wij dat bespreekbaar. En dat ligt vaak gevoelig. Ook omdat veel mensen die betrokken zijn bij ITprojecten elkaar kennen van allerlei governance-structuren en stuurgroepen binnen de overheid. Wij zijn gewend om risico’s toch direct te benoemen en tegelijkertijd een plezierige en werkbare samenwerking te behouden. Uiteindelijk wordt dat tijdig ingrijpen namelijk wél gewaardeerd.” Nummer 46, april 2023 Aantrekkelijke werkgever Het personeelstekort in de ITwereld is een situatie waaraan ook ICTU niet ontkomt. “Wij zijn helaas geen uitzondering daarin”, aldus ICTU-directeur Hans Verweij. “Voor bepaalde functies zijn wij niet interessant genoeg in vergelijking met de markt. De meeste inhoudelijke experts betrekken wij daarom extern. Onze vaste kern bestaat uit professionals met rollen in de regie en het projectmanagement, zoals kwaliteitsmanagers en softwaredelivery-managers. Daarnaast hebben we IT-architecten en strategisch adviseurs in huis. Specifieke externe experts, zoals developers en testers worden door de markt geleverd.” Verweij ziet bij ICTU vooral een groeiende behoefte aan DevOpsengineer functies en datascientists waarbij het steeds lastiger wordt om ook deze extern te werven. ICTU probeert een zo aantrekkelijk mogelijke werkgever te zijn door IT-professionals zelf zoveel mogelijk verantwoordelijkheid te geven bij projecten en ze uit te dagen met de nieuwste technologie, waaronder cloudcomputing en platformhybride werken. “En IT-professionals werken bij ons aan mooie maatschappelijke opgaven en actuele politieke vraagstukken. Ze zijn gegarandeerd van een mooie opdrachtenportefeuille.” Verweij constateert dat de overheid niet altijd de beste mensen beschikbaar krijgt om mee te werken, de concurrentie met de marktpartijen is zwaar. “En dat is jammer want we hebben die allerbeste professionals juist nodig.” 39

‘Mag ik ook meedoen?’ Geef medewerkers toegang tot passende technologie W ereldwijd zijn er meer dan 1 miljard mensen met enige vorm van een beperking.1 Dit aantal neemt alleen maar toe. Handicaps komen voor in alle soorten en maten, zowel zichtbaar als onzichtbaar. Iemand die kleurenblind is heeft waarschijnlijk minder last van beperkingen bij het lezen van een artikel dan iemand die extreem lichtgevoelig is. Iemand die iets breekt op wintersport, is slechts tijdelijk beperkt. We kunnen een beperking daarom beter zien als een uitdaging. Dat klinkt niet alleen beter, het werkt ook. Want als een beperking een uitdaging is, kunnen veel meer mensen daadwerkelijk goed aan de slag. Ongeacht achtergrond of sociaaleconomische status. Digitale inclusie als concept wordt steeds belangrijker naarmate de technologie blijft evolueren en meer geïntegreerd raakt in ieders dagelijks leven. Participatiewet In de pandemie en haar naweeën zien we dat er heel veel digitale toegankelijkheid is ontstaan. Het hybride werken is een blijvertje. Nu is het zaak om dat samen door te trekken. Iedereen moet daarbij zijn rol pakken. Bedrijven, overheden, burgers zelf. Er is met de Participatiewet al enige tijd een wettelijke grondslag dat overheden ook digitaal toegankelijk moeten zijn. En onze afhankelijkheid van technologie neemt de komende jaren zeker niet af. We 40 gebruiken het om te communiceren en om ermee te leren. De mogelijkheden van bijvoorbeeld Artificial Intelligence (AI) zijn nu nog niet eens te overzien. Maar als het niet goed werkt voor jou, doe je automatisch niet meer mee. Of je nu op kantoor werkt of vanuit huis. Als technologie ontoegankelijk is, sluit u als organisatie mensen uit. En bereikt u het tegenovergestelde van wat u voor ogen hebt. Het Digitale inclusie of digitale toegankelijkheid. Iedereen moet mee kunnen doen, niemand wordt uitgesloten. Of je nu kleurenblind bent, permanent beperkt, psychisch kwetsbaar, niet meer mee kunt komen met de tijd of gewoon tijdelijk een gebroken arm hebt. Maar hoe werkt dat precies in de praktijk? Denk aan een schermlezer voor visueel beperkten, stembediening voor mensen met een beperkte handfunctie en ondertiteling voor iemand die slechthorend is. Met technologie speciaal voor de werkplek gaan er nieuwe werelden open. Ook voor werkgevers. hoort bij onze collectieve bewustwording om drempels te verlagen en niet te verhogen. Voor burgers en medewerkers. Met goede dienstverlening, effectief beleid, correcte uitwerking en uitvoerbaarheid. Maar we horen u al denken: hoe dan? ‘Design for one, solve for many’ Zoals gezegd: door te denken in uitdagingen en niet in beperkingen. Toegankelijkheid is iets van ons allemaal. Wat veel overheden niet weten is dat ze alle middelen om digitaal inclusief te kunnen zijn al in huis hebben. Een groot deel van de overheid werkt met Microsoft. Binnen alle apps, platforms en toepassingen van Microsoft is digitale toegang voor iedereen standaard ingebakken. Om de technologie te personaliseren en aan te passen aan eigen behoeften. Binnen Teams, binnen Edge, binnen OneNote, zelfs binnen Word. De technologie is ook beschikbaar als add-in (of via een API), in te bouwen in uw websites en aan te bieden aan uw gebruikers. Microsoft maakt technologie echt toegankelijk voor iedereen. ‘Design for one, solve for many’; dat draagt Microsoft hoog in het vaandel. Het is nu de vraag hoe en wanneer u het eruit haalt. Neem Edge Geen uitdaging is hetzelfde. Iedereen is uniek. Daarom kan iedere digitale omgeving volledig gepersonaliseerd wor

p a r t n e r Microsoft den. Dat kan bijvoorbeeld in het Windows toegankelijkheidscentrum, maar ook in de Edge browser en insluitende lezer. Medewerkers kunnen hun informatieWat is digitale inclusie? Technologie blijft evolueren en raakt nog verder geïntegreerd in ons dagelijks leven. Daarmee neemt ook het belang van digitale inclusie toe. Door mensen toegang te geven tot passende technologie en de juiste tools, helpen we medewerkers en burgers de regie over hun leven weer in eigen handen te nemen. Doel: meer volledig deelnemen aan de wereld om hen heen, sterkere individuen en gemeenschappen. consumptie aanpassen aan hun eigen wensen. Webteksten lezen in diapositief, de tekst op een gewenste snelheid laten voorlezen, lettertype groter maken, interlinie en letterspatiëring aanpassen, contrastniveaus aanpassen, bepaalde woorden uitlichten, woorden indelen in lettergrepen, afbeeldingen laten zien bij een woord, noem het maar op. Heel handig voor mensen met een leesuitdaging of voor mensen die een nieuwe taal willen leren. U hoeft er niets voor te kopen, het zit al in uw platforms en systemen. U hoeft alleen maar uw eigen knop om te zetten. Hogere versnelling Overheden kunnen hun digitale omgevingen eenvoudig toegankelijker maken. Nu wordt het topje van de ijsberg benut, er zit nog ongelofelijk veel onder water. Ook vanuit economisch perspectief Nummer 46, april 2023 hebt u er baat bij. Denk maar aan de war on talent. Want waar haalt u de mensen vandaan? Door meer digitaal toegankelijk te zijn haalt u onbenut arbeidspotentieel vanzelf binnen. Van Albert Einstein is inmiddels ook bekend dat hij dyslexie en ADHD had. Vandaar het belang van een dag als Global Accessibility Awareness Day op 18 mei. Ook 100% meedoen? Meld u direct aan voor Microsoft’s actieve bijdrage aan Global Accessibility Awareness Day tijdens ons event op 17 mei 2023. Toegankelijkheid en inclusiviteit komen volop aan bod. Locatie: Microsoft Schiphol. Kijk op: http://aka.ms/gaad23 [1] https://www.unicef.org/press-releases/almostone-billion-children-and-adults-disabilities-andolder-persons-need-assistive 41

Open Overheid in Europa: wat kunnen we van andere landen leren? De Wet open overheid (Woo) heeft per 1 mei 2022 de Wet openbaarheid bestuur (WOB) vervangen. Enerzijds hebben bestuursorganen nog steeds de verplichting om op verzoek van een burger bepaalde overheidsinformatie openbaar te maken (de Woo-verzoeken); voor deze ‘passieve’ openbaarmaking zijn bepalingen aangescherpt. Anderzijds moeten bestuursorganen straks ook zonder verzoek bepaalde informatie openbaar maken. De invoering van deze ‘actieve’ openbaarmaking verloopt per categorie. Bij de implementatie van de Woo hebben het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI) en de Vereniging van Nederlandse Gemeenten (VNG) een sturende rol. r is veel te doen over de Wet Open Overheid (Woo). De wet betekent opnieuw ingrijpende veranderingen voor overheden. Om de wet uit te kunnen voeren moet namelijk de informatiehuishouding op orde zijn, inclusief de processen en de ICT die daaraan ten grondslag liggen. Het ministerie van Binnenlandse Zaken gaat een uitvoeringstoets doen om de implementatie van de wet te optimaliseren. “Daarbij bevelen wij aan ook te leren van hoe andere Europese landen omgaan met het recht op overheidsinformatie”, zegt Willam van Weelden, strategisch productmanager bij Centric. “Zijn de passieve en actieve openbaarmaking (kader) in bepaalde landen beter of efficiënter? Laten wij daar dan ons voordeel mee doen.” E De Tweede kamer heeft inmiddels twee documenten die beschrijven hoe andere Europese landen het recht op overheidsinformatie vormgeven: een rechtsvergelijking door Universiteit Leiden en een verslag van enkele (digitale) internationale werkbezoeken. Ze 42 werden in oktober 2022 aangeboden door minister Bruins Slot. Verder is er bijvoorbeeld het onderzoek van de Open State Foundation naar de Noorse praktijk. Als je al die rapporten bestudeert, zie je dat landen verschillende ambities hebben die leiden tot verschillende vormen van een ‘Open Overheid’. Voor leden van de Europese Unie betekent dit ook uiteenlopende uitwerkingen van dezelfde Europese richtlijn. Kunnen wij met deze informatie onze passieve en actieve openbaarmaking verbeteren? Passieve openbaarmaking Allerlei factoren dragen ertoe bij dat de passieve openbaarmaking in andere landen sneller kan gaan dan de afhandeling van de Woo-verzoeken in Nederland. Ten eerste maakt het uit wat precies opvraagbaar is. Zijn dit alleen bestaande documenten die een verzoeker moet specificeren (Noorwegen, Finland, Zweden, Frankrijk) of mag dit ook ‘informatie’ zijn, waarvoor ambtenaren moeten uitzoeken welke documenten nodig zijn (Nederland, Duitsland)? Of kan het zelfs gaan om informatie waarvoor ambtenaren nieuwe documenten op moeten stellen (Engeland)? Daarbij speelt ook een rol of er documenttypes zijn die sowieso niet openbaar gemaakt worden. In Nederland is in principe alles opvraagbaar, dat wil zeggen niet alleen officiële documenten zoals Kamerbrieven, maar ook ‘onofficiele’ documenten, zoals conceptversies van officiële documenten, interne mails en berichten in berichtenapps. Zoals de tabel laat zien, verstrekken de meeste landen zulke ‘onofficiële’ documenten nu niet. Bovendien verschillen landen in hun opvatting over wat een ‘officieel document’ is. Zo gaat het in Zweden alleen om documenten die een informatiehouder (zoals een overheid) verstuurd of ontvangen heeft. En in Duitsland alleen om documenten waarvan de betreffende instantie besloten heeft ze permanent in een dossier op te nemen. Al deze specificaties en beperkingen van opvraagbaarheid kunnen informatieverzoeken versimpelen. Een tweede ‘versneller’ van openbaarmakingsprocessen bij informatieverzoeken is het begrenzen van de werklast voor een ambtenaar. Nederland kent zo’n begrenzing niet. Maar het Verenigd Koninkrijk en Denemarken hanteren een maximum aantal werkuren van respectievelijk 24 en 25 uur per informatieverzoek, terwijl Estland en Duitsland verzoeken afwijzen die een ‘onredelijke werklast’ opleveren. Het Leidse rapport stelt dat in Estland “redelijk snel sprake is” van een onredelijke werklast. Ten derde wijken landen van elkaar

partner C e n t r i c making (Denemarken, Zweden, Duitsland). Zweedse bestuursorganen moeten wel documentregisters onderhouden, waaruit dan relatief eenvoudig specifieke documenten opgevraagd kunnen worden via passieve openbaarmaking. Landen verschillen dus in de precieze invulling van het recht op overheidsinformatie. Wat opvalt is dat landen als Noorwegen en Zweden, die bekend staan om hun efficiënte werkwijze, een gestandaardiseerd register van documenten hebben die snel actief openbaar gemaakt worden. Daarbij zijn dan wel alleen díe documenDEN FIN Berichtenapps Interne e-mails Externe e-mails LET EST ZWE DUI FRA SLO NOO VK NL ● ✔ ✖ ● ✔ ✖ ✖ ✖ ✔ ✔ ✔ ✖ ✖ ✖ ● ✖ ✖ ✖ ✖ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✖ ● ✔ ✔ ✔ ✔ ‘Officiële’ documenten ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Conceptversies Ambtelijke adviezen ✖ ✖ ● ● ✖ ✖ ✖ ✖ ✖ ● ✖ ✖ ✔ Opvraagbaar ● Beperkt opvraagbaar ✖ Niet opvraagbaar Willam van Weelden (Centric): “Leer van hoe andere Europese landen omgaan met het recht op overheidsinformatie.” beeld: wouter keuris af in het aantal en type redenen om sommige informatie nooit of alleen na een belangenafweging openbaar te maken (de uitzonderingsgronden). Hoe ingewikkelder die zijn en hoe meer belangenafwegingen nodig zijn, hoe meer tijd hiervoor nodig is. Actieve openbaarmaking Landen gaan ook verschillend om met actieve openbaarmaking, bijvoorNummer 46, april 2023 beeld als het gaat om afwegingen tussen privacy (zoals geregeld door de AVG) en openbaarheid. In Noorwegen slaat de balans doorgaans uit in het voordeel van openbaarheid. In Letland geldt dat in ieder geval voor informatie over ambtenaren: hun inkomen, vastgoedbezit en de naam van hun partner worden actief gepubliceerd. Overigens verplichten niet alle landen bestuursorganen tot actieve openbaarten in te zien en niet ‘informatie op basis van die documenten’. Maar het register zorgt er wel voor dat een belangrijk deel van de passieve openbaarmaking automatisch overbodig wordt. Een dergelijk systeem vereist overzicht over alle openbaar te maken informatie. Het (opnieuw te ontwerpen) Platform Open OverheidsInformatie (PLOOI) zal dan ook alleen een succes worden als overheidsorganisaties hun informatiehuishouding op orde hebben. Begin daarom vandaag met het inzichtelijk maken van alle informatie stromen binnen de organisatie! 43 ● ✔ ✔ ✔ ● ✔ ✔ ✔

Top Employers Institute: TCS beste werkgever 2023 in Nederland Tata Consultancy Services (TCS) is door Top Employers Institute uitgeroepen tot nummer één Top Employer 2023 in Nederland. Dit is het negende jaar dat TCS tot beste werkgever van Nederland is bestempeld. Dit bevestigt dat TCS zich volop inzet voor een betere wereld en werkomgeving door middel van een uitmuntend HR-beleid, uitstekende werkomstandigheden en een sterke organisatiestructuur. “W at geweldig om het nieuwe jaar met deze belangrijke onderscheiding voor TCS te beginnen. Ik ben er erg trots op dat wij voor de negende keer door het Top Employers Institute zijn erkend als Top Employer van Nederland, en dit jaar zelfs als de nummer één beste werkgever”, zegt Josu Devasia, Country Head TCS Nederland. 44 Top Employers Institute is de wereldwijde autoriteit op het gebied van certificering van HR-praktijken. Elk jaar certificeert Top Employers Institute organisaties die hun werknemers op de eerste plaats zetten met een uitmuntend HR-beleid. Het certificatieproces verloopt op basis van zes HR-domeinen op twintig onderwerpen, zoals HR-strategie, werkomgeving, aantrekken van talent, training, diversiteit, gelijkwaardigheid en inclusie, en welbevinden. IT-outsourcing en meer Dit jaar is TCS een van de slechts vijftien internationale Top Employers die door Top Employers Institute erkend werden voor hun uitmuntende perso

partner TCS neelsbeleid. TCS behoort ook tot de top 3 van beste werkgevers in Europa en staat tevens op nummer 1 in verschillende andere Europese landen, zoals Denemarken en België. Sinds 1992 is TCS actief in Nederland. Het begon als een bedrijf dat zich richtte op klassieke IT-outsourcing services en groeide uit tot een organisatie die andere bedrijven niet alleen helpt met IT-outsourcing, maar met complete (digitale) bedrijfstransformaties om hen digital first te maken. TCS Nederland heeft inmiddels ruim 2.500 werknemers in dienst en is actief in uiteenlopende sectoren. Nummer 46, april 2023 In 2021 opende het bedrijf haar eigen co-innovatiecentrum TCS Pace Port™ Amsterdam, van waaruit het klanten door heel Europa helpt bij hun groei- en transformatietrajecten. Duurzaamheid en empowerment Wereldwijd heeft TCS meer dan 613.000 van de best opgeleide consultants in 55 landen. Daarnaast werkt TCS al meer dan vijftig jaar samen met ‘s werelds grootste organisaties in hun transformatieprocessen. De proactieve houding van TCS ten aanzien van klimaatverandering en het award-winning werk met gemeenschappen over de hele wereld, hebben het bedrijf een plaats opgeleverd in toonaangevende duurzaamheidsindices, zoals de MSCI Global Sustainability Index en de FTSE4Good Emerging Index. Naast duurzaamheid focust Josu Devasia zich vooral op de ontwikkeling van zijn werknemers en een stimulerende werkomgeving: “Onze positieve werkcultuur gebaseerd op empowerment, inclusie en resultaten helpt onze collega’s om het beste uit zichzelf te halen. Ik kijk uit naar een goed jaar waarin TCS zich zal blijven inspannen om talent op de best mogelijke manier te ondersteunen.” 45

Digitaal werken aan vertrouwen oen Samira Mellenbergh ging verhuizen naar een andere gemeente, wist ze dat ze door haar huidige gemeente een paaltje kon laten verwijderen voor haar woning teneinde daar een verhuisbusje te parkeren. Zij oriënteerde zich op de website, maar vond tot haar frustratie niet de gewenste informatie. Ook telefonisch was de gemeente slecht bereikbaar noch wist men precies waar zij moest zijn met deze hulpvraag. Bij een fysiek loket kon zij zich ook niet melden, want door corona was alles dicht. Het paaltje bleef staan waar het stond en Samira moest een langer stuk lopen om het busje in te laden. T Als Digital Account Executive bij Salesforce weet Samira dat zoiets beter kan. Als de gemeentelijke website had bestaan uit dynamische content en haar zoekgedrag en intentie beter waren begrepen, dan was waarschijnlijk wel naar boven gekomen hoe en waar zij zich moest melden om het paaltje tijdelijk verwijderd te krijgen. Eén zo’n voorbeeld zorgt natuurlijk niet meteen voor wrevel of wantrouwen jegens de overheid. Het is de opeenstapeling van miscommunicatie die dat doet. Oorzaak: overheden kennen hun inwoners onvoldoende. Zij missen de kans om een betekenisvolle of vertrouwde relatie met hen op te bouwen, versterkt door de praktijk dat je op het juiste moment bij 46 In welke mate inwoners hun overheid waarderen, hangt voor een belangrijk deel af van hoe tijdig en adequaat zij geïnformeerd worden. Daar gaat regelmatig iets mis. “Mijn ultieme droom is om het vertrouwen tussen inwoner en overheid te herstellen”, vertelt Samira Mellenbergh van Salesforce. de juiste persoon de juiste boodschap afgeeft. Gepersonaliseerde relaties Klinkt als marketing? Het is ook marketing! Zie inwoners als klanten met een behoefte, en overheden als organisaties met een product of dienst in de aanbieding, en marketing is altijd de interactie tussen die twee. Samira Mellenbergh: “Daarom geloven wij dat Salesforce Marketing Cloud voor overheden een verschil kan maken in de communicatie- en informatievoorziening naar inwoners. Zeker nu gemeenten meer taken erbij krijgen waarbij de participatie van inwoners cruciaal is. Denk aan de energietransitie. Dan moet je inwoners heel gericht - bijna persoonlijk - activeren.” Dat begint met het verzamelen en combineren van gegevens, uiteraard met respect voor de privacy. Een oproep via de krant voor een informatiebijeenkomst over zonnepanelen, een aanmelding en e-mailadres dat wordt afgegeven, andere duurzame behoeftes die in de communicatie worden blootgelegd en geadresseerd, een live-adviesgesprek. “Voordat je het weet worden contactmomenten en communicatiekanalen aan elkaar geregen tot één geïntegreerde ervaring of klantreis, die de inwoner met een groen hart brengt waar hij zijn wil.” 360 graden klantbeeld Met de juiste IT-oplossingen kunnen dit soort ‘inwonerreizen’ realtime en grootschalig geautomatiseerd worden. Dat verkleint de kans op fouten en zorgt ervoor dat overheidsmedewerkers ontlast worden. Zij kunnen hun aandacht volledig wijden aan de complexere vraagstukken. Klinkt als marketing? Het is ook marketing! Samira Mellenbergh: “Het idee is vaak dat je een uitgebreid CRM moet hebben om inwoners in alle aspecten van de publieke dienstverlening goed te kunnen

partner Salesforce bedienen. Tot op zekere hoogte is dat waar. Door data van inwoners vanuit verschillende databronnen te ontsluiten en een 360 graden klantbeeld te creëren, zal de inwonerreis persoonlijker en relevanter worden.” "Maar”, voegt ze daaraan toe, “met Marketing Cloud kun je al eenvoudig en snel beginnen, door simpele e-mailcampagnes uit te sturen die niet contextafhankelijk zijn. Denk aan algemene digitale nieuwsbrieven en het begrijpen welke artikelen een inwoner het meest interessant vindt. Daar leer je ook weer van voor volgende campagnes!” Positieve eerste indruk Aan het begin van het verhaal vertelde Samira Mellenbergh al dat zij verhuisd was. De eerste mailing die zij ontving van haar nieuwe gemeente was een brief met de vraag of zij meer zonnepanelen op haar huis wilde. “We hadden met de koop van onze woning al een grote investering gedaan! Sympathieker was het geweest als we een leuk welkomstbericht hadden gekregen, waarbij we bijvoorbeeld gewezen werden op voorzieningen die voor ons relevant zijn. Met de juiste tooling had je in een geautomatiseerde flow de input daarvoor grotendeels uit mijn inschrijving in de gemeente kunnen halen. Had ik meteen een positieve eerste indruk van mijn gemeente gehad.” Nummer 46, april 2023 47

Europese Commissie geeft flinke impuls I Data spaces Het delen van data door verschillende partijen is geen nieuw onderwerp. Maar ondanks de onmiskenbare waarde ervan bleef het lange tijd een specialistisch werkveld. Totdat er in 2020 op initiatief van de Europese Commissie een nieuwe wind is gaan waaien. Met een combinatie van regulering en investeringen worden snelle en belangrijke stappen gezet. Wat moeten Nederlandse service providers en overheden hiermee? Door Herman Wagter, Frans van Ette Beeld Shutterstock/iBestuur 48 n iBestuur is het onderwerp data delen al vaker voorbijgekomen. Het belang ervan voor maatschappij en economie is eenvoudig te illustreren met een paar voorbeelden: medische toepassingen worden beter door data van verschillende bronnen te kunnen gebruiken; diagnoses worden beter en patiënten effectiever geholpen. De overheid kan meer doen en betere dienstverlening organiseren door data van verschillende instanties op een verantwoorde manier te analyseren. Logistieke ketens werken beter en efficiënter als er gecontroleerd en vooral op tijd data gedeeld worden. Onderzoek aan universiteiten kan veel sneller als de onderliggende data voor een bepaald onderzoek ook door andere onderzoekers gebruikt kunnen worden. In alle gevallen vormen data een grondstof die zo uit de afgesloten silo’s waarin ze zich nu vaak bevinden gehaald kunnen worden. Hoe werkt dat dan Data delen tussen verschillende partijen mag of kan niet zomaar (privacy, grip op concurrentiegevoelige data, enzovoort) en het gaat zeker niet vanzelf (organisatie, governance en techniek). Om dit goed te organiseren zijn afspraken nodig op een aantal niveaus. Organisatorisch: partijen moeten het eens worden over het gebruik van data, en de eventuele vergoeding daarvoor. Juridisch: het juridisch raamwerk voor die afspraken moet worden opgesteld. Semantisch: als we data gaan gebruiken van verschillende partijen, dan moeten we het ook eens zijn over wat we precies bedoelen met die data. En als laatste technisch: er moet een technisch systeem zijn voor hoe die data uiteindelijk gaan ‘stromen’ of ingekeken kunnen worden. Dat moet allemaal gebeuren met de nodige controles die ingebakken zijn in de techniek; veilig en betrouwbaar. Feitelijk gaat het om een samenspel van technisch, juridische en organisatorische afspraken waarin partijen gecontroleerd data delen. Deze manier van data delen wordt in internationale context steeds meer als ‘data spaces’ gedefinieerd. Dat kunnen we toch al? Data delen in grotere verbanden doen we al via platforms. Dat werkt, maar het platform is dan opeens een speler met eigen belangen, wat tot allerlei ongewenste neveneffecten kan leiden. De nieuwe aanpak is de ontwikkeling van bovengenoemde data spaces: de data-eigenaar houdt grip op de data en op wie die mag gebruiken en hoe, en het netwerk van data delende partijen vormt zichzelf en past zichzelf aan. Een platform kan meedoen maar is geen noodzaak.

Podium aan data delen De data-eigenaar houdt controle in deze systematiek. Big tech of wannabe-monopolisten worden omzeild en we behouden de mogelijkheden om echt te schalen. Voordelen te over dus, maar dit is niet zomaar geregeld. Wie organiseert die partijen, wie zorgt voor de technische afspraken en de implementatie? En er moeten ook nog wat juristen bekostigd worden. We kunnen vaststellen dat dit een superieur systeem is, maar dat vraagt dan ook om een superieure governance en geavanceerde techniek. Hoe ver zijn we? De ontwikkeling van data spaces bestaat al eventjes, en Nederland blaast daar een stevige partij in mee. De grote push is van onze oosterburen gekomen, met de auto-industrie Nummer 46, april 2023 voorop. Met Fraunhofer (Duitse organisatie voor toegepast wetenschappelijk onderzoek) en later ook met TNO en andere partijen is op verzoek een systeem bedacht hoe data gecontroleerd kunnen worden gedeeld. Dit systeem is niet exclusief voor de automobielsector, maar kan in allerlei bedrijfstakken en toepassingen werken. De kern: datasoevereiniteit voor de dataeigenaar en interoperabiliteit. Datasoevereiniteit zodat er bepaald kan worden op welke voorwaarden data gedeeld worden. En interoperabiliteit zorgt ervoor dat vendor lock-in voorkomen kan worden en we sneller kunnen implementeren, gebruikmakend van gedeelde bouwblokken. Voor toenmalig bondskanselier Angela Merkel en haar economieminister Peter Altmeier werd dit chefsache; zij zagen 49

Podium terecht dat deze manier van data delen echt internationaal van karakter moet zijn. Als eerste werd Frankrijk aangehaakt via Bruno Le Maire (minister van Financiën). Gaia-X was geboren, een initiatief van lidstaten. En toen kwam de Europese Commissie In 2020 werden door de Eurocommissarissen Ursula von der Leyen, Thierry Breton en Margrethe Vestager speeches gegeven waarin ze duidelijk maakten wat de strategie rond het systeem zelf. TNO, EZK en andere Nederlandse instellingen hebben boardposities en bepalen mee welke kant we opgaan. Maar minstens zo belangrijk is dat Nederland concrete voorbeelden aanlevert. Voor de onderzoekswereld timmert de European Open Science Cloud al een tijd aan de weg. In de logistieke wereld wordt al uitgebreid gewerkt aan de praktijkimplementatie van technologie en aan verschillende use cases, zoals de Basis Data Infrastructuur door de Topsector Logistiek en het ministerie van IenW, en in de industriële wereld is het Smart Connected Supplier Network functioneel, waarbij bedrijven in de supply chain data delen. TNO, EZK en andere instellingen hebben boardposities en bepalen mee welke kant we opgaan data delen was. En ze lieten het niet bij woorden: met regulering, waaronder de Data Act en de Data Governance Act, en met 2 miljard euro aan investeringen in data spaces wordt aan de strategie inhoud gegeven. De financiële middelen gaan bijvoorbeeld naar sectorale data spaces. En van cruciaal belang was de laatste stap die afgelopen februari is gemaakt. Toen is de zogenaamde Simpl tender uitgezet, waarbij voor 63 miljoen euro aan software wordt ontwikkeld die voor iedereen beschikbaar komt. Deze software moet de bouwblokken worden voor alle data spaces; elke data space gebruikt dan dus dezelfde bouwblokken, waardoor interoperabiliteit automatisch is ingebouwd. Om dit allemaal verder te organiseren is het Data Spaces Support Center opgericht, gefinancierd door de EC. Hier kan iedereen terecht met vragen en kunnen partijen met elkaar de vervolgstappen definiëren. Nederland staat er goed op Nederland doet mee op het niveau van het ontwikkelen van 50 Op overheidsniveau is BZK uitermate actief met de uitwerking van de Interbestuurlijke Data Strategie. En EZK staat aan de basis van het Center of Excellence DSC waar de link met Europa gemaakt wordt en Nederlandse partijen kunnen aankloppen. Om een niet nader te identificeren senior EU-ambtenaar te citeren: ‘Alle 27 lidstaten zijn mij even lief, maar met het mes op de keel: Duitsland, Frankrijk, dan Finland en vlak erna Nederland.’ Hoe verder Volop dóór dus, want het is een bron van toekomstig verdienvermogen en een betere manier om onze maatschappij te organiseren. Maar het mag nog wel een tandje meer en sneller in ons land, in lijn met dezelfde ambitie die de EC tentoonspreidt. We hopen dat er snel Nederlandse service providers opstaan die de mogelijkheden zien en willen investeren in hun plek in het data space portfolio. Dat er data spaces komen is zeker en hopelijk hoeven we de services ervan niet bij de usual suspects aan te schaffen. Met alle respect voor wat Amerikaanse providers kunnen; dit is ontluikend terrein en echt een mogelijkheid voor ondernemend Nederland. Voor overheden is het van groot belang om die Europese ontwikkelingen te volgen: IT en data spaces zijn grensoverschrijdend en floreren bij schaalgrootte, en de EC heeft onmiskenbare ambities tot op het hoogste niveau. Die invloed gaat zonder twijfel merkbaar worden. Herman Wagter (Programma Directeur bij Connekt) en Frans van Ette (Programma Directeur AI bij TNO)

partner Tanium Een goed IT-beheer is voor iedere organisatie een must. De nieuwe Corporate Governance Code legt boetes op aan organisaties die hun IT niet onder controle hebben. En met de aankomende NIS2 directief wil Europa dat bedrijven en instellingen zich nog beter wapenen tegen ransomware en andere cyberbedreigingen. Cruciaal bij dit alles is het verkrijgen van een goed inzicht in welke hardware en software zich binnen een organisatie bevindt en hoe veilig die zijn. Vertrouwen is goed, controle is beter IS (Network and Information Systems) was in de eerste plaats gericht op kritieke infrastructuur zoals financiële dienstverlening, transport, energievoorziening, gezondheidszorg. Bij cyberaanvallen moeten die diensten operationeel blijven en hun data afschermen. NIS2, die waarschijnlijk in 2024 van kracht wordt, breidt deze directief uit naar meer sectoren en naar publieke dienstverlening. Ook zij zullen sneller inbreuken moeten rapporteren, en moeten kunnen bewijzen dat ze alle nodige voorzorgen genomen hebben, niet alleen bij zichzelf, maar ook bij alle IT-leveranciers waar ze mee samenwerken. Uiteraard is iedere organisatie al langer bezig met het opzetten van de nodige beschermingsmaatregelen. Tools zorgen voor updates van applicaties en besturingssystemen, patches worden doorgevoerd, eindapparatuur wordt van bescherming voorzien. Toch zijn er maar weinig organisaties die een totaaloverzicht hebben over alle apparatuur die toegang krijgt tot hun netwerken. De tools zitten immers verspreid over IT- en securityteams en bieden geen uniform N Nummer 46, april 2023 zicht over het hele IT-landschap. Bovendien zijn de tools niet altijd geschikt om te controleren danwel verifieren of alle updates en upgrades ook daadwerkelijke geslaagd zijn. Integraal beeld van het hele IT-landschap Daarom zette Tanium een nieuwe oplossing in de markt: converged endpoint management (XEM). Deze werkt samen met alle bestaande tools, voert de nodige controles uit en geeft een totaalbeeld van de securitystatus van alle endpoints. Door de software agents van Tanium cross-platform te laten werken geven ze een integraal beeld of de IT-services wel degelijk zijn doorgevoerd. Niet alleen binnen de eigen omgeving, maar ook bij de outsourcingpartners waarmee ze samenwerken, bijvoorbeeld voor werkplekkenbeheer of datacenter-services. Nu veel overheidsdiensten aan de eigen, on-premise, omgeving en die van externe partners ook nog clouddiensten toevoegen, dreigt het IT-landschap verder gefragmenteerd te worden. Reden te meer om op zoek te gaan naar een oplossing die in één oogopslag een totaalbeeld biedt. Wat vindt de publieke sector eigenlijk van de NIS2? Om die reden steunt Tanium het onderzoek van de Vrije Universiteit Amsterdam naar de effecten van de aanstaande NIS2 op bestuurders en CISO’s. Voelen ze zich gesteund in hun verbetermaatregelen, misleid doordat er soms in de pers of door cybersecurity‘experts’ uitspraken worden gedaan die nog niet zijn uitgekristalliseerd, of bedreigd door de geïntroduceerde verantwoordelijken? Graag nodigen we lezers van dit artikel uit om deel te nemen aan dit onderzoek door een e-mail te sturen aan de onderzoeksleider: r.h.bierens@student.vu.nl. Meer informatie: Conrad van Veenendaal, directeur Publieke Sector, 06-30428423, conrad.vanveenendaal@tanium.com 51 31 critical patches missing

Digitale veiligheid van smart city-systemen: Analyse en De maatschappij is in een hoog tempo aan het digitaliseren. Dit blijkt ook uit een toenemend gebruik van slimme technische oplossingen voor gemeenten, oftewel smart city-systemen. Het gebruik ervan heeft ook een keerzijde. et doel van deze systemen is meer inzicht te krijgen in de openbare ruimte en deze beter of efficiënter te beheren. Zo maken verschillende gemeenten gebruik van slimme verkeerslichten om de verkeersdoorstroming te verbeteren, drones om bosbranden te detecteren, sensornetwerken in riolen die de drainage afstemmen op de weersomstandigheden, slimme camera’s voor crowd management, et cetera. Het gebruik van smart city-systemen1 H heeft ook een keerzijde. Ze zijn namelijk verbonden met het internet alsook met IT-systemen van gemeenten en externe partijen. Dit brengt risico’s met zich mee op het gebied van digitale veiligheid. Digitale veiligheid omvat hierbij ook het waarborgen van de privacy en het beveiligen van de fysieke infrastructuur. Er zijn al diverse incidenten opgetreden met smart city-systemen, zoals DDoS-aanvallen door beveiligingscamera’s, een ransomware-aanval op kentekencamera’s, illegale gezichtsherkenning door reclamezuilen en illegale wifi-tracking door een gemeente. Meestal is er sprake van criminelen, vandalen, of juist goedbedoelende ambtenaren en burgers. Maar aanvallen op smart city-systemen kunnen ook afkomstig zijn van statelijke actoren die tot doel hebben de Nederlandse samenleving te ontwrichten.2 In 2021 registreerde de Informatiebeveiligingsdienst (IBD) 276 cyberincidenten bij smart city-systemen; ruim 100 meer dan het jaar daarvoor. Ook liet de IBD in 2021 bijna 1900 kwetsbaarheidsmeldingen naar gemeenten uitgaan, waarvan 90 met een hoge kans op misbruik en grote potentiële schade.3 Naarmate smart city-systemen zich verder ontwikkelen en meer worden ingezet, worden gemeenten ook afhankelijker van deze systemen voor de uitvoering van hun publieke taken. Dit zorgt ervoor dat voor deze systemen de potentiële impact van cyberincidenten toeneemt. Zo kan het hacken van bijvoorbeeld een slim verkeersregelsysteem leiden tot onveilige verkeerssituaties, het uitvallen van camerasystemen kan leiden tot verstoring van de uitvoering van gemeentelijke taken, het ongeoorloofd volgen van personen op straat kan voor burgers leiden tot inbreuk op privacy en voor gemeenten tot reputatieschade en financiële schade door boetes of claims. Het is daarom van belang om de digitale veiligheid van smart city-systemen direct goed in te richten. Zicht krijgen Door Emiel Kerpershoek, Pieter Burghouwt e.a. Beeld Shutterstock/iBestuur 52 Uit recent onderzoek blijkt echter dat gemeenten in hun beleid vaak nog onvoldoende aandacht besteden aan digitale veiligheid; zij zoeken naar manieren om goed invulling te kunnen geven aan hun verantwoordelijkheid op dit gebied. Voor sommige gemeenten is dit zelfs reden om hun stad niet slimmer te maken met smart city-systemen. Een gemiste kans, gezien de diverse maatschappelijke uitdagingen waaraan deze systemen een bijdrage kunnen leveren.4 Om meer zicht te krijgen op de problematiek van digitale veiligheid van smart city-systemen is in 2021 een door Regieorgaan SIA

Podium oplossingsrichtingen gesubsidieerd onderzoeksproject gestart. In dit project onderzoeken de Haagse Hogeschool (Kenniscentrum Cybersecurity) en NHL Stenden Hogeschool (Onderzoeksgroep Cybersafety), in samenwerking met een aantal gemeenten, Security Delta (HSD) en enkele expertiseorganisaties, de digitale veiligheid van smart city-systemen. In de eerste fase van dit onderzoek zijn twee cases geanalyseerd om de problematiek in kaart te brengen. Het betreft intelligente verkeers regelinstallaties ter bevordering van de verkeersdoorstroming en aanrijdtijden voor hulpdienstvoertuigen en slimme camera’s ten behoeve van crowd management. Analyse van de digitale veiligheid in twee cases Uit de eerste fase van het onderzoek blijkt dat het inrichten van digitale veiligheid van smart city-systemen niet eenvoudig is. Ondanks de evidente verschillen tussen de onderzoeksNummer 46, april 2023 cases, slimme verkeerslichten versus slimme camera’s, bleken betrokken gemeenten met vergelijkbare knelpunten te kampen bij het inrichten van de digitale veiligheid van hun smart city-systeem. 1. Digitale veiligheid is niet goed ingebed in de organisatie Het eigenaarschap van de smart city-systemen en de gegevens ervan zijn in veel gevallen niet duidelijk belegd in de organisatie. Hierin speelt mee dat er in veel organisaties een beperkt gevoel van urgentie is op het gebied van digitale veiligheid en bovendien het management er weinig bij is betrokken. Dit maakt dat veelal onduidelijk blijft wie regie voert op de digitale veiligheid van smart city-systemen, of dat deze regierol slechts tijdelijk wordt ingevuld door bijvoorbeeld een projectorganisatie. 53

Niet alleen kijken naar wat het systeem moet kunnen, maar ook wat niet 54 2. Digitale veiligheid wordt technisch onvoldoende ingevuld Wanneer smart city-systemen worden geïmplementeerd, is de digitale veiligheid veelal nog niet op orde. De systemen zijn niet veilig ingesteld, worden niet tijdig gepatcht, de netwerken zijn niet afdoende gesegmenteerd en er zijn relatief veel partijen en mensen die toegang hebben tot de systemen. Hierin speelt mee dat smart city-systemen vaak starten als pilot, waarbij de nadruk ligt op nieuwe functionaliteit en snelle resultaten. De digitale veiligheid van de systemen wordt daardoor vaak onvoldoende meegenomen in het ontwerp en de ontwikkeling van de systemen. Het achteraf inbouwen van digitale veiligheid in dergelijke systemen wordt dan veel lastiger. 3. Bescherming van privacy is onvoldoende ingevuld Smart city-systemen bevatten doorgaans een uitgebreid netwerk van sensoren. Deze kunnen in veel gevallen meer gegevens verzamelen en bewerken dan nodig is voor de doelstellingen van het systeem. Als dit onvoldoende wordt geblokkeerd of afgeschermd, leidt dit tot onbedoelde

Podium functionaliteiten, waardoor misbruik door onbevoegden mogelijk is. Ook is de transparantie over het doel van smart city-systemen en het gebruik van de verzamelde data vaak onvoldoende. 4. Er wordt te weinig gebruikgemaakt van good practices en geaccepteerde kaders Smart city-systemen ontwikkelen zich verder waardoor mogelijkheden voor nieuwe functionaliteiten, gebruikers, of koppelingen met andere databronnen zich aandienen. Dit heeft echter invloed op de digitale veiligheid van de systemen. Het veilig maken en houden van smart city-systemen is gebaat bij het toepassen van good practices en breed geaccepteerde kaders voor de digitale veiligheid, maar dit gebeurt te weinig. Oplossingsrichtingen • Om de digitale veiligheid van smart city-systemen goed in te bedden in de organisatie is het nodig dat het hoger management van de gemeente het belang van de smart citysystemen en de digitale veiligheid ervan onderkent en het eigenaarschap van de systemen op zich neemt. Het hoger management kan er dan op sturen dat het middenmanagement zich actief bemoeit met de digitale veiligheid van de smart city-systemen en ervoor zorgt dat duidelijke afspraken worden gemaakt over wie hierover de regie voert. • Om de digitale veiligheid van smart city-systemen technisch goed in te vullen moet de digitale veiligheid al in de ontwerpfase worden meegenomen. Dit principe van ‘security by design’ houdt in dat bij het ontwerpen van het systeem de relevante risico’s worden geïdentificeerd en dat maatregelen om deze te beheersen mee worden ontworpen en ontwikkeld. Hierbij wordt niet alleen gekeken naar wat het systeem zou moeten kunnen, maar ook wat het systeem niet zou mogen kunnen. Zo ontstaat een smart city-systeem dat niet alleen de gevraagde functionaliteit biedt, maar ook veilig is. Ook bij pilots moet deze aanpak worden gevolgd, omdat deze anders niet representatief zijn. • Om de bescherming van privacy goed in te vullen is het van belang dat ook privacybeschermende maatregelen voor een smart city-systeem worden meegenomen in de ontwerpfase. Hierbij kan worden gedacht aan het beperken van de sensorNummer 46, april 2023 functies, het anoniem verwerken van gegevens, versleuteling van gegevens en het regelen van selectieve toegang tot de systemen en de gegevens. Dataminimalisatie, ofwel het verzamelen van niet meer (persoons)gegevens dan nodig zijn voor het behalen van de doelstellingen voor het smart citysysteem, speelt daarbij een cruciale rol. In aanvulling daarop moet het voor de burger inzichtelijk zijn waarvoor specifieke systemen dienen, welke data daarbij verzameld worden en hoe deze gebruikt worden. • Er wordt te weinig gebruikgemaakt van good practices en geaccepteerde kaders. Veel gemeenten zijn bezig met het ontwikkelen van smart city-systemen, maar toch lijken ze maar beperkt te profiteren van elkaars ervaringen op het gebied van de digitale veiligheid van deze systemen. Zelfs binnen een gemeente is dit nog niet altijd goed geregeld. Dit betekent dat veel gemeenten zelf het wiel aan het uitvinden zijn, of nog niet hebben ontdekt dat ze een wiel nodig hebben. Het delen van goede ervaringen kan gemeenten helpen om de digitale veiligheid van smart city-systemen beter en efficiënter in te vullen. [1] VNG (2020) Agenda Digitale Veiligheid 2020 – 2024. Een veilige (digitale) gemeente. Den Haag: Vereniging van Nederlandse gemeenten. [2] NCSC (2021). Cybersecuritybeeld Nederland CSBN 2021. NCTV/NCSC. [3] https://www.informatiebeveiligingsdienst.nl/nieuws/jaaroverzicht-2021/ [4] https://stadszaken-nl.cdn.ampproject.org/c/s/stadszaken.nl/artikel/ amp/4517/slimme- verlichting-bespaart-tot-wel-70-procent-energie-gemeenten-laten-kansen-liggen Emiel Kerpershoek, Pieter Burghouwt, Marcel Spruit (De Haagse Hogeschool) Willem Bantema, Anna Bartelds, Jurjen Jansen (NHL Stenden Hoge school) 55

Zuid-Holland op expeditie ‘Platform is opstap naar G Hoe mooi zou het zijn als burgers, bedrijven, instellingen en maatschappelijke organisaties in ZuidHolland zich zouden kunnen bewegen op een platform waar ze met hun provinciale bestuur in contact komen en data uitwisselen voor maatschappelijk opgaven. Ideaal, denkt de provincie. Er wordt hard gewerkt om de fundamenten te leggen. edeputeerde Willy de Zoete (ChristenUnie), die digitalisering in haar portefeuille heeft (NB: dit interview vond plaats voor de provinciale verkiezingen 15 maart jl.), benadrukt de proactieve houding van ZuidHolland: “De kernwaarde van een platform is interactiviteit: als je interactief bent, neem je de kennis van anderen mee in je beleids- en besluitvorming. Ik denk dat we daarmee laten zien hoe relevant je bent als middenbestuur. Vaak bestaat het idee dat de overheid een beetje achterloopt, maar Zuid-Holland loopt juist voorop. Ik was onlangs bij een bijeenkomst met staatssecretaris Van Huffelen (Digitalisering) over haar Werkagenda Waardengedreven Digitalisering. Zij hintte op de ambitie die wij precies met dit platform proberen waar te maken. Ik word regelmatig verrast door lokale en regionale digitaliseringsinitiatieven. Bijvoorbeeld dat een aantal provincies al op grote schaal satellietdata gebruikt om de natuur de monitoren; denk aan de wildstand. Maar ik ben ook wel eens verbaasd over hoe ver sommige overheden achterlopen. Het digitaliseringslandschap is heel divers.” De commerciëlen “Er zijn twee heel belangrijke voorwaarden verbonden aan overheidsdigitalisering: je datapositie moet op orde zijn en je moet verbinding zoeken met je partners. Dat is precies wat we met dit platform bereiken”, vult Jan van Ginkel aan. Hij is plaatsvervangend provinciesecretaris van Zuid-Holland en gaf leiding aan een metaforische expeditie naar publieke platforms. De twintigkoppige expeditie verkende daartoe een aantal commerciële platforms om ideeën op te doen. “We hebben vooral geleerd wat we niet willen zijn”, aldus Van Ginkel, “Commerciële platforms zijn per definitie niet transparant, de algoritmes waarmee ze werken blijven geheim, ze zijn niet inclusief. Uiteraard, want het gaat hen juist om focus op hun specifieke markt. En ze werken niet met open data. Dat zijn nu juist allemaal eigenschappen die niet horen bij een overheidsplatform: dat moet transparant en inclusief zijn, werkt het best met open data en algoritmes die bekend zijn bij de mensen die er gebruik van maken.” ZuidHolland is naast Noord-Brabant de enige provincie die de algoritmes waar ze gebruik van maakt in een openbaar algoritmeregister heeft opgenomen. Sterk merk Door Cyriel van Rossum Beeld Shutterstock/iBestuur 56 Van Ginkel vervolgt: “We zijn allemaal dol op platforms, maar ze geven je soms ook een wat unheimisch gevoel. Ik heb het dan over commerciële platforms en over gevoelens van onzekerheid over wat er met de door jou afgestane data gebeurt. Die gevoelens mogen in geen geval opspelen als iemand zich begeeft op een overheidsplatform. Burgers beseffen steeds beter dat democratische waarden hoger in het vaandel moeten staan. Mensen voelen zich overgeleverd aan de Grote Tech en daar is onvrede over. Ons platform berust op betrouwbaarheid, regie op je eigen gegevens en inzicht in wat wij met die data doen.”

iets veel groters’ Willy de Zoete denkt dat het wel goed zit met die betrouwbaarheid: “Ik geef toe dat er best wat wantrouwen bestaat jegens het beleid van de provincie. Maar de provincie is als het om informatieverstrekking gaat wel een sterk merk, maar heeft nog niet de naamsbekendheid die ze verdient. Mensen die onze website bezoeken ervaren ons als betrouwbaar. Ik heb nog nooit iemand horen zeggen: dat is informatie van het Provinciehuis, dus zal het wel niet kloppen.” De vraag is of de provincie alles wil aanpakken om het platform body te geven. Niet alles, aldus Van Ginkel. “Een voorbeeld: in het licht van de circulaire economie bestaan er plannen om producten een soort digitaal paspoort te geven waarin precies beschreven wordt uit welke materialen een bepaald product is gemaakt. Dat zal hergebruik, circulariteit, vergemakkelijken. Vervolgens moet er een platform komen om vraag en aanbod van herbruikbare materialen bij elkaar te brengen. Er wordt weliswaar provinciaal beleid gemaakt om de circulaire economie van de grond te krijgen, maar we gaan niet zelf iets ontwikkelen om die markt in te richten. Dat is echt niet onze taak. Marktmeester zijn… oké, maar de markt inrichten laten we over aan de marktpartijen zelf.” Grenzeloos Het platform is als het aan De Zoete ligt slechts een opstap naar iets veel groters. “De verbinding met gemeenten, waterschappen en andere provincies vind ik van wezenlijk belang voor het welslagen van ons platform. Stikstof heeft eens te meer aangetoond dat problematiek geen grenzen heeft en beleidsvorming dus niet kan ophouden bij grenzen.” Van Ginkel voegt daaraan toe: “Een platform is in wezen een grenzeloos dataplatform. We hebben al Rotterdam en Den Haag betrokken bij de vormgeving en inmiddels hebben zich inmiddels nog eens een tiental partners in spe gemeld. Het heeft een magnetische werking, de onderneming groeit met de dag. En wij nodigen natuurlijk ook burgers en bedrijven uit om aan te sluiten bij het publieke belang.” Niet alleen overheden tonen belangstelling. Bij het seminar waarmee de expeditie publieke platformen werd afgesloten waren opvallend veel vertegenwoordigers uit de private sector aanwezig. Sociaal construct Het platform is een soort van corporate platform dat gegevens deelt Nummer 46, april 2023 57

Jan van Ginkel en Willy de Zoete: “De verbinding met gemeenten, waterschappen en andere provincies van wezenlijk belang voor het welslagen van ons platform.” en deelnemers uitnodigt. Dat die deelnemers op betrouwbaarheid worden gecheckt is vanzelfsprekend. “We zullen ook altijd een precieze bronvermelding opnemen, zodat duidelijk is en blijft welke data van de provincie zijn en welke niet”, aldus Van Ginkel. Betrouwbaarheid, regie op je eigen gegevens en inzicht in wat wij met die data doen De Zoete en Van Ginkel erkennen dat een platform als dat wat de provincie voor ogen staat een uitdagende – zo niet gecompliceerde – technische exercitie is, maar benadrukken dat er minstens zoveel energie moet worden gestoken in het contact zoeken met partners en in het gesprek met die partners: “Het is zowel een technisch als sociaal construct. Daarvoor zijn openheid voor kritiek en uitwisseling van verlangens en behoeften nodig en moet men zich constant afvragen: wat is ons collectieve belang?” Waar publieke waarden in het spel zijn en de kwetsbaarheid van de individuele gebruiker van het platform, moet ook goed worden nagedacht over ethische kwesties. “Privacy, integriteit en democratische waarden vergen grote zorgvuldigheid. We hadden dan ook al een ethicus in dienst, en nu hebben we daar zelfs een speciale commissie voor opgetuigd”, aldus De Zoete. Vertienvoudiging Het vervolg? Er komt een tweede expeditie om het zwaan-kleef-aan-effect te vergroten en door te zetten in een grotere beweging, waarbij zo mogelijk alle provincies betrokken zijn. De Zoete: “Ik zit namens Zuid-Holland in de kopgroep binnen het Interprovinciaal Overleg (IPO) die zich met digitalisering bezighoudt. Vanuit die positie probeer ik de platformgedachte wijder te verspreiden.” De tweede expeditie is er ook om het fundament te leggen voor het platform. “Het zal een proces van vallen en opstaan zijn. Van leren en kennis opbouwen”, voorspelt Van Ginkel. Over capaciteit hoeft hij niet te klagen. Voor de tweede expeditie publieke netwerken kan hij rekenen op een team van niet minder dan tweehonderd collega’s. Dat is een vertienvoudiging ten opzichte van de eerste. 58

Doek CDO Twee CDO’s? I D k hoor en lees het steeds vaker: “Onze organisatie moet datagedreven worden”. Daarom is er binnen de overheid steeds meer aandacht voor datamanagement en -governance. En daar hoort een chief data officer (CDO) bij. Met die aanstelling start ook een levendige discussie over de verschillen tussen documenten en data. In plaats van de focus op mogelijke verschillen zou ik graag de discussie over de relatie en samenhang zien. ocumenten en data zijn sterk met elkaar vervlochten. Dit is terug te zien in bijvoorbeeld de Wet open overheid (Woo), waarin een document gedefinieerd als ‘opgemaakt of ontvangen schriftelijk stuk of ander geheel van vastgelegde gegevens’. Het gedeelte ‘of ander geheel van vastgelegde gegevens’ vinden we ook terug in de Wet hergebruik overheidsinformatie (Who) en de nieuwe Archiefwet. Eisen die vanuit wetgeving worden gesteld zijn hierin gelijk voor documenten én data. Met deze gelijke eisen is het logisch om een integrale blik op documenten en data te hebben. Afelonne Doek Algemeen rijksarchivaris uurzame toegankelijkheid moet hierbij voorop staan. De mate waarin informatie en gegevens vindbaar, beschikbaar, leesbaar, betrouwbaar, interpreteerbaar en toekomstbestendig moeten zijn, dienen vanaf het begin volgens het Archiving by Design principe worden meegenomen. Laten we als voorbeeld inzoomen op de betrouwbaarheid. We willen namelijk als overheid en als burger dat wat in een document staat juist is. Dat daarvoor bijvoorbeeld de juiste persoons- of adresgeD Nummer 46, april 2023 ok de vraagstukken die spelen binnen informatiehuishouding en gegevens- of datamanagement bieden voldoende aanknopingspunten om integraal naar data en documenten te kijken. Informatiehuishouding ontfermt zich over vragen als: welke bewaartermijnen hanteren we voor informatie? Hoe maken we informatie toegankelijk voor (her)gebruik? Hoe zorgen we ervoor dat informatie betrouwbaar is? Binnen gegevensmanagement spelen vragen als: welke bewaartermijnen hanteren we voor gegevens? Hoe maken we gegevens toegankelijk voor (her)gebruik? Hoe zorgen we dat gegevens betrouwbaar zijn? Meer dan genoeg raakvlakken om elkaar te vinden en elkaar te versterken. O et is duidelijk dat duurzame toegankelijkheid ook een plek dient te krijgen binnen de data-governance. De werelden van data en documenten, of van gegevens en informatie, zijn zo sterk met elkaar verweven dat het een gemiste kans zou zijn om niet gezamenlijk op te trekken. Alleen dan kunnen we de transparante en betrouwbare overheid zijn die we beogen te zijn. En laten we eerlijk zijn, je wilt toch voorkomen dat we straks bij wijze van spreken met twee CDO’s zitten? Een chief data officer en een chief document officer? H 59 gevens worden gebruikt. Daarmee zijn deze gegevens dus van essentieel belang voor de betrouwbaarheid van het document. Het zou dan ook vreemd zijn om onze blik te beperken tot alleen data óf alleen documenten. Dat komt simpelweg de kwaliteit van onze documenten en data niet ten goede.

De belofte van quantum advantage ‘Nu vast nadenken over “V De ontwikkeling van quantumtechnologie, de verkenning van de mogelijkheden en het mitigeren van potentiële bedreigingen verlopen parallel. Dat biedt een mooie kans voor een gedegen voorbereiding op deze nieuwe, disruptieve technologie. eel technologie hebben we ons als maatschappij laten overkomen; bijvoorbeeld AI, artificial intelligence. Met quantumtechnologie hebben we de kans om het anders te doen”, zegt Deborah Nas, initiative lead voor het Centre for Quantum & Society en professor Strategic Design for Technology-based innovation aan de TU Delft. Quantumtechnologie is een technologie waarvan we verwachten dat die de wereld gaat veranderen, maar “hoe en wat precies moet nog bedacht worden”, vertelt ze. “Nu hebben we de kans om al tijdens de ontwikkelingen van deze technologie na te denken over de maatschappelijke impact.” De overheid speelt een belangrijke rol, zegt ze. Zowel bij het reguleren van mogelijke effecten van quantumtechnologie, én als gebruiker. Wetenschap en bedrijfsleven streven bij de ontwikkeling van de quantumcomputer naar ‘quantum advantage’: het moment waarop een quantumcomputer een berekening kan uitvoeren die een praktisch vraagstuk oplost, met een berekening die niet kan worden gedaan door een klassieke computer. Wanneer is dat zover? Het hangt ervan af aan wie je het vraagt, zegt Nas: “Wetenschappers zijn erg terughoudend, start-ups erg optimistisch en de grote techbedrijven zitten er ergens tussenin.” Armand Stekelenburg, IBM Quantum Ambassador en senior managing consultant bij IBM, zegt dat de eerste concrete toepassingen voor quantum computing er nu al zijn. De ontwikkelingen die nodig zijn om daadwerkelijk quantum advantage mogelijk te maken heeft IBM in een roadmap inzichtelijk gemaakt. Cruciaal is het aantal qubits in een quantumcomputer. “In 2016 hadden we de eerste quantumcomputer beschikbaar, via de cloud, met 5 qubits. In 2022 één met 433 qubits. Dit jaar verwachten we boven de 1.000 uit te komen. Ook op andere vlakken zijn we steeds aan het verbeteren, want het gaat niet alleen om de hoeveelheid qubits. Ook de kwaliteit ervan en de snelheid waarmee je berekeningen kunt doen, bepalen wanneer we quantum advantage behalen. De hardware, de software en het ecosysteem van partijen dat de mogelijkheden van quantumtechnologie onderzoekt en benut, zijn allemaal bepalend in deze ontwikkeling.” Nas vult aan dat er veel verschillende vormen van quantumtechnologie zijn: “Quantum is een beetje een paraplubegrip. De quantumcompters zijn het meest sexy, want die zien er prachtig uit en er hangt een grote belofte omheen. Maar er zijn ook quantumnetwerken voor veilige communicatie. En quantumsensoren, waarmee je heel nauwkeurige metingen kunt doen. Die komen eerder op de markt.” Kansen in kaart Door Marieke Vos Beeld Shutterstock 60 Germain van der Velden is senior informatie-adviseur bij het ministerie van Infrastructuur en Waterstaat. Hij bracht voor zijn ministerie de kansen en bedreigingen van quantumtechnologie in kaart: “De overheid heeft te maken

maatschappelijke impact’ Naast quantumcompters zijn er ook quantumnetwerken en quantumsensoren. met complexe vraagstukken, zoals de energietransitie, klimaatverandering en mobiliteit. De kracht van quantumtechnologie is dat het nauwkeurige en snelle berekeningen kan doen met extreem veel variabelen. Het KNMI kan er bijvoorbeeld veel betere klimaatmodellen mee maken. We zien kansen om quantum in te zetten in verschillende beleidsdomeinen.” Stekelenburg vult aan: “Met quantumtechnologie kun je oplossingen onderzoeken op vraagstukken waar je veel data of mogelijkQuantumtechnologie kan nauwkeurige en snelle berekeningen doen met extreem veel variabelen Nummer 46, april 2023 heden voor moet doorrekenen. Zoals in de logistiek, maar ook bij fraudedetectie.” Er is weliswaar nog geen quantumcomputer die beter kan rekenen dan een klassieke computer, maar je kunt op dit moment al wel verkennen welke toepassingen mogelijk zijn, zegt hij. IBM doet dat in diverse partnerschappen, onder meer op het gebied van chemie, optimalisatie en AI. Van der Velden: “Voor een overheid kan het interessant zijn om met een aantal collega’s een workshop te doen waarin je de mogelijkheden van quantum verkent. Met als centrale vraag: als je weet wat quantum kan, welke problemen van vandaag kunnen we dan morgen oplossen? Op deze manier kunnen we al voorsorteren op wat er over een paar jaar kan en kunnen medewerkers kennis opdoen. Het geeft je ook een voorsprong in de ‘war on talent’ die ongetwijfeld gaat uitbarsten rondom quantumtechnologie.” Dreigingen en kroonjuwelen Als het gaat om het ontdekken van de kansen van quantumtechnologie, dan hebben organisaties nog even de tijd. Maar met het tegengaan van de dreigingen moeten ze zich nu al bezighouden. De rekenkracht van quantumcomputers kan namelijk ook ingezet worden om de huidige encryptie te kraken. Als dat zover is en er worden geen maatregelen genomen, dan zijn de gevolgen niet te overzien. Van der Velden: “Overstromingen, ontwrichting van de vitale infrastructuur, 61

Roadmap voor de ontwikkeling van quantum computing. Deze omvat hardware en software. van de drinkwatervoorziening tot kerncentrales. Als de beveiliging van voorzieningen wordt gekraakt, dan kan bij wijze van spreken elke pukkelige tiener de sluizen openzetten.” Nu al wordt informatie onderschept en opgeslagen, met als doel de encryptie te kraken als de technologie dat straks mogelijk maakt. Organisaties moeten dus nu al nagaan welke informatie veilig moet blijven en daar actie op ondernemen. Stekelenburg: “Het goede nieuws is dat er quantumveilige encryptie voorhanden is die bestand is tegen toekomstige quantumtechnologie. Het National Institute of Standards and Technology (NIST) in de VS ontwikkelt wereldwijde standaarden hiervoor, op basis van encryptie die nu al beschikbaar is.” Of deze standaarden straks ook echt het geweld van een quantumcomputer kunnen weerstaan is echter niet gegarandeerd, want de technologie ontwikkelt zich immers steeds verder. Wat organisaties in ieder geval al moeten doen, vertellen Nas en Van der Velden, is in kaart brengen wat beveiligd moet zijn en blijven. Dan gaat het om digitaal opgeslagen documenten, maar ook om ingebouwde beveiliging in bijvoorbeeld infrastructuur. Van der Velden vertelt waar zijn ministerie op inzet: “We brengen in kaart wat onze kroonjuwelen zijn en maken een migratieplan, zodat als de standaarden van het NIST beschikbaar zijn, we die meteen kunnen invoeren. Het imple62 menteren van die normen zal vijf tot tien jaar in beslag nemen.” Dat klinkt krap en dat is het ook. Maar, vult hij aan, je kunt het nu al inplannen en het budget over de komende jaren spreiden. Overigens is niet alleen het ministerie van I&W hiermee bezig. Het onderwerp wordt ook rijksbreed opgepakt. Aan de slag Los van de risico’s die quantumtechnologie heeft voor encryptie, zijn er ethische en juridische haken en ogen. Van der Velden noemt quantumtechnologie “de turbo onder de motorkap”. Nas: “Quantumtechnologie kan bijvoorbeeld op een aantal vlakken AI versnellen en de ethische, juridische en maatschappelijke vragen vergroten die we nu al rondom AI hebben.” Stekelenburg: “Zaken als bewijsbaarheid van algoritmes worden met quantumtechnologie nog ingewikkelder. Complexe algoritmes die werken met quantumrekenkracht kun je niet meer op de klassieke manier doorrekenen.” Het is dus zaak om nu al bewustzijn te creëren over deze kant van quantumtechnologie, zodat afwegingen gemaakt kunnen worden wat wenselijk is en wat niet, stellen ze. De overheid kan dan tijdig een rol pakken in de regulering van het inzetten van deze technologie. Wat kan en moet de overheid, alles in ogenschouw nemend,

nu al doen met quantumtechnologie? Maatregelen nemen tegen de dreigingen ervan, dat is duidelijk. En nadenken over de wenselijkheid van de toepassing ervan. Maar verder? Van der Velden: “De technologie is nog experimenteel, het is erg lastig om in te schatten op welke trein je nu kunt springen. Ik denk dat de overheid als gebruiker het beste kan instappen als het wat concreter wordt.” Stekelenburg: “Het is zinvol om nu alvast na te denken tegen welke problemen je aanloopt waar klassieke computers geen oplossing bieden, maar quantumtechnologie mogelijk wel. Je kunt nu al onderzoeken wat deze technologie te bieden heeft; dat kan met gratis toegang tot quantum computers en simulatoren, die beschikbaar zijn via de cloud.” Nas: “Het wordt tijd om de experts op het gebied van quantumtechnologie te verbinden met mensen die inzicht hebben in de maatschappelijke vraagstukken van nu en de nabije toekomst. Als we die bij elkaar brengen, dan kunnen we verkennen wat mogelijke use cases zijn voor quantumtechnologie.” Van der Velden besluit: “De technologie ontwikkelt zich erg snel, we moeten het serieus gaan nemen. Zodat we op tijd zijn om straks Nummer 46, april 2023 op kansen en bedreigingen te reageren en we dan niet achter de feiten aanlopen.” Op de website IBM Quantum Lab & Composer kunt u gratis aan de slag met quantum computing: quantum-computing.ibm.com World Quantum Day Diverse organisaties ontwikkelden met ECP de Exploratory Quantum Technology Assessment. Hiermee kunnen organisaties verkennen welke impact quantumtechnologie heeft. Op 14 april, World Quantum Day, organiseert het Centre for Quantum & Society een event waar u meer over deze assessment kunt leren. Meer informatie en aanmelden op de website van Quantum Delta Nederland: quantumdelta.nl/ the-exploratory-quantum-technology-assessment-tool. 63

De nieuwe Nederlandse cybersecuritystrategie 2022-28 (NLCS) is op papier ambitieus. Zo wil ons kabinet dat ‘digitale veiligheid voor iedereen een vanzelfsprekendheid’ is. Dat is het nu absoluut nog niet. iemand spreekt op verjaardagen over digitale veiligheid, terwijl het gesprek wel vaak gaat over fysieke veiligheid, zoals de nieuwste camerabewaking voor woningen. We kennen allemaal de commercials van aanbieders van alarmsystemen en slimme deurbellen. Cybersecurity daarentegen wordt door de meeste burgers nog steeds niet ervaren als een actuele dreiging. En al helemaal niet als een dreiging waar de burger zelf ook invloed op heeft. Dat moet veranderen. N Recent betoogde ik in Het Financieele Dagblad samen met Volt Tweede Kamerlid Marieke Koekoek dat de burger meer betrokken moet worden bij de Nederlandse cybersecuritystrategie. Het artikel deed veel stof opwaaien bij belangenorganisaties, de verantwoordelijke overheidsorganisaties en de Tweede Kamer. Het is een feit dat burgers in toenemende mate slachtoffer worden van nieuwe vormen van cyberaanvallen, zoals ransomware (gijzelsoftware) en WhatsApp-fraude. Neem het voorbeeld van de oplichters die zich voordoen als een bekende en via WhatsApp geld aftroggelen. Maar ook mkb’ers ontdekken steeds vaker dat hun hele digitale werkinfrastructuur gegijzeld wordt en dat zij slechts in ruil voor veel geld aan de gijzeling kunnen ontsnappen. Ook (semi-)overheidsorganisaties worden getroffen. De gemeenten Buren en Hof van Twente, de Universiteit Maastricht en NWO: alle werden slachtoffer van een ransomware-aanval. Gelukkig zijn er ook lichtpuntjes: de Universiteit Waar is de burger in de Maastricht kreeg het betaalde losgeld uiteindelijk met winst terug dankzij de gestegen bitcoinprijs. Helaas is over het algemeen gezien de kans dat de daders ooit gepakt worden klein. Maar gijzelsoftware kenden we bij de opstelling van de vorige cybersecuritystrategie – in 2012 — nog nauwelijks. Logisch dus dat de nieuwe Nederlandse cybersecuritystrategie een antwoord wil geven op het veranderende dreigingslandschap. Technologisch burgerschap Koekkoek en ik stelden ons de vraag hoe goed dat antwoord kan zijn wanneer de burger niet er niet bij betrokken wordt. De strategie kwam namelijk tot stand na jaren publiek-private samenwerking; tussen overheid en belangenorganisaties van voornamelijk bedrijven. We stelden dat het oprichten van een belangenorganisatie dus de enige manier is voor burgers om hun stem direct te laten horen in de Nederlandse polder. Zo kunnen burgers in een vroege fase van de beleidsvorming suggesties en kritiek geven. Dat werkt altijd beter dan het geven van commentaar achteraf. Door Bernold Nieuwesteeg Beeld ANP 64 Het Rathenau Instituut omschrijft het betrekken van burgers bij digitale kansen en risico’s als ‘technologisch burgerschap’. Die notie van betrokken technologisch burgerschap ontbreekt in de NLCS. De NLCS ademt een sfeer van techneuten en experts die gewend zijn het te regelen voor de burger. De NLCS is dus paternalistisch.

Podium Burgers worden in toenemende mate slachtoffer van nieuwe vormen van cyberaanvallen. cybersecuritystrategie? Maar wat is de praktische relevantie voor beleidsmakers en cyberexperts van dit pleidooi voor betrokken burgerschap? Het antwoord is dat overheidsmedewerkers ook burgers zijn en als zodanig gebruiker zijn van IT-systemen en cybersecuritymaatregelen. Als die burgers in een vroege fase input geven op de de Nederlandse cybersecuritystrategie, kunnen zij dat als gebruikers geven op de cybersecuritymaatregelen in de eigen organisatie. Maar de gebruiker wordt op dit moment nauwelijks betrokken bij de beweegredenen achter een cyber securitystrategie, uitzonderingen daargelaten. Daardoor zijn zij zich nog lang niet altijd even bewust van de cyberrisico’s van hun gedrag. En hun bewustzijn en betrokkenheid zijn essentieel zolang zij nog vaak de zwakste schakel zijn. In andere woorden: bij de koffieautomaat van een willekeurige overheidsorganisatie wordt er te weinig gesproken over cyber security. Dat moet veranderen. Niets mis met intentie Nog te veel en te vaak wordt het cybersecuritybeleid in een organisatie ingericht door een onzichtbaar clubje experts. Die experts storten vervolgens allerlei maatregelen, van awarenesscampagnes tot e-learnings over hun medewerkers uit. Met de intentie is natuurlijk niets mis. Bovendien moeten we onze cyberexperts koesteren, want zij doen belangrijk werk en er is een groot tekort aan hun expertise. Maar kennisuitwisseling tussen experts en eindgebruikers is noodzakelijk. En dat werkt twee kanten op. Een Vlaamse Nummer 46, april 2023 De NLCS ademt een sfeer van techneuten en experts die gewend zijn het te regelen voor de burger 65

universiteit introduceerde onlangs een cryptografische oplossing voor studenten om in te loggen op de universitaire systemen voor het volgen van colleges, het bekijken van roosters en het lenen van boeken. De bedenkers van het systeem waren overtuigd van hun oplossing, want studenten hoefden geen ingewikkelde wachtwoorden meer te onthouden en te maken. Alleen een simpele QR-code scannen met hun telefoon was genoeg. De gebruikers (in dit geval de studenten) waren helaas minder te spreken over de oplossing. Zij laten namelijk als vorm van ‘self control’ in groten getale hun telefoon thuis. Omdat ze project op het gebied van cybersecurity. Dit onder de noemer: maak cybersecurity aantrekkelijk voor de hele organisatie en toeleveranciers en zorg voor educatie en empowerment. We bedachten een tv-format genaamd ‘De CyberSecurity Booster’. Een informatieve en interactieve talkshow die de aandacht vasthoudt. Het bleek een succesvolle en efficiënte manier om de cyberboodschap onder alle medewerkers van het ministerie (en de aanpalende organisaties) te verspreiden. In 2023 komen er nieuwe afleveringen en ook andere organisaties zijn geïnteresseerd. Discussie aangaan We bedachten een tv-format: ‘De CyberSecurityBooster’ weten dat zij anders volledig afgeleid worden door social media als TikTok, Twitter en Instagram. De cybersecuritymaatregel werkte dus niet. Maak cybersecurity aantrekkelijk Maar hoe betrek je de gebruiker dan? Het antwoord begint bij zichtbaarheid. Treed naar buiten als cyberexpert of cyberleidinggevende. Vertel wat je drijft om de organisatie cyberveiliger te maken. Als een eindgebruiker zijn of haar CISO kent (of denkt te kennen) dan neem je sneller iets van hem/haar aan. Met het betrekken van de gebruiker creëer je bovendien cybersecurity-ambassadeurs. Er is een groot tekort aan personeel en ambassadeurs kunnen werk uit handen nemen van de experts die nu al overvol zitten. Treed dus op in webinars, talkshows, kennissessies, klankbordgroepen, schrijf artikelen en maak leuke en leerzame content met praktische handvatten. Dat werkt aantoonbaar. Onlangs organiseerde ik in samenwerking met het ministerie van Infrastructuur en Waterstaat een intern communicatie66 Waar kun je het dan met gebruikers over hebben? Gebruikers kunnen binnen organisaties meepraten over de prijs die ze bereid zijn te betalen voor digitale veiligheid. In termen van investeringen, maar ook in termen van vrijheden en gebruiksgemak die ze daarvoor mogelijk opgeven en hoe ze dat dan doen. Daar had de eerder genoemde Vlaamse universiteit vast veel aan gehad. Ook minder technologisch bewuste gebruikers binnen organisaties kunnen een bijdrage leveren. Door te delen welke problemen ze tegenkomen bij de uitvoering van cybersecuritybeleid. In dat kader zou het ook goed zijn als in de Cyber Security Raad (CSR), ons nationale adviesorgaan voor cybersecurity, ook een vertegenwoordiger van burgers dan wel eindgebruikers zit voor cybersecurityoplossingen. Nu bestaat deze raad alleen uit experts uit wetenschap, overheid en bedrijfsleven. De Nederlandse cybersecuritystrategie mag dus meer concrete handvatten geven om de discussie aan te gaan over ten koste van wat we cybersecurity willen (geld, gebruiksgemak, privacy). Juist met de burger en gebruiker. Beslissers en experts op het gebied van cybersecurity kunnen het voortouw nemen door te laten zien wie ze zijn, wat ze doen en door de interactie aan te gaan. De volgende cybersecuritystrategie zou ook input moeten vragen van burgers en gebruikers. Bernold Nieuwesteeg is directeur van het Centre for the Law and Economics of Cyber Security (CLECS) aan de Erasmus Universiteit Rotterdam.

In ‘t Veld Coup Ceci n’est pas un coup oals honderden miljoenen over de hele wereld bekeek ik met afschuw de bestorming van het Capitool. Even zo schokkend was de bestorming van parlement, hooggerechtshof en presidentieel paleis in Brasília. Beide waren regelrechte couppogingen. Fysieke aanvallen op de democratie. If it walks like duck, quacks like a duck, it probably is a duck. Het was voor de hele wereld glashelder. Wat doen we echter als we aanvallen op de democratie niet als zodanig herkennen? De middelen, waarmee vandaag de democratie ondermijnd wordt, zijn digitaal en onzichtbaar. De gereedschapskist met digitale aanvalswapens is aardig gevuld en wordt actief ingezet in Europa. De zichtbare couppoging kan worden afgeslagen. Maar als er een onzichtbare coup wordt gepleegd, is de democratie weerloos. Daarom is herkenning van het gevaar essentieel. Z Sophie in ’t Veld Lid van het Europees Parlement voor D66 Nummer 46, april 2023 en tijde van dit schrijven werden onthullingen gedaan over een schimmig Israëlisch bedrijf dat opereert onder de naam Team Jorge. Digitale huurlingen die wereldwijd verkiezingen manipuleren en daarvoor de genoemde gereedschapskist helemaal ondersteboven keren: botlegers, desinformatie, gerichte hacks, smaadcampagnes. Zo’n dertig verkiezingen tot op ‘presidentieel niveau’ claimt Team Jorge te hebben gemanipuleerd. Zevenentwintig succesvol. Was ik net zo geschokt als bij de Capitoolbestorming? Ik wil denken van wel, maar ik ben net als u een mens van vlees en bloed. Wij mensen reageren sterker op gewelddadige beelden dan op onthullingen van hacks. Toch moeten we net zo geschokt zijn door T dit soort ondermijning, als door ‘klassieke’ Bastille-bestormingen. Temeer omdat het gevaar acuter is. De huurlingen van Team Jorge zwemmen in dezelfde vijver als de verkopers van legale spyware aan onze overheden. Onze regeringen denken dat ze er baat bij hebben om deze stink vijver open te houden. Ze willen immers zelf op z’n tijd een hengeltje uitgooien om spyware op te vissen. Een gevaarlijke misvatting. Door dit gedoogbeleid is de Europese democratie blootgesteld aan iedere ziektekiem die uit deze vijver opborrelt. et lichaam van de Europese democratie is inmiddels flink ziek. De EU bestaat uit zevenentwintig lidstaten, de EU-instellingen en de EU-burgers. De uitkomst van één nationale verkiezing verandert de samenstelling van de hele mix. Een nationale verkiezing is per definitie een Europese verkiezing. Corruptie van een verkiezing tast de hele Europese democratie aan en raakt ook de Nederlandse EU-burgers. De mythe dat democratie een nationale aangelegenheid is, is een gevaarlijke fictie die de EU onbeschermd laat tegen de digitale bestorming van onze EU democratische instellingen. H elaas is het geen hypothetisch scenario dat Europese democratieën gemanipuleerd worden met spyware. Het is de realiteit in meer dan één EUlidstaat. Laten we het beestje bij de naam noemen. Een regering die aan de macht is en die macht behoudt dankzij de inzet van spyware, die is óók een coup aan het plegen; ook op onze Europese democratie. H 67

Tweede Kamer focust op risico’s van AI Innovatievruchten als ChatGPT zijn mooi en aardig, maar er is juist meer grip nodig op de risico’s van AI, stelt de Tweede Kamer. Het vertrouwen in het toezicht is laag, regulering is hard nodig en er is bar weinig inzicht in de hoog-risico-algoritmes van de Rijksoverheid. Het kabinet wacht liever op Brussel. Nog veel beren op de weg M Met een rondetafelgesprek en twee commissiedebatten stond artificiële intelligentie (AI) de afgelopen maanden vol op de agenda van de Kamercommissie Digitale Zaken. In 2023 moet veel regelgeving gestalte krijgen, ook in Brussel. Veel van de nieuwe wetgeving gaat over de risico’s van AI. En daar ligt ook de focus van de commissie. Wat alles te maken heeft met de giftige algoritmes uit de toeslagenaffaire, over de landsgrenzen bekend als ‘the Dutch scandal’. De Fraude Signalering Voorziening (FSV) van de Belastingdienst werkte met een zelflerend risicomodel op basis van eerdere aanvragen en pikte er voor controle toeslagouders met een tweede nationaliteit uit. Deze parameter was als selectieregel geprogrammeerd, omdat ze vaak voorkwam bij ouders die kinderen naar van fraude verdachte kinderopvangbedrijven brachten. Wie in de FSV zo’n registratie kreeg, stond als potentiële fraudeur te boek en kwam op de zwarte lijst. De rest is geschiedenis. Ook bij onschuldige burgers werden grote sommen aan kinderopvangtoeslagen teruggevorderd, met alle gevolgen vandien. Dat nooit meer, zegt de Kamer. Burgers mogen op geen enkele wijze schade ondervinden van discriminerende programmeercode. Alweer anderhalf jaar terug kwam daar het rapport over AI bij van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). De impact van de complexe technologie op publieke waarden (veiligheid, privacy, inclusie en autonomie van burgers) is lastig te overzien en onvoldoende geborgd in adequate regulering, aldus de WRR. Voor de commissie Digitale Zaken aanleiding maatschappelijke organisaties uit te nodigen om met een toplijstje van aandachtspunten te komen en aan te geven hoe de gaten in de wet- en regelgeving te dichten. In dit rondetafelgesprek, dat half januari plaatsvond, benadrukken organisaties als Bits of Freedom, Rathenau Instituut, het College voor de Rechten van de Mens en de Europese organisatie ALLAI, dat het beheersen van de risico’s van AI een grote uitdaging voor de overheid is, terwijl ze er juist extra scherp op moet zijn dat algoritmes ‘bias-vrij’ zijn. Waardering voor Werkagenda Door Pieter van den Brand Beeld Barry Hage 68 Verdere kritiekpunten vanuit het rondetafelgesprek: het kennisniveau van de overheid laat te wensen over en het bewustzijn over de gevaren van AI is niet tot alle lagen van de overheid doorgedrongen. Er is veel regulering nodig en de wetgeving die er is, is versnipperd over de beleidsvelden, en daarmee ook het toezicht dat flinke aanscherping behoeft. De extra capaciteit voor de

Autoriteit Persoonsgegevens (AP) is slechts een eerste stap en moet bovendien nog vorm krijgen in de praktijk. Het inrichten van een coördinerend AI-expertisecentrum, een pleidooi uit het WRR-advies, wordt breed omarmd door de maatschappelijke organisaties. Aan de andere kant is er veel waardering voor de Werkagenda Waardengedreven Digitalisering van staatssecretaris Alexandra van Huffelen, die de verschillende aspecten rond AI – kansen én risico’s – aaneen probeert te rijgen. De data-ethische kant van AI heeft in het beleid onbetwist een centrale plek gekregen, luidt de positieve conclusie. Concreet is er sinds eind december een Algoritmeregister met meer dan honderd ‘impactvolle’ algoritmes (109 begin maart), al staat Nummer 46, april 2023 daar nog niet de (open source) programmeercode bij en is deelname aan het register niet verplicht. In evenwicht De keerzijde van de centrale plek openbaart zich eind januari tijdens het commissiedebat over AI met staatssecretaris Van Huffelen en minister Micky Adriaansens (EZK/innovatie). Adriaansens wijst de commissieleden er fijntjes op dat voor haar de balans zoek aan het raken is. Ze ziet dat het debat ondergesneeuwd raakt door de discussie over de risico’s. “AI biedt heel veel kansen. Ik zou dat meer in evenwicht willen zien.” Een expertisecentrum voor AI is niet nodig, vinden de 69

standpunt. De Europese AI-verordening, die op zijn vroegst eind dit jaar is afgerond, moet bepalen welke vormen van AI zijn toegestaan en waar systemen aan moeten voldoen. Zo komen er scherpe eisen voor hoog-risicosystemen, zoals verplichte opname in een databank en voor ontwikkelaars een verplichte toets op mensenrechten. Dat laatste is een stevige aanvulling op de bestaande privacy-assessments. Veel is nog onduidelijk op het Europese toneel. Voor realtime biometrische surveillance-software in de openbare ruimte willen de lidstaten naar een verbod toe, maar verder hebben de Europese telecomministers in het eerste concept van de AI-verordening veel uitsluitingen opgenomen. Zo vallen de AI-systemen die op de buitengrenzen van de EU toezicht houden, buiten de verordening. Ook is onduidelijk of EU-landen de ruimte krijgen om zelf aanvullende eisen te stellen. De lidstaten kijken vooral naar de innovatiekansen van AI en willen dat burgers en bedrijven zoveel mogelijk AI-systemen gaan gebruiken. Precies de kant die ook minister Adriaansens zo graag belicht ziet. Geen onoorbare praktijken beide bewindslieden. Het bundelen van kennis, stelt Adriaansens, vindt volop plaats in de Nederlandse AI Coalitie, waarin EZK samenwerkt met zo’n 500 bedrijven, waaronder IBM, Philips en Ahold Delhaize. Vanuit deze samenwerking is innovatieprogramma AiNED opgetuigd, dat 276 miljoen euro krijgt uit de ruif van het Nationaal Groeifonds. Adriaansens en Van Huffelen laten het aan de AP over om meer samenhang in het versnipperde toezicht te bewerkstelligen. Met regulering willen de beide bewindslieden wachten tot Brussel haar ei heeft gelegd. “Er moeten keuzes worden gemaakt die aansluiten op wat er op Europees niveau wordt afgesproken”, zo verwoordt staatssecretaris Van Huffelen het 70 Zolang de AI-verordening er niet is, stelt de Kamer, schiet de rechtsbescherming tekort. De Kamer vindt bovendien dat de AP een toezichthouder zonder scherpe tanden en voldoende middelen is. Van Huffelen ziet dat beslist anders. Hoewel de AI-verordening nog in wording is, geldt natuurlijk al de AVG. “De AP kan dus op dat gebied al aan het werk.” Volgens Van Huffelen loopt het budget van de AP voor het toezicht op algoritmes van het huidige bedrag van 1 miljoen volgend jaar op tot 3,6 miljoen euro. “We hebben dat besproken met de AP en die zegt dat dit voldoende is om deze taak op te kunnen zetten.” Ook het idee dat de AP geen tanden zou hebben, bestrijdt de staatssecretaris. De Belastingdienst kreeg vorig jaar nog een boete van 3,7 miljoen euro opgelegd voor de jarenlange illegale verwerking van persoonsgegevens in de FSV. Medio februari kwam de AI-problematiek wederom aan de orde tijdens een volgend commissiedebat. Vlak ervoor kwam staatssecretaris Van Huffelen met de lang verwachte inventarisatie van bij de departementen in gebruik zijnde hoogrisico-algoritmes en risicomodellen. Een van de acties om de twee jaar oude motie-Marijnissen-Klaver uit te voeren, die zinspeelt op het elimineren van afkomstgerelateerde algoritmes en het opschonen van vervuilde data. Het merendeel van de ministeries stelt geen discriminatoire risicomodellen met

indicatoren als nationaliteit en etniciteit te gebruiken, aldus de inventarisatie. BZK merkt op dat in een vijftigtal processen met afkomstgerelateerde indicatoren wordt gewerkt, maar dat op basis hiervan geen keuzes met nadelige gevolgen voor burgers worden gemaakt. JenV laat weten met het toepassen van risicomodellen met dergelijke indicatoren te zijn gestopt. Volgens Van Huffelen is er tot dusver van onoorbare praktijken geen sprake. Nog niet alle departementen hebben de inventarisatie afgerond. Ook wil de staatssecretaris de inventarisatie onafhankelijk laten toetsen. Op aandringen van de Kamercommissie, want eerder was ze daar niet toe bereid. De Kamer wil Zolang de AIverordening er niet is, stelt de Kamer, schiet de rechtsbescherming tekort niet, bleek tijdens dit commissiedebat, dat de Auditdienst Rijk de toetsing doet. De deskundigheid van de toezichthouder wordt betwist, want ze heeft zitten slapen bij het toezicht op de Belastingdienst en de misstanden bij de kinderopvang toeslag compleet gemist. De commissie komt zelf met een voorstel welke instantie de toetsing wel uit zou moeten voeren. 27 algoritmes geregistreerd De inventarisatie bij de ministeries is verder nog maar een eerste begin. Het Rijk heeft nauwelijks inzicht in het aantal Nummer 46, april 2023 risicovolle algoritmes die het gebruikt of in ontwikkeling heeft. Ze koopt immers ook algoritmes in bij het aanbesteden van applicaties. Bij de aanbestedingen worden tot nu toe ook geen harde afspraken gemaakt met leveranciers over non-discriminatie. In het Algoritmeregister staan begin maart 27 algoritmes van de rijksoverheid: een ervan is in gebruik bij het ministerie van Financiën (van de Dienst Toeslagen voor het berekenen van de huurtoeslag) en de overige bij een drietal uitvoeringsorganisaties (RvIG, SVB en UWV). Terwijl er volgens het onderzoek van de Algemene Rekenkamer vele tientallen voorspellende en voorschrijvende algoritmes zijn. Ook hoog-risico-algoritmes die bijvoorbeeld worden gebruikt voor fraudeopsporing, blijken niet geregistreerd. De Kamer is dan ook nog lang niet tevreden. Van Huffelen wil echter pas later dit jaar verder werken aan de verdere registratie, geeft ze als reactie aan; nadat ze een implementatiekader voor de AI-verordening uit Brussel heeft opgesteld. Volgens planning is dat rond de zomer. Om het Algoritmeregister verder te kunnen vullen, moet er een scherpe definitie liggen van wat precies hoog-risico-algoritmes zijn, aldus Van Huffelen, “en wat we zelf bij de overheid gaan afspreken moet in lijn zijn met wat we ook in Europa afspreken.” De AI-verordening bevat niet alleen anti-discriminatiecriteria, maar kijkt in een breder verband naar onwenselijke effecten bij het gebruik van algoritmes. Het implementatiekader is noodzakelijk, om het Algoritmeregister honderd procent dekkend te krijgen, stelt de staatssecretaris. Kamer wil niet wachten Aan de Kamer heeft Van Huffelen eerder toegezegd dat het Algoritmeregister eind van dit jaar volledig gevuld zou zijn. Dat wordt dus nog een spannende opgave, redeneert de Kamer. Niet alleen qua planning; van verplichte deelname aan het register door ministeries en uitvoeringsorganisaties is pas eind 2024 sprake. Versnelde invoering van deze verplichting is volgens de staatssecretaris niet mogelijk, want het wetgevingstraject is tijdrovend. Bovendien heeft Van Huffelen de medeoverheden, neem de inzet van hoog-risico-algoritmes door gemeenten, niet aan een touwtje. De Kamer wil echter niet wachten tot er vanuit Europa regels komen. Ook wil ze meer duidelijkheid van de staatssecretaris over de inzet van discriminerende algoritmes bij het Rijk en het opruimen van vervuilde data. Medio mei staat alweer een volgend commissiedebat over AI op de agenda. 71

I-strategie Rijk: data en algoritmen ‘Tijd nodig om dit soort I-aspecten in ons DNA te krijgen’ Data en Door Pieter van den Brand Beeld Sean van der Steen 72 algoritmes kregen een aparte plek in de I-strategie Rijk. De ministeries zijn inmiddels druk met het ‘bias-vrij’ maken van data en het beheersen van de risico’s van besluitvormende algoritmes. De betrokken CIO’s vertellen over de inspanningen. “We staan pas aan het begin en moeten dit echt nog verder onder de knie krijgen.”

aar data en algoritmen met waarde(n)’, luidt de precieze kop van het themahoofdstuk in de I-strategie Rijk. Inderdaad is hier sprake van een optelsom van waarde en waarden, luidt de uitleg van de beide portefeuillehouders van het thema, de CIO’s en tevens pSG’s Eva Heijblom en Gerdine Keijzer-Baldé van respectievelijk de ministeries van Landbouw, Natuur en Voedselkwaliteit en Economische Zaken en Klimaat. “Allereerst hebben we het over publieke waarden”, zegt Heijblom, die ook meteen verwijst naar de Werkagenda Waardengedreven Digitaliseren van staatssecretaris Van Huffelen van Binnenlandse Zaken Koninkrijksrelaties, waarin waarden als privacy en inclusie van burgers een basisplek hebben gekregen. “Wat we van de toeslagenaffaire hebben geleerd is dat de overheid zich er constant bewust van moet zijn dat betrouwbaarheid, transparantie en uitlegbaarheid voorop moeten staan bij wat ze met data doet.” Data met waarde, vult Keijzer-Baldé aan, heeft ook alles te maken met kwaliteit. “Een goede kwaliteit van data bevordert de informatievoorziening en draagt bij aan de kwaliteit van de besluitvorming en het aanpakken van maatschappelijk problemen.” ‘N Ter illustratie haalt het hoofdstuk in de I-strategie twee dossiers aan: de Monitor Klimaatbeleid, die data van een statisch rapport in pdf-vorm voortaan presenteert via het online dashboard klimaatbeleid.nl en de digitalisering van data rond mesttransporten, die een betere handhaving op ‘zwarte mest’ mogelijk heeft gemaakt. “We hebben er de afgelopen jaren flink op ingezet om naar buiten toe transparant te maken welke datasets we hebben, onder meer om up-to-date te zijn met alle data rond het klimaatbeleid”, vertelt KeijzerBaldé. “Daar is de Monitor Klimaatbeleid voor ontwikkeld.” Ook is er nu het Dashboard Groningen, dat uiteenlopende datasets combineert over de afbouw van de gaswinning, zoals data over de gaswinning, het aantal aardbevingen en schadegevallen en over de versterkingsoperatie aan huizen. “Iedereen heeft toegang tot deze informatie en we zien dat daar goed gebruik van wordt gemaakt.” Datakoersen Eva Heijblom en Gerdine Keijzer­Baldé: “Een goede kwaliteit van data bevordert de informatievoorziening en draagt bij aan de kwaliteit van de besluitvorming.” LNV heeft op haar beurt ‘Datakoersen’ bij onder meer DG Stikstof opgesteld. “Samen met beleidsambtenaren bekijken we welke data we in huis hebben”, licht Heijblom toe, “wat we ermee kunnen en hoe we de beleidsvorming hiermee kunnen ondersteunen. Dit is voor sommige beleidsonderdelen behoorlijk nieuw. Het kost ook wel wat tijd om alles goed en zorgvuldig op een rij te zetten.” De data van het Rijk kunnen ook medeoverheden ten goede komen. Een onderwerp dat zich volgens Heijblom uitstekend leent als pilot onder de Interbestuurlijke Datastrategie is Gebiedsgericht Werken. De provincies moeten de komende tijd met de uiteenlopende opgaven vanuit het Nationaal Programma Landelijk Gebied aan de slag. Elke provincie moet de puzzel leggen waar woningen kunnen komen, waar plek is voor landbouw en bedrijven en hoe te borgen dat stikstofnormen niet overschreden worden. “Je kunt je voorstellen dat er heel veel data bij komen kijken om deze opgaven verder te helpen, en tegelijkertijd zijn er heel veel vragen zoals wie de juridisch eigenaar van bepaalde data is en welke definities je hiervoor hanteert. Het gaat vandaag de dag vaak over de kansen en risico’s van AI, maar ook op het vlak van data moet nog veel gebeuren.” Nummer 46, april 2023 73

Bias-vrij Ook ‘bias-vrije’ data zijn een prangend onderwerp in de I-strategie. Het vorig jaar verschenen algoritmeonderzoek van de Algemene Rekenkamer hield het algoritme achter het uitkeren van de Tegemoetkoming Vaste Lasten (TVL) tegen het licht, de financiële regeling om ondernemers tegemoet te komen die omzetverlies leden door de coronamaatregelen. Het algoritme toetst aan de hand van een risicomodel of een aanvraag aan de voorwaarden voldoet en keurt deze automatisch goed als sprake is van een laag risico, omdat er bijvoorbeeld geen aanwijzingen voor misbruik of oneigenlijk gebruik zijn. In dat geval komt er geen ambtenaar meer aan te pas, wat tijd en capaciteit bespaart. “Voor EZK was dit een interessant onderzoek”, zegt Keijzer-Baldé. “Om in korte tijd steun uit te kunnen keren, was vanwege de grote aantallen ondernemers geautomatiseerde besluitvorming nodig. We hebben er nadrukkelijk voor willen zorgen dat de gebruikte data die wij voor de TVL aanleverden, bias-vrij zouden zijn. Het onderzoek van de Rekenkamer bevestigt dat dit gelukt is. Dat is namelijk niet eenvoudig. Het ingewikkelde van bias is dat je het nooit helemaal kunt doorgronden. Ook technologie is nooit volledig transparant. Dat maakt het ongelooflijk lastig data volledig bias-vrij te maken.” Heijblom: “De case bij de TVL laat zien dat we moeten investeren in onze mensen die bij deze primaire processen betrokken zijn. De beleidsmakers die bepalen hoe de regels eruit moeten zien, moeten heel goed kunnen sparren met de algoritme- en dataexperts, en ook met de mensen die aan het ontwikkelen en modelleren zijn. Dat is nodig om ervoor te kunnen zorgen dat zo min mogelijk bias voorkomt. We staan pas aan het begin en moeten dit echt nog onder knie krijgen.” Impact van algoritmes Juni vorig jaar bracht de Auditdienst Rijk het door de CIO Rijk gevraagde advies uit over het gebruik van algoritmes door de Rijksoverheid. De ADR is kritisch: niet inzichtelijk is of alle risico’s van algoritmes bekend en beheerst zijn. Ook de analyse van privacyrisico’s en de impact kunnen scherper. Bij algoritmes die persoonsgegevens verwerken, is de uitvoering van DPIA’s (data protection impact assessments) onder de maat. Volgens Heijblom wordt er bij het Rijk intussen al veel gedaan om het kennisniveau en bewustzijn rond de impact van algoritmes te verhogen. “We zijn daar druk mee bezig. Onderzoek, zoals dat van de ADR, helpt ons hierbij. Wat de DPIA’s betreft pakken we dat inmiddels zorgvuldiger aan. Er is nu ook een rijksbrede handreiking beschikbaar die elke ambtenaar moet toepassen. Zo willen we de aandacht voor privacy verbeteren.” Daarnaast, vult Heijblom aan, is er het Impact Assessment Mensenrechten en Algoritmen (IAMA), een afwegingskader 74 heeft. Ze koopt immers ook algoritmes in bij het aanbesteden van applicaties. Bij aanbestedingen worden ook geen harde afspraken gemaakt met leveranciers over non-discriminatie. Volgens Heijblom werkt de Rijksoverheid aan de ontwikkeling van aparte inkoopvoorwaarden voor algoritmes. Deze actie komt voort uit het werk van het interbestuurlijk consortium Publieke controle op algoritmen, waarin de G4, de provincies, politie en Rijkwaterstaat gezamenlijk beleidsinstrumenten voor algoritmes ontwikkelen, zoals de metadatastandaard waar het Algoritmeregister gebruik van maakt. “Ik kan niet uitsluiten dat we wel eens wat hebben ingekocht dat nog niet aan de nieuwe voorwaarden voldeed. Maar we kijken nu al met een verscherpte bril naar de contracten en services die we afnemen. We zijn er nog niet, maar dit soort maatregelen gaat ons beslist helpen.” voor overheden om wel of niet een algoritmetoepassing te gaan ontwikkelen. Een Kamerbreed aanvaarde motie drong vorig jaar aan op een verplicht gebruik van het IAMA. “Van dit soort instrumenten zullen er ongetwijfeld meer komen. Vergeet niet dat dit een vrij nieuw onderwerp voor de Rijksoverheid is. Het vergt bovendien een gedragsverandering. We hebben nog een hele ontwikkeling te gaan om dit soort I-aspecten in het DNA van de organisatie te krijgen, zodat we goed met data en algoritmes omgaan.” Verscherpte bril Uit eerder onderzoek van de Algemene Rekenkamer kwam naar voren dat bij het Rijk nog weinig inzicht is in het aantal risicovolle algoritmes die het gebruikt of in ontwikkeling Technologie is nooit volledig transparant. Dat maakt het ongelooflijk lastig data volledig biasvrij te maken

Visser-Knijff Jabber wocky Jabberwocky T nlangs was er een webinar waarin er een overzicht werd geboden van ‘ethische tools’ die binnen de Rijksoverheid worden gehanteerd. Volgens mijn collega was dit een typisch geval van wat wij Jabberwocky zijn gaan noemen, verwijzend naar de gelijknamige aflevering van de serie Better Off Ted. Ted presenteert in die aflevering met licht-, geluid- en rookeffecten een nieuw product. Noemt daarin allerlei buzzwords, die ook op het scherm achter hem worden getoond, danst met zijn collega op het podium en het publiek is laaiend enthousiast. Niet dat iemand weet waar het over gaat, ook Ted niet trouwens. Het product bestaat namelijk niet. Maakt niet uit, zegt zijn collega, alles is presentatie. O Piek Visser-Knijff Data-ethicus thiek is nu een buzzword geworden, met het risico een lege huls te zijn. Denk aan de opkomst van AI en Ethiek, waarbij veel van de genoemde ‘ethische’ E Nummer 46, april 2023 ien jaar geleden vroegen organisaties mij om niet aan de grote klok te hangen dat ze met ethiek in gegevensvraagstukken bezig waren. Bang dat het een signaal af zou geven aan de buitenwereld. Dat als je met ethiek bezig bent ‘er wel iets mis zal zijn’. Dat is gekanteld, en dat is maar goed ook. Er gebeurt veel op het gebied van ethiek, data-ethiek, AI en digital ethics. Overal is ethiek, zo lijkt het. Maar, is het wel allemaal ethiek? vraagstukken eigenlijk gaan over fatsoenlijke methodologie. Een samenwerkingspartner verzuchtte laatst dat hij wel klaar was met dit AI en Ethiek-kletscircus. Ik zie Ted al dansen. Waar ligt de grens tussen het legitimeren van het middel en het werkelijk adresseren van (achterliggende) ethische vragen? Het maakt Ted niets uit. f denk aan de ‘light’ variant van ethiek. Ethiek is moeilijk en vraagt om moed, iets wat wezenlijk is aan durven gaan. Niet iedereen heeft daar tijd voor of zin in (of wil dat maken) – of begrijpt dat dat überhaupt nodig is. Dus, voor het gemak verpakken we het anders, of noemen we iets anders ethiek. Mensenrechten! De IAMA is er om die behoefte aan ethiek te vervullen. Vinkje gezet. O Of er ontstaat een focus op de tooling, ja tooling gaat alles oplossen! – zo ook in die webinars. Waardoor de aandacht uitgaat naar de vorm, en afleidt van de essentie ‘wat is ethiek?’ , ‘wat vraagt het om dit goed te doen?’ en de vraag of ethiek wel gediend is bij een tool. k denk aan het antwoord dat ik laatst kreeg van een overheidsorganisatie op de vraag waarom ze voor een bepaalde ‘ethische tool’ hadden gekozen: de training werd gratis aangeboden. Gratis?! Ted knikt. Het in de praktijk brengen van ethiek, vraagt ook om ethiek. Laat het geen Jabberwocky worden. I 75

Vier techtrends waar de publieke sector niet omheen kan Wie het technieuws volgt, weet dat kunstmatige intelligentie (AI) een hot topic is. En met welke drie andere belangrijke trends moeten overheidsorganisaties (en burgers) rekening houden in 2023? Simpel: cloud, digital twins en quantum computing. Amazon Web Services (AWS), met vier kantoren in de Benelux, geeft haar perspectief op deze trends. Meer AI/ML toepassen om betere resultaten te boeken De experts weten het: artificial intelligence of AI komt in verschillende gradaties. De AI dat we nu bijna dagelijks gebruiken in tal van toepassingen is vooral Machine Learning ofwel ML. Nu zit ML al in meer of mindere mate ingebakken in zo'n beetje elk modern softwarepakket. Wij verwachten dat de toepassing ervan steeds uitgebreider gaat worden. 1 76 Wat aan de oppervlakte minder zichtbaar is? Dat AI – kort door de bocht – voor goede resultaten afhankelijk is van de cloud. Hoe geavanceerder de algoritmes en hoe meer data er geanalyseerd moeten worden, hoe meer rekenkracht van krachtige cloudservers er aan te pas moet komen om een berekening te voltooien. Nu ondersteunen we al sinds 2010 overheidsorganisaties die de cloud instappen omwille van efficiency en schaalbaarheid. ML helpt, in combinatie met de cloud, om de overheid de volgende stap te laten zetten: goede learnings uit enorme kwalitatieve datasets halen en die om te zetten in praktisch beleid. Neem het Radboud Universitair Medisch Centrum (RUMC). Dat ontwierp tijdens het begin van de COVID-19-pandemie de Grand Challenge: een gratis online platform om overwerkte radiologen te ondersteunen. Het inmiddels op AWS draaiende platform laat radiologen, artsen en onderzoekers ML-modellen voor klinische toepassingen op schaal bouwen, trainen en implementeren. Een voorbeeld hiervan is CO-RADS. Een snel en nauwkeurig ML-model dat - aan de hand van CT-scans van longen - grote aantallen patiënten helpt diagnosticeren.

partner AWS De Miami Miller School of Medicine maakte een digital twin van een mens om zo gegevens te verzamelen om behandelingen te testen voordat ze in het echt worden toegepast. beeld: miller school of medicine Zo’n vooruitstrevende overheid is het Californische Los Angeles County. Het Internal Services Department (ISD) van LA County werkte met een legacy contactcenter dat zorgde voor veel uitdagingen. Denk aan lange wachttijden voor bellers (zowel burgers als collega's) en bijna geen self-service of automatiseringsopties. Door AWS Cloud Services te integreren, kon ISD simpele aanvragen automatiseren en zo de wachttijden verkorten. Daar bovenop werden nieuwe self-service opties aangeboden die zorgden voor 17 procent minder inkomende calls. En de kers op de taart was de 60 procent besparing op het gebied van on-premise infrastructuur en licentiekosten. Zoals we bij de eerste trend al zagen, is dit slechts het begin. Naast ML zorgen Internet of Things (IoT) en geavanceerde analytics ervoor dat overheden steeds meer mogelijkheden krijgen om burgers nog beter van dienst te zijn. Om optimaal te kunnen profiteren van ML en te kunnen vertrouwen op de analyses, is het belangrijk om relevante kwaliteitsdata te hebben. Wij raden overheidsorganisaties dan ook aan om een goede datamanagementstrategie uit te werken. De cloud inzetten om ervaringen van burgers te verbeteren Moderne burgers verwachten een probleemloze ervaring bij hun contacten met de overheid. Klantvriendelijkheid staat voorop bij de supermarkt of kledingwinkel om de hoek, restaurant in de buurt of het hotel tijdens een vakantie. Waarom dan niet bij een overheidsorganisatie? Gelukkig springen steeds meer overheden in op deze uitdaging. 2 Nummer 46, april 2023 Meer doen met digital twins en grootschalige simulaties Een digital twin is een digitale kopie van een fysiek of digitaal systeem waarbij allerlei scenario's worden getest met echte of gesimuleerde data. Ook hier zijn rekenkracht en beschikbaarheid van de cloud belangrijke factoren die het verschil maken. Want dat laat je, in combinatie met ML, IoT en geavanceerde applicaties, meer realistische simulaties uitvoeren op veel grotere schaal tegen een fractie van de kosten. 3 Hoe overheidsorganisaties hiervan kunnen profiteren? Een recent project van de Miami Miller School of Medicine in Florida is een mooi voorbeeld. Eerder dit jaar kondigde de universiteit een onderzoeksproject aan om een digital twin te maken van een mens. Via sensoren op het lichaam en in de leefomgeving werden gegevens verzameld over de gezondheid, conditie en omstandigheden waaraan deze persoon werd blootgesteld. Met deze gegevens kunnen zorgverleners de digital twin gebruiken om soorten behandelingen te testen en evalueren voordat ze in het echt worden toegepast. Belangrijk om zeer gerichte behandelingen aan te bieden. 4 Experimenteren met quantum computing Quantum computing is een veelbelovende technologie waar AWS al jarenlang aan werkt. Quantum computers hebben een veel grotere rekenkracht dan huidige generatie maar de tech staat vooralsnog nog in haar kinderschoenen. Dankzij de cloud krijgen steeds meer organisaties toegang tot deze kostbare technologie. Zo lanceerde AWS een paar jaar geleden Amazon Braket, een pay-as-you-go quantum computingdienst die is ontworpen om wetenschappelijk onderzoek en softwareontwikkeling op dit gebied te versnellen. Dit laat organisaties relatief makkelijk met verschillende soorten quantum hardware experimenteren. Omdat wij sterk in het potentieel van quantum computing geloven, blijven we hier volop in investeren – zowel op praktisch als fundamenteel wetenschappelijk niveau. Wij moedigen overheidsorganisaties aan om samen met ons deze nieuwe technologie te verkennen en ontwikkelen. Is deze technologie eenmaal klaar voor marktintroductie, dan gaan de ontwikkelingen zo hard dat het moeilijker zal zijn om bij te blijven. Hoe verder? Overheidsorganisaties met een sterk digitaal fundament zijn efficiënter, klantvriendelijker en toekomstbestendiger. Snellere toegang tot én beter inzicht in data in het algemeen zijn de sleutel tot verdere innovatie: of dat nu AI/ML is of quantum computing. De AWS Cloud zorgt voor die snelle toegang. 77

De menselijke maat in Society 5.0 staat voor een superslimme samenleving. Maar het is meer dan dat. Society 5.0 vormt een visie voor publieke dienstverlening die de menselijke maat als uitgangspunt neemt en die ook nieuwe technologieën benadert en toepast vanuit dat uitgangspunt. In Society 5.0 passen we IoT, AI, VR/AR en robotisering toe op maatschappelijke opgaven, op zo’n manier dat publieke waarden erdoor worden ondersteund en bevorderd. Dat is uiteindelijk de crux: Society 5.0 belichaamt de waardengedreven, mensgerichte (digitale) samenleving. In theorie althans; in de praktijk is waakzaamheid geboden. Op meerdere vlakken. Publieke dienstverlening met de menselijke maat gaat om het vinden van balans. Balans tussen doorgeslagen digitalisering (met het risico op ‘computer says no’) en doorgeslagen maatwerk (met het risico op willekeur en rechtsongelijkheid). Het vinden, inregelen en borgen van die balans in de publieke dienstverlening is een complexe opgave, maar het is de enige weg naar realisatie van Society 5.0: de superslimme én waardengedreven samenleving. Meer weten? Download ’Society 5.0: waardengedreven digitalisering met de menselijke maat’ via: www.capgemini.nl/society-5-0 Erik Hoorweg, Vice President – Head Public Sector Capgemini Invent 78 De noodzaak van een goede balans De toenemende verwevenheid van de fysieke, digitale en biologische werelden heeft impact op de mens. Hoe wil en kan de overheid zich hiertoe verhouden? Het aanvankelijke enthousiasme over de mogelijkheden van digitalisering in relatie tot de burger lijkt wat getemperd door fouten zoals in de toeslagenaffaire. Als in een dialectisch zoekproces bewegen de publieke opinie, politiek en overheid zich momenteel richting transparantie, veiligheid, toegankelijkheid en meer discretionaire bevoegdheden voor beslissingsambtenaren. Daarbij staat de menselijke maatvoering centraal; het begrijpen van de context van een individu en het toepassen van maatwerk. Ook de Europese Commissie onderstreept dit belang van de menselijke maat en voldoende waarborgen daarvoor, in hun verklaring over digitale rechten en beginselen voor iedereen in de EU. Het vinden van de balans tussen digitalisering en maatwerk is hard nodig. Willekeur en rechtsongelijkheid liggen op de loer, en de druk vanuit de samenleving op de overheid neemt toe waar het gaat om vertrouwen, tevredenheid en verwachtingen. Zeven op de tien Nederlanders vinden bijvoorbeeld dat de overheid technologie beter moet toepassen in haar dienstverlening. Van alle Nederlanders ervaart slechts 47 procent de overheidswebsites en apps als toegankelijk en 42 procent als begrijpelijk. Daarbij voldoet momenteel minder dan 10 procent van de overheidswebsites aan de wettelijke digitale toegankelijkheidseisen. Een derde van de Nederlanders zou vaker gebruikmaken van digitale overheidsdiensten als de toegankelijkheid en ondersteuning beter op orde zouden zijn.

publieke dienstverlening partner Capgemini Ethische superslimme samenleving komt er niet vanzelf beeld: barry hage Digital twin van je identiteit In haar ‘state of the union’ van 16 september kondigde Ursula von der Leyen het al aan: er moet een beveiligde e-identiteit komen die elke burger en bedrijf overal in Europa kan gebruiken. In 2023 moet het raamwerk voor een Europese Digitale Identiteit (EDI) staan. In 2025 zou het zover moeten zijn dat als je als burger of bedrijf kan beschikken over een Europese eWallet. Want dat is waar de huidige gedachten naar uitgaan; een e-identiteit die wordt opgeslagen in een persoonlijke eWallet. De burger staat centraal en kan regie voeren op zijn persoonlijke gegevens en zelf bepalen wat hij met wie deelt. De betrouwbaarheid, veiligheid en borging van privacy hangen bij de ontwikkeling echter in grote mate af van wet- en regelgeving, het aantal partijen dat deelneemt, de componenten die gebruikt worden, de afstemming tussen landen en de verschillende koppelingen die worden gebruikt. Society 5.0 als superslimme samenleving vormt een wenkend perspectief. Maar het behoud van de publieke waarden daarbinnen gaat niet vanzelf. Neem AI en andersoortige algoritmes. Ze hebben de kracht om de samenleving en het milieu positief te transformeren – zolang organisaties werk maken van de bepaald niet denkbeeldige ethische uitdagingen en valkuilen. Alleen dan kan een samenleving ontstaan die niet alleen superslim, maar vooral ook waardengedreven is. Aankomende Europese regelgeving (zoals de Data Governance Act, de Digital Service Act, de AI-act en de Data Act) probeert die waarden te bewaken en toch ruimte te bieden voor noodzakelijke innovatie. Dit is een positieve ontwikkeling, maar vormt geen wondermiddel. De impact van algoritmes hangt uiteindelijk af van de gegevens waarop ze worden toegepast en de context waarin het resulterende model wordt ingezet. De controle daarover kunnen we niet overlaten aan het algoritme zelf; die moet liggen bij de organisatie die het algoritme toepast. En op hun beurt moet ook de organisatie onder controle staan van een onafhankelijke autoriteit zoals de Autoriteit Persoonsgegevens. Van govTECH naar GOVtech De ontwikkeling van technologie die publieke waarde(n) creëert is een gedeelde verantwoordelijkheid van de publieke sector en de private sector; vooral start-ups en mkb en innovators. GovTech noemen we het ecosysteem dat rond deze opgave is ontstaan. Er zijn duizenden Europese start-ups met digitale en technologische diensten en producten die geschikt zijn voor overheidsinstellingen. Maar onderzoek naar toekenning van publieke contracten aan GovTechstartups laat zien dat slechts 1 procent succesvol is. In onze visie is GovTech vooral gericht op de technologie (govTECH) en nog te weinig op de verandering die adoptie van de organisatie vraagt (GOVtech). Daarbij gaat het om een duidelijke focus op de publieke opgave, voldoende organisatiekracht en leiderschap. Dat leiderschap is essentieel om GovTech-initiatieven te vinden, te ontwikkelen en te laten schalen, zodat de innovatie uiteindelijk zijn doel bereikt: de burger beter bedienen. Nummer 46, april 2023 79

In politiek en maatschappelijke discussies wordt steeds vaker de mening uitgesproken dat overheidsdienstverlening te veel gericht is op procedure en te weinig op de menselijke maat. Na de schandalen van 2022 blijven er helaas ook in 2023 nog opvallende crises voorbijkomen. Het is dus noodzaak om deze menselijke maat zo spoedig mogelijk te realiseren in de dienstverlening. Hierover ontstaat dan vaak de discussie: ‘moeten we nou investeren in ICT of in menselijke maat?’ Terwijl er eigenlijk een andere discussie gevoerd zou moeten worden, namelijk: hoe kan ICT de menselijke maat faciliteren? Menselijke maat en technologie r zijn veel hedendaagse voorbeelden waaruit al is gebleken dat ICT een enabler kan zijn van de menselijke maat. Steeds meer consumenten zijn bijvoorbeeld tevreden over de menselijke maat die ze ervaren bij bedrijven als Coolblue of Bol.com. Klanten kunnen hier zelf bepalen op welk moment van de dag zij gebruik willen maken van de dienstverlening (24/7). Deze keuzevrijheid wordt als zeer positief ervaren. Dat wil de inwoner ook met de overheid kunnen. Gezien worden als mens en persoonlijk bejegend worden. Vooraf ingevulde velden en het feit dat niet de procedure centraal staat maar de uitkomst, dragen bij aan de tevredenheid over de dienstverlening. Je wordt niet van het kastje naar de muur gestuurd, er worden geen overbodige vragen gesteld en je bereikt op een vlotte manier het gepaste eindresultaat. Daarnaast kan ICT ook indirect een facilitator van de menselijke maat zijn doordat het ambtenaren in staat stelt om tijd vrij te maken voor extra persoonlijke E 80 aandacht. In de praktijk blijkt dat ambtenaren deskundige mensen zijn, maar te veel tijd kwijt zijn aan het inrichten en volgen van procedures en administratieve handelingen. Hier kan ICT bij uitstek ondersteuning bieden zodat ambtenaren zich meer kunnen richten op het bedienen van de klant. ICT kan bijvoorbeeld als assistent fungeren, zorgt automatisch voor termijnbewaking en houdt een Audit Trail bij waardoor ambtenaren zich kunnen focussen op de klant en niet meer bezig zijn met administratieve taken. Vrijwel 80 procent van alle aanvragen kunnen automatisch worden afgehandeld door het systeem, zonder menselijke interactie. Hierdoor blijft er extra tijd over om de andere 20 procent van de vragen met menselijke aandacht te beantwoorden. Computer says how Een grote bron van frustratie voor burgers is wanneer de ambtenaar of eigenlijk het systeem vertelt dat iets niet kan, met als gevolg ‘computer says no’. Het is echter belangrijk om ervoor te zorgen dat het niet langer ‘computer says no’ is, maar ‘computer says how’ en dat dit het moment is dat een ambtenaar kan ingrijpen. Die is namelijk gemandateerd en heeft de handelingsvrijheid om van procedures af te wijken. De ambtenaar heeft daar ook de tijd voor, aangezien 80 procent van de aanvragen soepel door het Geef ambtenaar de handelingsvrijheid van procedures af te wijken

partner Blueriq Trendrapport: de staat van de menselijke maat Recent hebben we een onderBijschrift. beeld: naam xxxxx systeem zijn verwerkt waardoor er extra aandacht kan worden besteed aan die overige 20 procent. Vervolgens kan, indien gewenst, het systeem gemakkelijk worden aangepast. Dat is ook de reden dat organisaties met veel kennisintensieve processen die regelmatig gewijzigd moeten worden, kiezen voor een wendbaar platform. Op die manier kan er snel een verandering doorgevoerd worden en heeft iedere wijziging een korte time-to-market. Hierdoor blijft de dienstverlening op peil en wordt er rekening gehouden met veranderende wet- en regelgeving of omstandigheden van de klant. Nummer 46, april 2023 Het is een goede ontwikkeling dat veel organisaties momenteel bezig zijn om ICT niet te zien als een bedreiging voor de menselijke maat, maar juist als een middel om deze te ondersteunen. De menselijke maat is nog steeds actueel en relevant. Door ICT juist te gebruiken als enabler van de menselijke maat en zo de ambtenaar tijd te geven om zijn deskundigheid in te zetten bij de cases die daarom vragen, kunnen we de menselijke maat terugbrengen in de overheidsdienstverlening. Voor meer informatie: Frits van Endhoven, f.van.endhoven@blueriq.com of 06-46093722. zoek uitgevoerd onder professionals uit de overheidssector, we vroegen hen te reageren op de ontwikkelingen rondom dienstverlening binnen de overheid. Via een online survey en meerdere diepteinterviews hebben werknemers met verschillende posities uit zowel de centrale als lokale overheid deel kunnen nemen aan dit onderzoek. Wat opvalt, is dat ambtenaren zich er van bewust zijn dat de menselijke maat verloren gaat en dat zij zelf ook zoeken naar manieren om ICT zo in te richten dat het persoonlijke aandacht kan faciliteren. Om dit echter in de praktijk goed te kunnen implementeren, is het van belang om met hen in gesprek te gaan over de manier waarop dit het beste vormgegeven kan worden. Meer weten over het onderzoek naar de staat van de menselijke maat? Download dan het volledige rapport op go.blueriq.com/rapportdestaatvandemenselijkemaat en meld je aan voor het rondetafelgesprek. 81 beeld: barry hage/ibestuur

Cloud: ultieme versneller van overheidstransformatie Zo spring je met succes op de trein et de steeds duidelijkere EUrichtlijnen voor veilig cloudgebruik en de recente Kamerbrief van staatssecretaris Van Huffelen is er geen beletsel meer voor overheidsorganisaties om de transitie naar de cloud maken. Daarmee valt een hoop te winnen, zegt John Schattorie, partner digitalisering Rijksoverheid bij Deloitte. “De overheid wil dingen meer op menselijke maat doen door digitale vernieuwing, maar loopt daarbij vaak vast in oude systemen. De aanpassing van die systemen duurt lang en is meestal kostbaar. De cloud zorgt voor een gigantische versnelling van innovatie, die overheidsorganisaties ondersteunt bij het behalen van hun strategische doelstellingen.” M Een Europese cloud, zoals de Tweede Kamer nu voorstelt, is niet nodig om de vertrouwelijkheid van gegevens te borgen, aldus Schattorie. “Dat belemmert de innovatie. Wat je moet doen, is data versleutelen en anonimiseren en hybride cloudoplossingen van verschillende leveranciers inzetten. Tegelijkertijd moeten ook de internationale leveranciers aan Europese wet- en regelgeving voldoen.” Cloud is de toekomst, óók voor overheidsorganisaties, stellen Schattorie en zijn collega Laurens van Wonderen, senior manager cloud engineering voor de publieke sector. Van Wonderen: “Het devies is niet bang zijn en beginnen, want je wilt de trein niet missen. Maar er zijn wel belangrijke factoren die een rol spelen bij een succesvolle inzet van cloud.” 82 In korte tijd een nieuwe regeling in je systemen doorvoeren. Digitaal samenwerken. Of burgers vanuit één contactcentrum dezelfde informatie bieden via verschillende kanalen. Via de cloud kun je als overheidsorganisatie enorm veel sneller innoveren. Qua regelgeving zijn er geen belemmeringen meer. Het is vooral een kwestie van op de trein springen, zeggen Laurens van Wonderen en John Schattorie van Deloitte. Hoe doe je dat met succes? Door Kitty Döppenbecker 1 Redeneer vanuit de business, niet vanuit de techniek Allereerst is cloud geen doel op zich, maar een middel. Het gaat verder dan techniek of kostenbesparing. “Uitgangspunt is hoe de cloud je helpt om je businessdoelstellingen te bereiken. Zo’n doelstelling kan bijvoorbeeld een betere informatievoorziening aan medewerkers of burgers zijn, maar ook het verbeteren van duurzaamheid”, aldus Schattorie. Van Wonderen: “Ga altijd uit van het businessvraagstuk en zoek naar een passende cloudoplossing. Vergeet daarbij niet om de juiste businessprioriteiten te stellen, je kunt niet alles in één keer aanpakken.” 2 Vul de randvoorwaarden in voor je cloudoplossing Welke technologieën zet je in en hoe pas je die binnen de grenzen van wet- en regelgeving toe? De tweede succesfactor is niet zomaar te beginnen met de realisatie van een cloudoplossing, maar eerst te zorgen dat je aan alle randvoorwaarden voldoet. “Kies bijvoorbeeld voor compliance, security en privacy ‘by design’, door deze zaken van begin af aan mee te nemen, en organiseer het technisch beheer. Dat doe je het beste vanuit een multidisciplinair team, waarin alle benodigde specialistische kennis is vertegenwoordigd”, zo adviseert Van Wonderen. 3 Zet wendbare deelarchitecturen neer in de cloud In plaats van één architectuur neer te zetten voor je hele organisatie is het in de cloud beter om deelgebieden te identificeren en daar deelarchitecturen op af te stemmen. Het identificeren van deelgebieden helpt om stapsgewijs de transitie naar de cloud te maken. Schattorie: “Dat gaat bijvoorbeeld over het gericht en bewust toepassen van Software as a Service, Platform as a Service en Infrastructure as a Service en van hybride en multi-cloud.”

partner Deloitte John Schattorie (l) en Laurens van Wonderen van Deloitte: “Cloud is de toekomst, óók voor overheidsorganisaties.” beeld: emile vrolijk 4 Maak gebruik van de kracht van standaardisatie Een van de manieren waarop de cloud een snelle transformatie mogelijk maakt, is het gebruik van standaard bouwstenen. Van Wonderen: “Denk bijvoorbeeld aan een uitgewerkt raamwerk voor een dataplatform, waarin allerlei dingen zijn voorgeprogrammeerd en geautomatiseerd. Dat kun je zo neerzetten, je hoeft zelf het wiel niet uit te vinden.” 5 Kies het juiste integratie - platform Ook het gemakkelijk samenvoegen van componenten draagt bij aan een snelle innovatie in de cloud. Van Wonderen: “Dat doe je bijvoorbeeld met API’s (application programming interfaces). API’s maken het mogelijk verschillende applicaties eenvoudig aan elkaar te koppelen en van elkaar los te halen. Zo kun je in hele korte tijd applicaties toevoegen, verbeteren of vervangen binnen je clouNummer 46, april 2023 domgeving. Die kennis en kunde moet je wel in huis hebben.” 6 Stel richtlijnen op voor cloudoplossingen Richtlijnen bieden houvast bij het kiezen van cloudoplossingen en voorkomen wildgroei. “Zo’n richtlijn kan bijvoorbeeld zijn dat je de voorkeur geeft aan Software as a Service boven Platform as a Service en Infrastructure as a Service. Dus SaaS boven PaaS boven IaaS, zoals ze dat noemen. Dat doe je als de beheerlast zo veel mogelijk bij je cloudleverancier wilt leggen. Een ander voorbeeld is dat je zelf geen functionaliteit bouwt die al in de cloud beschikbaar is, maar die altijd koopt”, licht Van Wonderen toe. 7 Geef de cloud een plek in je organisatie Tot slot is de cloud is geen eiland. Schattorie: “Je moet er draagvlak voor creëren in je hele organisatie. Maak bijvoorbeeld regels en beleid voor de inzet van de cloud, zet een cloud competence center neer en haal nieuwe talenten op dit gebied binnen. En gebruik je cloudtransformatie om een deel van je bedrijfsstrategie te realiseren, dat maakt voor alle stakeholders de meerwaarde duidelijk.” Gestroomlijnde digitale overheid Veel bedrijven hebben de transitie naar de cloud al gemaakt. Nu is het moment aangebroken voor overheidsorganisaties, concluderen Schattorie en Van Wonderen. Schattorie: “De cloud ondersteunt een snelle transformatie naar een gestroomlijnde, digitale overheid. Ga er dus mee aan de slag.” Hebt u vragen over de cloudtransitie van een overheidsorganisatie? Neem dan contact op met John Schattorie: jschattorie@deloitte.nl. 83

Kees Verhoeven (46) was jarenlang een van de belangrijkste IT-experts in de Tweede Kamer. In zijn boek ‘De Democratie Crasht’ schrijft hij over die periode en waarschuwt hij vooral voor de groeiende onmacht van de politiek in een digitaal tijdperk. Tijdens de boekpresentatie van 30 januari waren er diverse prominenten aanwezig die zijn zorgen deelden. Maar ze lieten ook een optimistisch geluid horen. De democratie n de goed gevulde zaal van Beeld & Geluid in Den Haag zijn onder meer hoogleraar ICT en sociale verandering Valerie Frissen en ICT-expert Brenno de Winter aanwezig om hun gedachten over het boek van Verhoeven te delen. Een derde aanwezige is de voormalig fractievoorzitter van de ChristenUnie Gert-Jan Segers, die na een lange periode eveneens stopte als Kamerlid. I De presentatie begint met een aantal televisiefragmenten waarin Kees Verhoeven als beginnend Kamerlid onder meer te zien is in de supermarkt en als vader, voetballend met zijn zoontje. In die tijd was hij nog niet de aangewezen man voor ICT-onderwerpen. “Wat niet iedereen weet is dat ik eigenlijk een digibeet ben. Josta (zijn vrouw, red.) regelt de digitale televisie wanneer die niet werkt.” Voor een beginnend Kamerlid is in beeld komen bij de kiezers het belangrijkste. “Doe maar niet, ICT kan nooit op een leuke manier in beeld worden gebracht, hoorde ik vaak.” Door Sjoerd Hartholt Beeld iBestuur/Barry Hage 84 Dat beeldvorming door partijen vaak belangrijker wordt gevonden dan de inhoud, dat weet ook Segers; de politieke ervaringen waar Verhoeven in zijn boek over schrijft komen hem bekend voor. Hoewel ze in de Tweede Kamer vaak tegenstanders waren, kunnen Verhoeven en Segers op persoonlijk vlak goed met elkaar door één deur. Jarenlang reden ze samen vanuit hun woonplaats naar Den Haag. “We zijn onderhevig aan allerlei ‘prikkels’ waardoor we ons anders gedragen dan eigenlijk zou moeten”, aldus Seger die de enorm toegenomen werkdruk hekelt. “Ieder appje, elk berichtje betekent als Kamerlid potentieel werk. Vakanties en zondagen wil je vrijhouden, maar je ziet het dan via je telefoon binnenkruipen. Dat draagt allemaal bij aan slechte besluitvorming. Om goed tegengas te kunnen bieden tegen de ‘wetgevingsmachinerie’ van de ministeries is tijd en ruimte nodig en dat is steeds meer onder druk komen te staan.” Zowel Segers als Verhoeven erkent dat ze als Kamerlid bij politieke beslissingen weleens fouten hebben gemaakt. Zo wordt wel gesteld

...maar het is nog niet te laat dat de aanpak van de ‘Bulgarenfraude’, destijds met steun van de ChristenUnie, de genesis is van de toeslagenaffaire. Desinformatie De politiek wordt mede dankzij internet steeds gejaagder, met alle gevolgen van dien. Maar niet alle gevolgen van digitalisering zijn slecht voor de democratie. Valerie Frissen wijst erop dat internet ervoor heeft gezorgd dat burgers nooit eerder zo goed in staat waren om zichzelf te informeren. Ze roemt de verbindende kracht die internet en zijn online community ’s heeft; bijvoorbeeld voor patiënten die in patiëntenorganisaties ervaringen kunnen uitwisselen. “Deze verbindende kracht heeft op vele manieren bijgedragen aan democratie. Alleen wordt daar tegenwoordig ook een nieuwe draai aan gegeven door tegenbewegingen die de democratie omver willen werpen. Die tegenbeweging was er altijd wel, maar wordt nu gevoed met sterkere instrumenten.” Frissen deelt de zorgen van Verhoeven over de ontwrichtende werking van desinformatie, en is blij dat hij in zijn boek met voorstellen voor beleidskaders en randvoorwaarden komt die de ontwikkelingen ten goede kunnen keren. “We kunnen opgeven en onder een deken kruipen, maar Kees schetst genoeg aanknopingspunten.” Nummer 46, april 2023 85

Kees Verhoeven, Valerie Frissen (hoogleraar digitale technologie en sociale verandering), Brenno de Winter (ICT­deskundige) en Gert Jan Segers (voormalig fractievoorzitter ChristenUnie). Frissen is het ook eens met de stelling van Verhoeven dat de overheid de grip op Amerikaanse techreuzen kwijt is geraakt. De politiek heeft dat volgens haar jarenlang zwaar verwaarloosd. “We hebben te lang vertrouwd op zelfregulering op het internet, gelukkig is de overheid inmiddels bezig om de grip terug te krijgen. De Europese Unie probeert met wetgeving bij te dragen aan betere gegevensbescherming en privacy.” Frissen ziet ook andere bemoedigende signalen, zoals de Nederlandse onderwijswereld die diverse techreuzen aan tafel dwingt op basis van privacyonderzoeken en nieuwe randvoorwaarden stelt die gelden voor alle gebruikers. Kritischer toetsen Alexander Pechtold vraagt of de journalistiek niet te afhankelijk is geworden van de grote techbedrijven. ICT-expert Brenno de Winter wordt als medeontwikkelaar van de CoronaMelder gevraagd naar de manier waarop de overheid met IT-projecten omgaat; iets waarover Verhoeven in zijn boek kritisch is. Ook De Winter ziet veel verbeterpunten, maar hij herkent ook positieve signalen. “Er is wat mij betreft een andere benadering dan voorheen. In korte tijd wilde de overheid een corona-app ontwikkelen, maar het aanbod van de leveranciers voldeed niet.” Voor het eerst werden oplossin86

gen niet ‘zomaar’ uit de markt gehaald, maar werden ze vooraf kritisch bekeken en afgewezen wanneer ze niet aan alle eisen voldeden. “Het is belangrijk dat er goed getoetst wordt. Daarmee maak je het werk van ambtenaren uiteindelijk ook gemakkelijker.” De strenge toetsing van voorstellen voor de CoronaMelder bleek een uitstekende stok achter de deur wanneer er niet voldaan werd aan gestelde privacy-eisen. Ambtenaren die daarover heen wilden stappen kregen te horen dat ze dat dan maar zelf moesten uitleggen aan de Kamer. “En dan kreeg ik toch mijn zin”, aldus De Winter. Techno-pessimisme Als Verhoeven, Segers, De Winter en Frissen gezamenlijk de balans opmaken is de conclusie: de digitalisering van de overheid zorgt meer voor ‘ontsporing’ dan voor democratisering. “Het wantrouwen dat er nu is in de samenleving heeft alles met digitalisering te maken. Een overheid met een enorme hoeveelheid data roept wantrouwen op. Het leidt tot concentratie van de macht”, zegt Verhoeven. Segers heeft er een ‘onbestemd gevoel’ bij dat de overheid een drang heeft om zichzelf met technologie doelen aan te laten meten. De Winter vindt echter dat technologie niet de enige boosdoener is. “Het is vooral de manier waarop je er als overheid mee omgaat.” Het ‘techno-optimisme’ van het millennium heeft plaatsgemaakt voor techno-pessimisme, constateert Frissen. “Polarisatie was eerder ook aanwezig in de samenleving; technologie is daar niet per se schuldig aan. Maar het is wel een amplificatiefactor. Polarisatie is ook niet per se slecht voor de democratie, maar je moet geen voedingsbodem voor ‘giftige’ zaken creëren.” Verhoeven denkt dat de media, die ook steeds verder gedigitaliseerd zijn, daar een bepalende rol in hebben. “Media zijn afhankelijk van clicks op artikelen en zijn dus gebaat bij het creëren van zoveel mogelijk ophef. Polarisatie is een verdienmodel geworden. De publieke omroep laat zich leiden door kijkcijfers in plaats van programma’s die iets goeds kunnen betekenen voor Nederland. Politici hebben daar een belangrijke rol in, maar dat geldt net zo goed voor de burgers, die niet alle informatie die zij consumeren voor waarheid moeten aannemen. Een stevig debat blijft nodig, maar wel op feiten gebaseerd en niet op desinformatie.” Tegenmacht organiseren Ook voormalig D66-leider Alexander Pechtold, tegenwoordig directeur van het Centraal Bureau Rijvaardigheidsbewijzen, is aanwezig. Hij vraagt of het niet te laat is om nog een tegenmacht te organiseren nu de journalistiek steeds afhankelijker wordt van de grote techbedrijven om winstgevend te blijven. De Winter gelooft er nog wel in. “Zo eeuwig is de positie van techbedrijven niet. Hyves en Altavista zijn bijvoorbeeld wegNummer 46, april 2023 gevaagd. In de Verenigde Staten worden techreuzen opgebroken in meerdere delen. Nederland kan in zijn eentje niet zoveel uitrichten, maar de Europese Unie kan dit via wetgeving wel. Dat vormt een blok waar techreuzen niet omheen kunnen.” Verhoeven put eveneens hoop uit ontwikkelingen vanuit de Europese Unie. “Zeker op gebied van digitalisering wordt er heel veel gedaan en kan de macht van techreuzen doorbroken worden. Iedereen klaagt nu bijvoorbeeld over de GDPR (hier AVG), de Europese privacywetgeving, maar we mogen daar juist Tegenbeweging die de democratie omver wil werpen was er altijd wel, maar wordt nu gevoed met sterkere instrumenten zeer dankbaar voor zijn. Het verschil met de Verenigde Staten op gebied van gegevensbescherming is enorm groot. Veel partijen zijn bang om Europa meer soevereiniteit te geven, maar daarmee kan juist veel bereikt worden.” ‘De Democratie Crasht’ is een zorgwekkend verhaal, concluderen de sprekers. Maar zowel Frissen, De Winter, Segers als Verhoeven zelf hebben er vertrouwen in dat het nog niet te laat is om in te grijpen. Op iBestuur.nl staan recensies van ‘De Democratie Crasht’ van Paul Diederen (Rathenau Instituut), Paul Strijp (provincie Noord-Holland) en Laura de Vries (Mr. Hans van Mierlo Stichting). 87

Digitale spoelkeuken ‘Met DigiD is een single point of failure gecreëerd’ De Nederlandse coalitie PublicSpaces werkt aan een digitaal ecosysteem gebaseerd op publieke waarden. Verschillende publieke organisaties werken in deze coalitie samen om minder afhankelijk te worden van Big Tech voor hun informatie en communicatie; omdat de waarden van de grote technologiepartners vaak niet stroken met wat we van een samenleving willen. Een interview met Björn Wijers, chief community van PublicSpaces over spoelkeukens, mensenrechten en waardengedreven digitaliseren. Wat is de Digitale Spoelkeuken? “Leden van de coalitie PublicSpaces ondertekenen een contract waarmee ze de vijf waarden van ons manifest onderschrijven: open, transparant, verantwoordelijk, soeverein, de gebruiker centraal. De Digitale Spoelkeuken is lijst van 25 vragen waarmee zij en andere publieke organisaties kunnen inventariseren in hoeverre de software en diensten die zij gebruiken, overeenstemmen met hun eigen waarden. Een mensenrechten-NGO die communiceert via Facebook en Google Analytics gebruikt om data te analyseren, dat strookt niet met elkaar. De digitale spoelkeuken is dus een zelf-audit. Enerzijds is hij bedoeld om een gesprek te starten binnen de eigen organisaties, anderzijds om een benchmark te creëren.” Door Karina Meerman Beeld Shutterstock/iBestuur 88 Waarom gaan mensenrechten en Google Analytics niet samen? “Omdat Google die data overal voor gebruikt, ook voor zaken waar jij het helemaal niet mee eens bent. Als twee concurrerende bedrijven analytics

gebruiken, gaat Google er als derde mee heen en kan die data weer doorverkopen. Ja, gebruik van Google Analytics is makkelijk en het werkt, maar het werkt juist omdat die organisaties zo enorm groot zijn. Met hun enorme budgetten kunnen ze ieder goed idee opkopen en eigen maken. Jij en ik vergaderen nu in Big Blue Button, dat is niet de marktleider van het beeldbellen, maar het werkt prima en niemand zit mee te kijken omdat het op onze eigen server draait.” Wat maakt dat we niet massaal overstappen? “Het is lastig om alternatieven te gaan gebruiken. De bekende namen bieden hun diensten en software gratis aan of voor een kleine prijs. Voor veel publieke organisaties is geld een probleem. Als je gaat kiezen voor software die wel voldoet aan de waarden van jouw organisatie, dan steek je een deel van jouw fondsen niet in jouw primaire doel maar in de ICT-infrastructuur. Nu is de overheid de grootste fondsenverstrekker voor publieke organisaties en non-profit organisaties; die zou hierin een rol kunnen nemen en bewust alternatieven gaan steunen. Dus als een onderwijsorganisatie of NGO van de grote namen af wil, dan zouden zij extra hulp moeten kunnen krijgen bij het financieren van software-alternatieven.” Waarom lijkt de overheid iedere weer in zee te gaan met dezelfde technologiepartners? “Uiteraard ben ik niet bij de gesprekken, maar ik vermoed dat als een aanbestedingsproces op een bepaalde manier is ingericht, bepaalde organisaties als eerste komen bovendrijven. En niet alle organisaties hebben de capaciteit om een aanbestedingstraject van de overheid op te pakken. Daar komt nog bij dat de overheid niet genoeg kennis van zaken in huis heeft om te beoordelen of een partij wel of niet de juiste is voor een bepaald project. Het gros van de mensen die daarover beslissingen neemt heeft geen technische ervaring, maar bestuurlijk-juridische ervaring. En dus pakken ze werk bestuurlijk aan of timmeren ze het juridisch dicht. Zo kijken techneuten niet gauw naar wat juridisch kan of mag, maar naar wat het systeem kan. Ik zie dat de overheid daarmee worstelt en dat begrijp ik ook.” Wat is een voorbeeld van waar de overheid het goed doet? “Ik had het idee dat het ministerie van VWS een interessante sprong maakte tijdens de pandemie, omdat ze bij het maken van de corona-app het open werken omarmde. Als techneut vond ik die eerlijkheid fijn, dat de app als opensource beschikbaar kwam, dat er open standaarden waren. Dat is best moeilijk, want wie open is stelt zich kwetsbaar op. De Werkagenda Waardengedreven Digitalisering vind ik ook positief, maar daar moeten dan wel concrete acties aangehangen worden. Dat betekent dat er ook een serieuze begroting moet komen die deze agenda helpt realiseren. Anders bestaat het risico dat het blijft bij mooie plannen.” Nummer 46, april 2023 89

Een van de vragen in de spoelkeuken is ‘is de broncode van uw software al openbaar?’ Waarom is open source belangrijk? Delen is normaal, dat leer je op school “Als software open source is mag je ernaar kijken, je mag eraan ruiken, je mag het kapot maken en je mag het helemaal opnieuw maken, omdat je het met elkaar hebt gedeeld op basis van gelijkheid. Zo heb ik het mijn dochter van tien uitgelegd. Delen is normaal, dat leer je op school. Als volwassenen mag dat opeens niet meer? Software is jouw gereedschap en je mag er wel naar kijken, maar je mag er niet aankomen en niet aanpassen. Je kunt Big Tech vragen om aanpassingen, maar de kans is klein dat daarnaar geluisterd wordt. In een open source-project wordt er misschien ook niet naar je geluisterd, maar je kunt de software nog wel zelf veranderen of dat laten doen. Dat is een andere manier van denken.” Hoe zou het inkoopproces anders kunnen? “De overheid zou bij een aanbesteding niet alleen naar de economische kant kunnen kijken, maar ook naar de moeilijker meetbare waarden zoals openheid, privacy, soevereiniteit. En laat vooral autonomie ook meewegen, want wie vandaag onze vriend is kan morgen onze vijand zijn. Dan zijn er ook nog meerwaarden als ecologische en sociale duurzaamheid. Voor systemen van UWV of DUO zijn geen alternatieven, terwijl mensen er wel afhankelijk van zijn en de impact op hun leven is groot. Het toeslagenschandaal heeft de impact van technologie en beleid laten zien. De vraag is: heeft technologie het probleem veroorzaakt of heeft het beleid het veroorzaakt en de technologie dat uitvoerbaar gemaakt?” Levert het koppelen van data altijd meer inzicht op? “Dat lijkt gebaseerd op een soort wensdenken, de overtuiging dat data absoluut zijn. Als ik kijk naar hoe software-development zich heeft ontwikkeld: in negen van de tien gevallen zitten er foutjes in de data. Dat is niet moedwillig, dat gebeurt gewoon. Een typfoutje hier, een slordigheidje daar. Voor systemen met een enorme impact op mensen, moeten data inzichtelijk gemaakt worden voor degene over wie de data gaan. Openheid is nodig, ook om te beoordelen of iemand op de juiste gronden wordt beoordeeld. Er moet ook altijd een mogelijkheid zijn om eenvoudig in beroep te gaan tegen deze beoordeling. De heiligverklaring van de onfeilbaarheid van data, ik geloof er niet in. Overal worden foutjes gemaakt. We kunnen niet door een roze bril naar technologie blijven kijken.” Elke fout is een leermomentje? “Dat vind ik echt onzin. Je kunt bij een huis bouwen alles fout doen en zeggen dat je veel geleerd hebt, maar het huis stort nog steeds in. Nu hoor ik vaker dat ik te kritisch ben of negatief overkom. Dat is deels ook zo. Ik kijk altijd naar wat beter kan en geef niet snel complimentjes. Als iedereen in een project zo denkt is dat killing, maar daarom is diversiteit in een 90

team zo belangrijk. Aan alleen maar jaknikkers heb je niets. Je moet mensen erbij halen die een beetje lastig zijn, die moeilijk doen. Eerst schuren, dan glimmen.” Op het moment dat wij elkaar spreken is DigiD overbelast omdat burgers massaal hun belastingaangifte doen. Wat vind jij daarvan? “DigiD wordt ook gebruikt door andere overheidsdiensten, die zijn dus ook niet beschikbaar. Dan denk ik als ontwikkelaar: je hebt een single point of failure gecreëerd. Iedereen is afhankelijk van hetzelfde. Moet je alles hetzelfde willen? De apps die de overheid levert zijn beschikbaar via de app-stores van Google en Apple. Beide komen uit een land dat niet gelieerd is aan de Europese Unie, dus met andere wetgeving. De overheid heeft zich afhankelijk gemaakt van twee grote bijna-monopolisten, terwijl ze ook zou kunnen kiezen voor het opzetten een eigen app-store. Waarom ze dat niet doet? Goede vraag.” Aan wie zouden we dat eens kunnen vragen? “De CIO Rijk? Geen idee. Het is interessant om te zien dat een overheid verwachtingen heeft van derde partijen waar ze geen enkele zeggenschap over heeft. Dat is dichtgetimmerd met voorwaarden? Als je alleen maar een hamer hebt, dan los je alles op met een hamer. Dus als je alleen juristen hebt en bestuurskundigen, dan los je het op die manier op.” Hebben data een activistische kant? “Technologie is niet neutraal. Internet wordt mogelijk gemaakt door elektriciteit. Het laatste jaar heeft duidelijk gemaakt van wie we van onze energie afhankelijk zijn. Daar is wel een parallel te trekken met data. Opslag van gegevens kost energie, het gebruik van AI-modellen, et cetera. Digitalisering zit overal doorheen en heeft impact op alles. In ons dorpje heeft recent één van de laatste supermarkten met alleen bemenste kassa’s, deze kassa’s vervangen door zelfbediening. Dat is verregaande digitalisering. Die kassabanen zijn voor mensen die niet zomaar direct ergens ander werk vinden. De supermarkt koos voor meer winst ten koste van de werkgelegenheid van een groep die niet makkelijk ergens werk vindt, wat ten koste komt van de samenleving. Als we net doen alsof technologie neutraal is, houden we elkaar voor de gek. De keuze voor selfservice zal een deel van de klanten ongetwijfeld fijn vinden, want die hoeven geen praatje te maken met de kassière, maar misschien was dit voor anderen de enige die ze spraken op een dag. Met PublicSpaces willen we het deel van het internet waar wij controle over hebben, bewust inrichten volgens onze waarden. Als de coalitiepartners van PublicSpaces dat samen voor elkaar krijgen, hebben we voor 17 miljoen burgers ons stukje internet en aanverwante digitale ecosysteem een stukje beter gemaakt. De Rijksoverheid heeft haar eigen speciale rol. Dat we Google nog niet uit het onderwijs hebben gegooid, met zijn Chromebooks stampvol Google-software. Dat is toch gek?” De missie van Public Spaces PublicSpaces werkt toe naar een alternatief software ecosysteem dat het publieke belang vertegenwoordigt en geen winstoogmerk heeft. De ambitie is dat in 2026 alle privacy officers, CTO's en ICT inkopers van publieke organisaties in Nederland op de hoogte zijn van alternatieve digitale instrumenten gebaseerd op publieke waarden, waardoor ze goedgeïnformeerd in staat zijn om te kiezen voor deze ethische alternatieven. Nummer 46, april 2023 91

Innoveren op topniveau? Het Nederlandse bedrijfsleven is enorm innovatief. Dat is deels te danken aan de heldere innovatiekoers en missie voor de topsectoren. Zo worden belangrijke strategische doelen gehaald. Maar als we innoveren binnen de overheid, ontbreekt het soms aan richting en sturing waardoor er geen ruimte is om fouten te maken. “Als we onze maatschappelijke vraagstukken willen oplossen en publieke dienstverlening verbeteren moet innovatiemanagement omarmd worden,” stellen Marjolein Boonstra en Diederik van Leeuwen. Dat kan alleen met V anuit het Friese Holwerd doet Marjolein Boonstra haar verhaal. Haar nuchtere houding en gevoel voor humor zijn ook wel nodig voor de opdracht die ze vervult: de innovatievolwassenheid van overheidsorganisaties vergroten. Ze is programmamanager bij Innoveren met Impact, een thema van Rijksorganisatie voor Ontwikkeling, Digitalisering en Innovatie (Rijksorganisatie ODI). Twee jaar geleden voerde ze een innovatieverkenning uit om te onderzoeken hoe we als overheid beter kunnen innoveren. “Innoveren binnen de overheid is een ingewikkeld proces dat een lange adem vergt. We innoveren veel en vaak, maar waar, met wie en hoe, is niet duidelijk. We moeten stoppen met op veel plekken het wiel opnieuw uit te vinden. Als we binnen de overheid onze krachten en kennis bundelen kunnen we sneller, beter en effectiever innoveren. Het droombeeld van Innoveren met Impact is een inspirerende en interbestuurlijke innovatiekoers uitstippelen met ambitieuze missies waar mensen uit diverse domeinen en organisaties aan werken. Ondersteund door ervaren overheidsinnovators en initiatieven als Digicampus, RADIO, de Rijks Innovatie Community, diverse innovatielabs en I-partnerschap. Om dit voor elkaar te krijgen is een cultuuromslag nodig. Innovatiemanagement moet een onderdeel van onze dagelijkse praktijk worden. Dat zien we nog te weinig.” Anders denken over innovatie Diederik van Leeuwen, interim directeur I-Interim Rijk, haakt hierop in: “Ons denken over innovatie moet veranderen. Als overheid zijn we te verliefd geworden op het cliché dat sturing creativiteit in de weg zit. Dan ga je eraan voorbij dat innoDoor Minke-An Jullens-Ligeon Beeld Shutterstock 92

Podium innovatiemanagement vatie meer is dan leuke ideeën bedenken. Men denkt te vaak dat ideeën van de onderkant van de organisatie naar boven moeten stromen. Ook dat is een misvatting. Wil je innoveren met impact op je kernactiviteiten, dan moet je dit altijd aan je strategie koppelen en managen. Veel overheidsorganisaties vinden het lastig om innovaties te managen terwijl sturing juist rust én heel belangrijk, ingecalculeerde ruimte voor foutmarges biedt.” Hij verwijst hierbij naar de Innovatiebarometer Overheid 2021, een onderzoek naar innovaties in Nederlandse overheidsorganisaties. De barometer signaleert grote verschillen tussen overheidsorganisaties. Het grootste verschil tussen organisaties met een krachtig innovatieklimaat en organisaties met een beperkt innovatieklimaat is de manier waarop er met fouten wordt omgegaan. Innovatietrajecten gaan gepaard met mislukkingen: er moet ruimte zijn om te falen en daarvan te leren. Boonstra vult aan: “Het verbaast me keer-op-keer hoeveel beter we het in de EU doen. Daar staan een heldere innovatiekoers en -agenda. Op allerlei manieren wordt men verleid om aan de slag te gaan met transities, nieuwe samenwerkingen en innovatie. Er wordt duidelijk gestuurd op innovatieplannen. Zo worden belangrijke strategische doelen gehaald. Genoeg voorbeelden hoe het binnen onze eigen overheid beter kan. Onze publieke dienstverlening en manieren van werken zijn toe aan verbetering. De oproep om te innoveren is er, maar het hoe en waarom ontbreken.” Wil je innoveren met impact op je kernactiviteiten, dan moet je dit altijd aan je strategie koppelen en managen Nummer 46, april 2023 93

Diederik van Leeuwen. beeld: martijn beekman Marjolein Boonstra. beeld: valerie kuypers Van elkaar leren “Via Innoveren met Impact willen we zichtbaar maken waar we het als overheid wel goed doen op innovatiegebied. Een voorbeeld hiervan is ons Innovatiepodium. Hier vind je verhalen van rijksprofessionals die met een vooruitstrevende blik naar de overheid kijken. Daarnaast pakken we bijvoorbeeld samenwerking en kennisdeling met markt en wetenschap al stevig op. Dit is belangrijk om de kwaliteit van onze dienstverlening te verbeteren. Zo kunnen we van elkaar leren”, zegt Boonstra. Van Leeuwen vult haar aan met voorbeelden. “Bij MindBase van het ministerie van Defensie en het Makers Collectief van Justitie en Veiligheid gebeuren prachtige dingen. Met bedrijven en kennisinstellingen wordt hard gewerkt aan oplossingen voor de toekomst. Het interbestuurlijke programma Agenda Stad is ook een goed voorbeeld. Via City Deals willen ze de groei, innovatie en leefbaarheid in Nederlandse steden versterken. In de deals zijn concrete afspraken over samenwerkingen gemaakt tussen steden, bedrijven, maatschappelijke organisaties, het Rijk en andere overheden verankerd. Die werkwijze moet leiden tot meer innovatieve oplossingen voor maatschappelijke opgaven en sterkere economische ecosystemen in stedelijke regio’s.” Onze diensten Innovaties managen is makkelijker gezegd dan gedaan. Innoveren met Impact biedt directeuren, senior managers en adviseurs met innovatie in hun pakket ondersteuning. Diederik van Leeuwen vertelt: “Met Leo Hörnig, senior programma en projectmanager bij de Rijksorganisatie ODI, en het Centre for Innovation van de Leiden University hebben we de afgelopen jaren het Stappenplan Innovatie Projecten (StIP) en de Innovatietoolkit ontwikkeld. De toolkit is gepubliceerd op de website van Rijksorganisatie ODI en voor iedereen toegankelijk. Het bevat basiskennis en praktische tools om direct met 94 innovatieprojecten aan de slag te gaan. Dat is een eerste stap naar het managen van innovaties. Voor het verdiepen van kennis over innovatiemanagement hebben we in samenwerking met de Stichting Total Innovation Management de opleiding Innovatiemanagement voor overheidsprofessionals ontwikkeld. Tijdens de opleiding verkrijg je kennis over de context waarbinnen overheidsorganisaties moeten innoveren. En hoe Innovaties managen is makkelijker gezegd dan gedaan je een organisatie kunt analyseren en inrichten aan de hand van de vijf segmenten uit de Innovation Maturity Scan: leiderschap, cultuur, sociaal, uitvoering en sturing. Na het behalen van je certificaat treed je automatisch toe tot ons netwerk van innovators binnen de overheid. Het is een enthousiaste community die elkaar stimuleert en steunt bij in het managen van innovatieve oplossingen.” Marjolein Boonstra haakt in: “En heb je een frisse blik nodig voor je innovatieopgave? Dan kun je bij ons terecht voor ervaren overheidsinnovators. Zo zijn we al een behoorlijk full-service consultancy bureau voor innoveren binnen de overheid. De ambities zijn groot, net als de uitdagingen, maar samen met onze opdrachtgevers komen we er wel.”

Podium ICT en gedragsverandering Denk eens ‘groot’ aan maatschappelijke problemen waar de overheid een cruciale rol in speelt, zoals de kindertoeslag- of gaswinningsaffaire. Of denk dichterbij, binnen een overheidsorganisatie, aan zaken als toenemende traagheid, werkdruk, ziekte verzuim en uitval. Vraag je vervolgens af of je vindt dat digitaliserings trajecten succesvol worden aangepakt, problemen worden opgelost en tot blijvende verbeteringen leiden. De crux zit in acceptatie k denk vaak van niet. Typerend is in dit verband de uitspraak van voormalig VVD-Kamerlid Ton Elias zoals verwoord in de bijdrage van Sjoerd Hartholt in iBestuur van 2 februari 2023. Elias is bijna negen jaar na het parlementair onderzoek van zijn commissie boos en teleurgesteld. Of liever gezegd: furieus. Hij constateert in gesprek met iBestuur dat er veel te weinig is gedaan met de aanbevelingen. Onbegrijpelijk en doodzonde volgens Elias. I De grootste oorzaak is gebrek aan deskundigheid en kwaliteit bij de overheid op IT-gebied, met slecht opdrachtgeverschap als gevolg. Maar ook het salarisgebouw van de overheid zou voor IT’ers veel flexibeler moeten. Met de adviezen is niets gebeurd vanwege een cultuur die maar niet verandert. Zo zegt Elias. Het is een doodzonde en dat ben ik eens met Elias. Maar onbegrijpelijk is het absoluut niet. Sterker nog, ik had niet anders verwacht en wie dat wel doet zal geen kentering in de aanpak van IT-projecten bij de overheid teweeg brengen. Lastige rapporten verdwijnen immers altijd in de la. En de bestaande problemen worden niet opgelost. Elias slaat de spijker op z’n kop. Cultuur is een belangrijke boosdoener. Cultuur is in essentie niets anders dan wat we met elkaar normaal (gedrag) vinden en dat staat verandering in de weg. Zo vinden we het normaal dat de kindertoeslag- en andere affaires kunnen ontstaan en maar niet worden opgelost. Nu ja, de regering valt, maar er komt een andere (zelfde) en we gaan gewoon op de oude voet verder. Binnen overheidsorganisaties vinden we langdurig overleg, trage besluitvorming en onuitvoerbaar beleid ook normaal. De aanpak om dit serieus terug te dringen ontbreekt in ieder geval. Door Edwin Tuin Beeld Marko Aliaksandr Cultuur is als een bad warm water. Je stapt erin, went aan de temperatuur die ondertussen verder wordt opgestookt door toenemende complexiteit en eisen. Cultuur is een kracht die je kunt vergelijken Nummer 46, april 2023 95

met de zwaartekracht op aarde. Het trekt alles naar beneden zodat afwijkende meningen verdwijnen. Volgzaamheid of vertrek uit de organisatie liggen in het verschiet. Zo worden de blijvers als het ware gekookt als kikkers in een bad heet water waarin je verlamd raakt en niet meer uitspringt. Voorbode van gedoe Digitalisering wordt doorgaans nog top-down en expertmatig benaderd. Een illustratie van deze werkwijze is het beeld van een boom met vogels waarvan de takken worden gesnoeid. De vogels vliegen op en landen na de snoeibeurt op een van de overgebleven takken. Ze strijden om een nieuw (schaars) plekje en zingen daarna weer hetzelfde liedje. Digitalisering schudt een organisatie op waarna, ondersteund door een ander informatiesysteem, hetzelfde gedrag met dezelfde problemen terugkeert. Die top-down aanpak richt zich op functielijnen, informatiestromen, lagen van verantwoordelijkheid maar laten de cultuur en het dagelijkse gedrag ongemoeid. Uiteraard wordt bij digitalisering uitgegaan van de informatiebehoefte van medewerkers, maar beleidsambtenaren en experts met eigen belangen en op grote afstand van de praktijk bepalen uiteindelijk hoe informatiesystemen moeten werken. Dat is een voorbode van gedoe. Niets maakt het voor toekomstige gebruikers makkelijker om verandering te traineren en digitalisering te laten mislukken. Niet te weerleggen redenen te over: het plan was slecht, deadlines onhaalbaar, functionaliteit onvoldoende, de communicatie liet te wensen over en de training was ondermaats, om er maar een paar te noemen. Het leidt tot niets anders dan mislukte implementaties, frustratie en gemist potentieel. En de burger wordt er al helemaal niet beter van. Change management als medicijn Succes is kwaliteit x acceptatie en in de acceptatie zit de crux. Twee vragen worden nooit aan gebruikers gesteld. Ten eerste of een informatiesysteem klaar is voor implementatie en ten tweede of gebruikers klaar zijn voor het nieuwe informatiesysteem. Dat is het domein van een stuurgroep op afstand met een abstract beeld van de situatie en waar tijd en geld doorgaans belangrijker zijn dan kwaliteit en acceptatie. De oplossing daarvoor wordt doorgaans gezocht in change management. Change management moet ervoor zorgen dat verande96

ringen, zoals nieuwe informatiesystemen, door de medewerkers, de zogenaamde targets, worden geaccepteerd. Ik zeg weleens gekscherend en prikkelend over change management: “medewerkers laten doen waar ze eigenlijk geen zin in hebben”. Daarvoor wordt dan een hele batterij aan ambassadeurs, sponsors, coaches en andere (externe) managers en begeleiders in het leven geroepen. Bij mij roept dat het beeld op van de organisatie als patiënt die voortdurend met behulp van medicatie (change management) in leven en functionerend wordt gehouden. Echter hoe goed bedoeld ook, change management is geen compensatie voor een aanpak en oplossing die medewerkers niet in beweging brengt. Dubbel negatief Hoe moet het dan wel? Zo vraagt u zich wellicht af. Die vraag is niet eenvoudig te beantwoorden. Iedere situatie heeft weer zijn eigen aanpak. De crux voor succesvol veranderen en digitaliseren zit allereerst in een systemische en integrale aanpak van de ‘harde’ (structuur, IT-systeem, et cetera.) met de ‘zachte’ kant (cultuur, mindset, gedrag) van verandering. Nog te vaak wordt cultuur- en gedragsverandering los van digitalisering en andere organisatieveranderingen opgepakt. Dat leidt tot leuke sessies over waarden, persoonlijkheidskenmerken en voorkeurstijlen, maar op de werkvloer en dagelijkse praktijk heerst weer de aloude cultuur met gewenst gedrag. Dat werkt dan dubbel negatief. Zo gaat ten eerste tijd verloren aan cultuur- en gedragsverandering dat ten tweede ook nog eens de motivatie ondermijnd omdat échte verandering uitblijft. Medewerkers worden zo vanzelf verandermoe, haken af of vertrekken uit de organisatie. Energiesysteem Cruciaal voor succesvolle verandering is energie, want zonder energie kan beweging niet ontstaan en niet worden veranderd. Een organisatie moet daarom worden beschouwd als een energiesysteem met medewerkers als energiebronnen. Medewerkers hebben energie en die moet wordt opgewekt, gericht, gebundeld en verrijkt zodat mensen gemotiveerd blijven en kunnen groeien. Waar moet je beginnen? Meten is weten. Iedere digitalisering of andere verandering zou moeten beginnen met het meten van de veranderkracht in dat energiesysteem. Te denken valt aan significante meetpunten die het systeem afdekken, zoals de kwaliteit van doelstellingen, aanwezigheid van benodigde competenties en commitment op plannen. Daardoor kan de dynamiek in het organisatiesysteem worden geduid en symptomen van problemen worden gescheiden. Vervolgens kun je de dialoog daarover aangaan en gericht de zwakste schakels in dat systeem versterken zodat verandering succesvoller verloopt. Beleidsambtenaren en experts met eigen belangen en bepalen uiteindelijk hoe informatiesystemen moeten werken. Een voorbode van gedoe Edwin Tuin van adviesbureau De Veranderstrateeg. In maart verscheen zijn nieuwe boek “Mensen boven Macht”, over het benutten van de energie van medewerkers voor succesvolle organisatieverandering. Nummer 46, april 2023 97

n tien jaar tijd dertien nieuwe verordeningen vanuit Brussel. Voor wie denk dat het allemaal wel mee zal vallen: in 2018 trad de AVG in werking, de Algemene verordening bescherming persoonsgegevens. Dat leek in eerste instantie een Brussels feestje. Vervolgens werden Nederlandse overheden overvallen door de gevolgen ervan. Nog steeds is kennis van de AVG in de praktijk bedroevend. Gecombineerd met de angst voor sancties vormt dit een serieuze belemmering voor een open overheid. Zo liep onderzoek naar de oversterfte in Nederland in 2022 zes maanden vertraging op, omdat RIVM en GGD’en dachten dat zij de gevraagde gegevens niet mochten delen. Het is maar een voorbeeld van hoe de AVG te pas en te onpas als argument wordt gebruikt om iets (meestal niet) te doen. Iedere gemeente zal haar eigen voorbeelden hebben. I Dertien AVG’s Brussel werkt nu aan dertien verordeningen die allemaal rond 2026 actief moeten worden. Dat betekent dat als we niets doen, we in 2026 dertien AVG-deksels op de neus krijgen. De dertien wetten, zoals we ze voor het gemak noemen, staan niet op zich. Ze zijn ondergebracht in acht categorieën omdat ze onderling samenhang hebben. Een wet kan impact hebben op security, communicatie, organisatiebesturing en control, organisatietoezicht en handhaving, personeel, administratieve organisatie, informatievoorziening en/of juridische zaken. Ze moeten daarom in samenhang worden bekeken. 98 Digital Decade (digitaal decennium) is een Europees programma dat als gids moet dienen voor de digitale transformatie van de Europese Unie in tijden van verschuivende geopolitiek. Aan de grondslag hiervan ligt veel wet- en regelgeving. Voor 2030 moeten gemeenten, Nederland en Europa een flink aantal concrete resultaten behalen en daarom voert de EU dertien nieuwe verordeningen in. Hoe houden wij de teugels in eigen hand? Door Karina Meerman De digitale teugels in eigen hand: Europa en de Digital Decade Digitale rechten De landen in de Europese Unie delen een mensgerichte, duurzame visie op een digitale samenleving. De digitale transformatie die daarbij hoort gaat over veel meer dan het gebruik van technologie. Ze gaat ook over rechten van mensen: het veilig kunnen bijdragen aan de samenleving, de benodigde digitale vaardigheden hebben om mee te doen, de bescherming van privacy en toegang tot digitale diensten voor ons allemaal. De wetten en verordeningen bieden burgers een referentiekader voor hun digitale rechten, en EU-lidstaten en bedrijven richtsnoeren voor het omgaan met nieuwe technologieën. Een groter schaakbord Naast de AVG zijn al meer wetten actief die bij het digitale decennium horen, onder meer de Cybersecurity Act, Single Digital Gateway en PSD2. De weten regelgeving is bedoeld om iedereen in de EU te helpen optimaal te profiteren van de digitale transformatie. Tegelijkertijd is digitalisering een sturingsinstrument waar we regie over moeten nemen. Digitalisering is een spel dat op mondiaal niveau wordt gespeeld. Alleen wanneer we op Europese schaal samenwerken kunnen we daadwerkelijk impact maken om het leven in Europa te verbeteren en de volle potentie van nieuwe technologie door middel van digitalisering te benutten. Ons schaakbord is groter geworden dan Nederland en Brussel, wat we zo gewend waren. We schaken met de VS, China, Rusland, Brazilië, de rest van de wereld. De regels worden nu aangepast om Europa klaar te stomen voor een toekomst waarin we in diezelfde competitie spelen, maar op onze eigen voorwaarden

VNG Realisatie Illustratie gegeneerd met DALL­E 2 met de zoektermen “an illustration about the digital transformation of the internet with a sun dawn”. van een mensgerichte samenleving. Willen we nog enige rol van betekenis hebben in de geopolitiek van de toekomst, dan moeten we op tijd actie ondernemen. Aanhakende gemeenten “Het is belangrijk dat gemeenten aangehaakt zijn bij de ambities van de Digital Decade. Zodat ze zich niet laten overvallen door wat er vanuit Europa op ons afkomt. Belangrijker is nog dat de wetten die eraan komen gemeenten concrete handvatten bieden om met de kansen en risico’s van digitale technologie om te gaan, en met de ontwikkelingen in de informatiesamenleving. Zoals het verantwoord inzetten van algoritmes”, zegt Nathan Ducastel, beleidsdirecteur Informatiesamenleving VNG en directeur VNG Realisatie. Interbestuurlijke strategie De verantwoordelijkheid om actie te nemen ligt niet alleen bij gemeenten. De wetten raken aan lokale en landelijke voorzieningen. Daarom is een interbestuurlijke strategie nodig, waarin ook digitale infrastructuur, beleidsdomeinen en Ons schaakbord is groter geworden dan Nederland en Brussel, wat we zo gewend waren Nummer 46, april 2023 organisaties zijn meegenomen op lokaal, regionaal en nationaal niveau. De VNG gaat de weg voorbereiden en komt nog dit jaar met een actieplan. Ducastel: “We willen als openbaar bestuur regie hebben op de inzet van nieuwe digitale technologie, zodat we deze in een maatschappelijk verantwoorde richting kunnen sturen. Aansluiten bij de ambities van de Digital Decade is daarvoor belangrijk. Daarom gaan we gemeenten hierbij ondersteunen.” Uiteraard kunnen gemeenten bij de VNG aankloppen voor meer informatie. Neem contact op via levenineuropa@vng.nl. Meer lezen over de Digital Decade? De website van de EU is een goede start: https://commission.europa.eu/strategyand-policy/priorities-2019-2024/europe-fitdigital-age/europes-digital-decade-digitaltargets-2030_nl 99

Publieke dienstverleners trekken aan de bel Complexe wetgeving en stapeling van beleid zijn de grootste knelpunten voor burgers, ondernemers en publieke dienstverleners. Dat is de belangrijkste conclusie in de ‘Staat van de Uitvoering’ die op 18 januari werd aangeboden aan de Tweede Kamer. et is de eerste keer dat publieke dienstverleners gezamenlijk een Staat van de Uitvoering maken. Hierin benoemen ze problematiek in de beleidsuitvoering, met als doel om overheidsdienstverlening te verbeteren en daarmee uiteindelijk het vertrouwen van burgers in de overheid te vergroten. “Deze Staat van de Uitvoering is het eerste rapport vanaf de werkvloer, van en door de publieke dienstverleners zelf. Niet van buiten naar binnen, maar van binnen naar buiten”, zegt Abdeluheb Choho, algemeen directeur Rijksdienst voor Ondernemend Nederland en voorzitter van de stuurgroep van de Staat van de Uitvoering. H Een betere overheidsdienstverlening ICTU organiseerde het programma dat deze eerste brede monitor van de uitvoering samenstelde. Ester Baauw, programmamanager Staat van de Uitvoering en werkzaam bij ICTU, over het doel: “Er gaat in Nederland heel veel goed in de publieke dienstverlening. Maar door 100 complexe wetgeving lopen burgers en ondernemers soms vast in het systeem en als het dan misgaat, dan zijn de gevolgen vaak schrijnend. Met de Staat van de Uitvoering willen we bijdragen aan het verbeteren en toekomstbestendig maken van de overheidsdienstverlening.” Het hele verhaal Voor de Staat van de Uitvoering werd geput uit de Standen van de Uitvoering en de knelpuntenrapporten die uitvoeringsorganisaties zelf maken. Dat waren er 38 in totaal, van instanties zoals de Belastingdienst, Kadaster en UWV. Daarnaast heeft het programma veel ondersen overheid en burgers en ondernemers, maar naar de hele keten erachter.” Grootste knelpunt Complexiteit blijkt het grootste knelpunt bij publieke dienstverlening, zo is een algemene conclusie van de Staat van de Uitvoering. Choho: “Er zijn zoveel regels en regelingen, verfijningen en uitzonderingen, stapelingen en reparaties, dat niet alleen burgers maar ook dienstverleners vaak door de bomen het bos niet meer zien.” Het gaat om complexiteit van wetgeving en de stapeling van beleid, vertelt Baauw: “De tijdelijke commissie Uitvoeringsorganisaties concludeerde dat Er zijn zoveel regels en regelingen, verfijningen en uitzonderingen, stapelingen en reparaties zoeken uitgevoerd en laten uitvoeren door wetenschappers en onafhankelijke bureaus. Onder meer over data en ethiek, organisatiecultuur en vergelijkend onderzoek naar de publieke dienstverlening in andere landen. Baauw: “In deze eerste Staat van de Uitvoering legden we de focus op goede en toegankelijke dienstverlening aan burgers en bedrijven. We hebben gekeken naar het hele verhaal, dus niet alleen de directe contacten tusin 2021 ook al, in haar rapport ‘Klem tussen Balie en Beleid’. Sinds die tijd is het probleem echter niet kleiner geworden, het lijkt zelfs gegroeid.” Belangrijke constateringen in de Staat van de Uitvoering zijn verder dat het werk in een deel van de uitvoering steeds arbeidsintensiever wordt, terwijl de personeelstekorten groeien. De uitvoering van beleid wordt daarnaast bemoeilijkt door moeizaam verlopende gegevensuitwisseling tussen

ICTU Abdeluheb Choho, algemeen directeur Rijksdienst voor Ondernemend Nederland en voorzitter van de stuurgroep van de Staat van de Uitvoering, overhandigt de eerste Staat van de Uitvoering aan Tweede Kamervoorzitter Vera Bergkamp. organisaties en verouderde IT-systemen. Bovendien speelt uitvoerbaarheid nog steeds een ondergeschikte rol bij het formuleren en aanpassen van beleid door politiek en departementen. Samenwerking beleid en uitvoering De bevindingen leiden tot een vijftal oproepen aan beleid en politiek. Zoals een oproep om te beginnen met complexiteitsreductie en een oproep om de uitvoering vanaf het begin bij beleidsvorming te betrekken. De wisselwerking en samenwerking tussen beleid en uitvoering waren belangrijke onderdelen van de totstandkoming van de Staat van de Uitvoering, vertelt Baauw: “We organiseerden een groot aantal bijeenkomsten voor publieke dienstverleners en beleidsmakers. Ze reflecteerden op de Nummer 46, april 2023 onderzoeksresultaten en dachten mee over het duiden van de resultaten en de te formuleren oproepen. Ik vind deze sessies voorbeelden van een mooi aspect van de Staat van de Uitvoering: het bij elkaar brengen van verschillende partijen om gezamenlijk inzichten te delen en te verdiepen.” Choho vult aan: “We pleiten ervoor om de zeer onpraktische scheiding tussen beleid en uitvoering op te heffen. Laten we samen verantwoordelijkheid nemen voor het geheel. Niet als de wet of regeling er al ligt, maar vanaf het begin. Laten we samenwerken van idee tot uitwerking, van de opgave tot de uitgave en van de tekentafel tot het loket.” Bouwen aan vertrouwen Wat hopen Baauw en Choho dat de Staat van de Uitvoering oplevert? Baauw: “Ik hoop dat er een beweging op gang komt, waarbij het onderliggende systeem echt wordt aangepakt, zodat dat minder complex wordt. Het is belangrijk dat daarbij uitvoering, politiek en beleid samenwerken.” Choho concludeert: “Het uiteindelijke doel van de Staat van de Uitvoering is dat wij gezamenlijk, de politiek, beleidsmakers en uitvoeringsorganisaties, de publieke dienstverlening voor burgers en ondernemers verbeteren. En dat daardoor het vertrouwen in de overheid toeneemt.” De Staat van de Uitvoering is te vinden op de website van het programma: staatvandeuitvoering.nl 101

De informatiehuishouding van de overheid verdient een nieuwe benadering. Uitvoeringsorganisaties gebruiken doorgaans honderden systemen die aan elkaar zijn gekoppeld, waarvan sommigen uit de jaren ‘80 stammen. Een jaarlijks uitdijende waaier aan regelgeving wordt vertaald in aanpassingen van de informatiesystemen. Dat geldt voor het Rijk, maar ook voor provincies en gemeenten. Jaarlijks geven we miljarden uit aan de ontwikkeling en het beheer van ICT-systemen. Het is de vraag of de huidige informatiesystemen en organisatievormen nog passend zijn bij de informatiesamenleving waar we anno 2023 in leven. De informatiehuishouding van de toekomst Inspiratie uit de natuur D e tijd is rijp om vraagstukken op het gebied van informatie en organisatie op een fundamenteel andere manier te benaderen. Vanuit een systemische blik is de informatierelatie tussen individu en collectief niet nieuw. We kunnen ons laten inspireren door biologische processen en structuren in ons lichaam. Als je nauwkeurig kijkt dan blijkt het functioneren van het menselijk lichaam gebaseerd te zijn op een ingenieus stelsel van informatieoverdrachtprocessen tussen individuele onderdelen. De informatiehuishouding van het lichaam heeft een organiserend en aanpassend vermogen dat inmiddels miljoenen jaren aan innovatie achter de rug heeft. Elke seconde vinden er in ons lichaam talloze interacties plaats tussen moleculen zoals eiwitten, hormonen en het DNA. Tezamen met het zenuwstelsel vormen ze fundamentele bouwblokken voor informatierelaties in ons lichaam. Biologisch bepalen ze grotendeels ons doen en laten. Door Irene Nooren en Guido Enthoven Beeld Natykach Nataliia, Designua 102 Wat kan dit betekenen de informatiehuishouding van het Rijk of van een grote gemeente? Welke lessen kunnen we hieruit trekken voor de manier waarop we onze organisaties en samenwerkingsprocessen hebben ingericht? En wat zijn de implicaties hiervan voor ons denken over informatieoverdracht en aanpassingsvermogen als samenleving? Er zijn minstens drie fundamentele lessen die we kunnen leren van ons eigen lichaam.

Podium 1. Neem signalen uit de haarvaten buitengewoon serieus E en lichaam kan zich snel aanpassen. Een verandering van temperatuur wordt door eiwitten in de huidcellen gevoeld, en leidt door signalen via de zenuwen en de hersenen tot een verhoging van bloedcirculatie waardoor je meer gaat zweten. Het is als een mini-samenleving van eiwitten waarin de relaties onderling zorgen voor communicatie en aanpassend vermogen, terwijl het DNA fungeert als kennisinfrastructuur. Wat we kunnen leren van het lichaam is de aanwezigheid van sensoren die de omgeving monitoren en het bestaan van feedbackmechanismen en communicatienetwerken die leiden tot snelle en noodzakelijke aanpassingen. Hierdoor vindt het lichaam telkens een nieuwe balans (homeostase). De informatierelatie tussen samenleving en politiek kan gebaseerd worden op de werking van signaleringsnetwerken in het lichaam. Ze zorgen bottomup voor snelle en noodzakelijke aanpassingen in beleid. Vanuit deze biologische achtergrond is het belangrijk om de feedback van burgers en de signalen uit de haarvaten van de uitvoeringspraktijk buitengewoon serieus te nemen. Het is ook verstandig om burgers, bedrijven en maatschappelijke organisaties met relevante kennis en ervaring veel nadrukkelijker bij de besluitvorming te betrekken. Technologische ontwikkelingen zoals AI kunnen een belangrijke rol vervullen in het in kaart brengen van Feedbackmechanismen en communicatienetwerken die leiden tot snelle aanpassingen de behoeften en belangen van de gemeenschap en de koppeling naar besluitvormingsprocessen. De koppelingen tussen de relatienetwerken en het gebruik van standaarden in communicatie zijn cruciaal om efficiëntie te bereiken. Zo zouden bijvoorbeeld behoeften en knelpunten in de jeugdzorg in een wijk direct gemeld kunnen worden om nationaal beleid aan te passen. Nummer 46, april 2023 103

2. De overheid vormt het collectief geheugen en is van ons allemaal e metafoor van het brein wordt vaak gebruikt voor de overheid als controlecentrum. Het brein en het zenuwstelsel zijn daarin coördinator van signalen en een snelweg voor communicatie. De rol van de overheid is faciliterend en coördinerend voor het in balans houden van de samenleving. De overheid beheert de kennis- en samenwerkingsinfrastructuur waarmee het de effectiviteit in samenlevingsprocessen faciliteert. In de analogie van het menselijk lichaam is de overheid van en voor iedereen. De governance D is dus niet hiërarchisch maar wordt vormgegeven door het samenspel tussen burgers, gemeenschappen, bedrijven en overheid. De politieke structuur in de samenleving is het geheel van reguleringsmechanismen zoals feedback-loops en informatieoverdracht tussen burgers en gemeenschappen. Iedere burger is in contact met het regulerende netwerk. Het politieke systeem kan profijt hebben van informele structuren zoals sociale netwerken en relaties tussen individuen en groepen. Het betrekt daarmee expertise en 3. Zorg voor een betere verbinding tussen besturingslagen H et menselijk lichaam heeft 79 organen en 30 biljoen cellen, met 42 miljoen eiwitten die per cel rondzwermen en verantwoordelijk zijn voor processen waaronder communicatie en regulering. Deze gemeenschap van moleculen en cellen is hiërarchisch gelaagd georganiseerd. Dit sluit aan bij de wijze waarop de besluitvorming in ons land is georganiseerd. Het Huis van Thorbecke bestaat uit drie bestuurslagen: Rijk, provincies en gemeenten. De koppeling tussen deze bestuurslagen verdient meer aandacht. Zie de recente ervaringen met de decentralisatie van de jeugdzorg, of de toenemende roep om meer nationale regie in de ruim104 telijke ordening. De provinciale staten en gemeenteraden hebben een taak om sensorische signalen van burgers voor aanpassing van beleid op te pikken. Juist omdat beleid contextafhankelijk is, zullen lokale overheden een grotere rol moeten spelen in de communicatiekanalen met burgers. Op verschillende niveaus zou integraal informatiemanagement in processen en netwerken voor de verbinding met burgers moeten zorgen. Burgers en overheid zijn verbonden in een decentrale kennisinfrastructuur waarin informatie beschikbaar is voor iedere situatie en het collectieve geheugen wordt opgebouwd.

Podium ervaringskennis en verbindt zich met de cultuur van de samenleving. De informatiehuishouding vormt het collectieve geheugen van de samenleving als geheel zoals het DNA en het brein dit zijn voor het menselijk lichaam. Deze gedeelde kennisinfrastructuur vormt de ruggengraat in democratische processen. Voor jeugdzorg betekent dit dat betrokken burgers, gemeenten en maatschappelijke instanties toegang hebben tot en kunnen bijdragen aan kennis en beleid op dit gebied. Maatschappelijk lerend systeem Tot slot. De overheid staat voor de grote opgave om haar informatiehuishouding op orde te brengen. Er zal fundamenteel moeten worden nagedacht over nieuwe ontwerpen. Het is moeilijk voor te stellen dat we onze processen van informatieverwerking en besluitvorming radicaal anders zouden kunnen ontwerpen, maar de natuur kan met eeuwenoude concepten houvast bieden. De adoptie van algemeen natuurlijke principes in informatiehuishouding, geïnspireerd door de werking van het menselijk lichaam, draagt bij aan een duurzaam maatschappelijk lerend systeem. Dit sluit aan bij het lerende en adaptieve karakter dat als visie werd geschetst in het rapport ‘De informatiehuishouding van het Rijk in 2030’.1 De overheid als geheel vormt dan het collectieve geheugen en de kennisinfrastructuur die toegankelijk is voor maatschappelijke organisaties, bedrijven en burgers. De informatiehuishouding is de ruggengraat van de politieke structuur waarin burger en overheid zich verhouden. Arre Zuurmond, regeringscommissaris Informatiehuishouding, constateerde naar aanleiding van het actieplan informatiehuishouding Rijksoverheid dat er aan een nieuw huis bovenop het huidige fundament gewerkt zal moeten worden.2 Dit biedt bijzondere kansen voor een doelarchitectuur, gebaseerd op natuurlijke principes voor de informatiehuishouding. Het zou inzichtelijk moeten maken welke informatie beschikbaar moet zijn om wendbaar te kunnen zijn. Er ontstaat dan een nieuw sociaal evenwicht in de samenleving doordat de informatiekanalen tussen burger en overheid worden ingericht op het optimaal benutten van feedback. Met natuurlijke waarden en principes wordt daarmee de basis gelegd voor een maatschappelijk lerend systeem. Irene Nooren is bio-informaticus en strategisch adviseur bij SURF. Guido Enthoven is bestuurskundige en directeur van het Instituut Maatschappelijke Innovatie. 1. Future Lab. De informatiehuishouding van het Rijk in 2030. https://www.informatiehuishouding.nl/ Producten+%26+publicaties/rapporten/2020/04/21/ de-informatiehuishouding-van-het-rijk-in-2030 2. Informatiehuishouding.nl. Nieuwsbericht 23-11-2022, https://www.informatiehuishouding.nl/actueel/ nieuws/2022/11/23/nieuw-huis Nummer 46, april 2023 105

agenda/c o l o f o n April 12 april NL AI Congres 2023 www.nlaic.com 20 april 20 april Dag van de Digitale Provincie www.ibestuur.nl Keukentafelsessie regeringscommissaris Informatiehuishouding www.ibestuur.nl Mei 1 mei Juni 7 juni 9 juni 27 en 28 juni Ontbijtbijeenkomst 1 jaar Woo www.ibestuur.nl Congres Overheid 360° www.overheid360.nl Hoe volwassen is GovTech in Nederland? www.govtechday.nl PublicSpaces conferentie 2023 www.publicspaces.net Een abonnement of online only-abonnement op iBestuur? ibestuur.nl/service En ontvang elke week de iBestuur nieuwsbrief in uw inbox: ibestuur.nl/nieuwsbrief 106 iBestuur magazine, april 2023 Onafhankelijke uitgave van Sijthoff Media Redactieadres iBestuur magazine Capital C, 4e etage Weesperplein 4A 1018 XA Amsterdam redactie@ibestuur.nl Redactie Arnoud van Gemeren (content & community director), Quita Hendrison (plv hoofdredacteur), Heleen Hupkens (content manager online) Ontwerp Blinkerd Vormgeving Hage Grafische Vormgeving Medewerkers Willem Bantema, Anna Bartelds, Pieter van den Brand, Erik Bouwer, Pieter Burghouwt, Afelonne Doek, Guido Enthoven, Frans van Ette, Sjoerd Hartholt, Jurjen Jansen, Minke-An Jullens-Ligeon, Emiel Kerpershoek, Sander Klous, Karina Meerman, Jeroen Mol, Bernold Nieuwesteeg, Irene Nooren, Peter Olsthoorn, Cyriel van Rossum, Marcel Spruit, Edwin Tuin, Piek Visser-Knijff, Sophie in ‘t Veld, Pieter Verbeek, Marieke Vos, Herman Wagter, Els Wiegant Fotografie cover Lex Draijer/De Beeldredaktie Druk Damen Drukkers Adverteren en media-advies Marcel van der Meer: marcelvandermeer@ibestuur.nl, 06 23 16 88 72 Sandra de Vries: sandradevries@ibestuur.nl, 06 46 28 51 31 Abonnement Een iBestuur magazine-abonnement is gratis voor bestuurders, beslissers en beleidsmakers binnen de publieke sector die betrokken zijn of zich betrokken voelen bij de i-overheid. Geïnteresseerden die niet tot die doelgroep behoren betalen 70 euro voor een jaarabonnement van vier nummers. iBestuur alleen digitaal ontvangen kan ook: een online only-abonnement kost 29 euro per jaar (vier edities). Abonneren kan via ibestuur.nl/service. iBestuur wordt mede mogelijk gemaakt door: Amazon Web Services, Blueriq, Capgemini, Centric, Deloitte, Microsoft, Salesforce, Tanium, TCS en door CIP, ICTU, VNG Realisatie, ministerie van Binnenlandse Zaken en Koninkrijksrelaties, ministerie van Justitie en Veiligheid Alle rechten voorbehouden. Behoudens de door de Auteurswet 1912 gestelde uitzonderingen, mag niets uit deze uitgave worden verveelvoudigd (waaronder begrepen het opslaan in een geautomatiseerd gegevensbestand) en/of openbaar gemaakt, zonder voor- afgaande schriftelijke toestemming van de uitgever. i estuur Onafhankelijk kwartaalmagazine voor de iOverheid. Nummer 46, jaargang 13, april 2023 m ai Tweede Kamer focust op risico’s staat van de uitvoering Groeimodel om te informeren, agenderen en inspireren RIKKY VAN OSCH, NIEUWE VOORZITTER ACICT ‘Overheden moeten ons zien als die kritische vriend’

Blueriq voor de overheid Word jij ook blij als je écht persoonlijk geholpen wordt? Dienstverlening die snel en adequaat is, met menselijke maat. Met een dynamisch zaaksysteem maken we dit mogelijk. We zorgen dat je kunt aansluiten op de persoonlijke situatie van elke klant, zonder in te leveren op efficiëntie, veiligheid en compliance. En maken het mogelijk om je zaaksysteem snel en eenvoudig te updaten als dat nodig is door nieuwe wetten of regels. Zo heb jij meer tijd om te doen waar het echt om gaat: je klanten écht helpen. Benieuwd naar de mogelijkheden van een dynamisch zaaksysteem? Bekijk onze website of neem contact op met één van onze experts. www.blueriq.com/overheid Trots op onze samenwerking met o.a.: Make it personal

‘TIJD OM TE KIEZEN’ Vrijdag 9 juni 2023 TU Delft GovTech voor betere dienstverlening – hoe goed doen we het? Volgens Stephen Davenport, GovTech specialist bij de Worldbank, en Nitesh Bharosa, hoogleraar GovTech and Public Service Innovation aan de TU Delft, kan er nog wel een schepje bovenop. Ze verzorgen allebei een keynote tijdens de GovTech Day op 9 juni a.s. The good, the bad and the ugly Nitesh Bharosa gaat in op de opkomst van GovTech. Hij zal voorbeelden bespreken van ‘the bad’, zoals het burgervolgsysteem in China, en ‘the ugly’, waaronder de ‘Toeslagenaffaire’. Ook belicht hij de zoektocht naar ‘the good’, waarvoor publiek-private samenwerking en co-creatie met kennisinstellingen en burgers essentieel zijn. GovTech-volwassenheid van Nederland Wat kunnen we leren van de GovTech Maturity Index? Deze Index vergelijkt de GovTech-volwassenheid van nationale overheden. Hoe brengt Nederland het ervan af ten opzichte van vergelijkbare landen? Stephen Davenport, verantwoordelijk voor het dossier GovTech bij de Worldbank, pakt 9 juni a.s. de meest recente cijfers erbij op de GovTech Day. Kijk voor het volledige programma op GOVTECHDAY.NL I.S.M.

1 Online Touch

Index

1. 1
2. 2
3. 3
4. 4
5. 5
6. 6
7. 7
8. 8
9. 9
10. 10
11. 11
12. 12
13. 13
14. 14
15. 15
16. 16
17. 17
18. 18
19. 19
20. 20
21. 21
22. 22
23. 23
24. 24
25. 25
26. 26
27. 27
28. 28
29. 29
30. 30
31. 31
32. 32
33. 33
34. 34
35. 35
36. 36
37. 37
38. 38
39. 39
40. 40
41. 41
42. 42
43. 43
44. 44
45. 45
46. 46
47. 47
48. 48
49. 49
50. 50
51. 51
52. 52
53. 53
54. 54
55. 55
56. 56
57. 57
58. 58
59. 59
60. 60
61. 61
62. 62
63. 63
64. 64
65. 65
66. 66
67. 67
68. 68
69. 69
70. 70
71. 71
72. 72
73. 73
74. 74
75. 75
76. 76
77. 77
78. 78
79. 79
80. 80
81. 81
82. 82
83. 83
84. 84
85. 85
86. 86
87. 87
88. 88
89. 89
90. 90
91. 91
92. 92
93. 93
94. 94
95. 95
96. 96
97. 97
98. 98
99. 99
100. 100
101. 101
102. 102
103. 103
104. 104
105. 105
106. 106
107. 107
108. 108

Home