i estuur Onafhankelijk kwartaalmagazine voor de iOverheid. Nummer 48, jaargang 13, oktober 2023 cyber solidarity act EU werkt aan pan-Europese cyberveiligheid digitalisering defensie Tweede worden heeft geen zin DGDO EVA HEIJBLOM ‘Minister voor digitalisering mét bevoegdheden en mandaat’
TRENDS IN VEILIGHEID 2023 INNOVATIE IN EEN WEERBARE DIGITALE SAMENLEVING In deze 13e editie van ons Trends in Veiligheid-rapport beschrijven we trends op technologisch vlak en verbinden we die vanuit onze kennis en ervaring aan actuele ontwikkelingen in het veiligheidsdomein. We beschrijven hoe het veiligheidsdomein balanceert tussen realisatie, sturing en weerbaarheid op het gebied van data. Het rapport biedt een vernieuwende kijk op veiligheidsvraagstukken. Dit doen we door een brug te slaan tussen de actualiteit en onze visie op de toekomst. Download ons meest recente Trends in Veiligheid-rapport of vraag een exemplaar aan via: www.capgemini.nl/trendsinveiligheid
the chief Ter inspiratie vroeg ik ChatGPT een redactioneel te schrijven over de noodzaak van een overheidsbreed beleid op het gebied van digitalisering, meer concreet: een ministerie van Digitalisering. Om het wat pittig te maken liet ik het in de stijl van W.F. Hermans schrijven. ChatGPT had er lol in. Er vielen termen als ‘grotesk’, ‘afschrikwekkend’ en ‘onbezonnen’. Leuk om te lezen, maar niet wat ik wilde zeggen. Toch maar weer zelf aan de slag en binnenkort een cursus ‘prompts schrijven’ volgen. Het lijkt of alle stukken inmiddels klaarstaan om een minister van Digitalisering aan het schaakbord te laten aanschuiven. Dat op zichzelf is geen reden om een ministerie op te richten. Wat dan wel? In de beginjaren was IT een interne, facilitaire functie. Inmiddels is digitalisering over de muren van de organisatie heen gestroomd. Het beïnvloedt de samenleving en heeft een enorme invloed op het functioneren van de overheid. De consequenties daarvan zijn nog niet genomen. Digitalisering zit nog gevangen in silo’s, zo je wilt in het Huis van Thorbecke. Dat moet afgelopen zijn. Eva Heijblom trekt in het coverinterview van dit nummer de vergelijking met het ministerie van Financiën, dat in het kader van de begroting bepaalde bevoegdheden heeft. Een aardige denkoefening zou zijn om je voor te stellen dat de overheid haar financiën net zo zou aanpakken als nu digitalisering… Hoog tijd dat we de noodzaak onderkennen om digitalisering een ministersplek aan de kabinetstafel te geven. Arnoud van Gemeren arnoudvangemeren@ibestuur.nl Nummer 48, oktober 2023 3
68 20 6 16 4 ‘Een minister voor digitalisering mét bevoegdheden en mandaat’ Eva Heijblom, DG Digitaliseren en Overheidsorganisatie ‘Onze toegevoegde waarde is de overkoepelende blik’ Directie Coördinatie Algoritmes EU werkt aan pan-Europese cyberveiligheid Samen werken aan meer verdediging iBestuur Congres 2023: De Verbeelding • Verbeeldingsdebat: Digitalisering is niet demissionair • Gebruik red teaming om de digitale dijken te verhogen • Geef burgers waar ze recht op hebben • Persoonlijke terugblikken • Generatieve AI: ‘Voorwaarts, maar niet roekeloos experimenteren’ • iBestuur Congres in uw eigen tijd: bekijk de sessies online congres 2023 Vertrekpunt: identiteit Eindpunt: de e-wallet EC voelt hete adem big tech Slagkracht behouden om legacy te saneren Uitvoeringsorganisaties 60 12
in dit nummer 72 90 Podium Partners Microsoft [46], Centric [48], TCS [50], Salesforce [52], Thinkwise [54], Amazon Web Services [76], Capgemini [78], Blueriq [80], Deloitte [82], AnyLinQ [84] Nummer 48, oktober 2023 De digitalisering van Defensie ‘In een conflict heeft het geen zin om tweede te worden’ ‘De Omgevingswet is geslaagd als we het er niet meer over hebben’ Hoe staat de implementatie ervoor? Orde en structuur in de informatieberg Kamerleden Rahimi en Dekker-Abdulaziz over informatiehuishouding Afscheidsinterview Hans de Vries ‘Ik hoop dat het nieuwe kabinet flink investeert in cybersecurity’ • Zorgvuldigheid geboden: digitaliseren raakt het vertrouwen in de overheid [56] • Hoe Den Haag data inzet om de stad beter te maken voor inwoners [64] • Gaat AI ons straks besturen? [94] 102 Columns Sophie in ‘t Veld [67] Piek VisserKnijff [71] Sander Klous [97] Afelonne Doek [105] 5 86
Een bèta met voorliefde voor HRM, ambitieus en voorstander van “andere manieren van werken”: Eva Heijblom is de nieuwe directeur-generaal Digitaliseren en Overheidsorganisatie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. “We kijken nadrukkelijk naar digitalisering vanuit waarden, niet vanuit technologie.” Een minister voor digitalisering? Graag. “Maar dan wel inclusief coördinerende bevoegdheden en mandaat.” Eva Heijblom, DG Digitaliseren en Overheidsorganisatie ‘Een minister voor digitalisering mét bevoegdheden en ie ochtend sprak Eva Heijblom nog een groep van 156 rijkstrainees toe over de gezamenlijke agenda binnen de Rijksoverheid. “Echt gaaf!”, zegt ze een paar uur later in het interview. Wat ze hen wenste? “Lef! Ga verbindingen aan, geef je kijk op de zaak en de manier waarop je moet werken en hoe je bejegend wordt. Zoek bij geen gehoor bij een direct leidinggevende iemand anders, een DG zoals ik bijvoorbeeld. Om daarmee het gesprek te voeren.” D Daarvoor moet de werkomgeving veilig genoeg zijn. “Zeker, dat is heel belangrijk. En het is fijn dat ik er als DG ook ben voor dat ambtelijk vakmanschap en leiderschap. Wat willen we daar nou mee de komende jaren? Wat kan anders? Er zijn te veel jonge mensen die de rijksdienst teleurgesteld verlaten, te weinig ruimte krijgen. Terwijl het ook een generatie is die we nodig hebben voor innovatie. Ik heb hen voorgehouden: ik ben 46 en heb ook veel ontwikkelingen in de digitalisering meegekregen, maar de manier waarop jullie bijvoorbeeld omgaan met digitale apps en devices is alweer compleet anders. Breng dat alsjeblieft in.” Door Rineke van Houten Beeld Hilbert Krane/De Beeldredaktie 6 Hier sprak de HR-kant van de nieuwe directeur-generaal Digitaliseren en Overheidsorganisatie van BZK, die zichzelf “eigenlijk een bèta” noemt. “Ik zeg altijd: we zijn eerst mens en dan functionaris. Dat is voor mij een belang
mandaat’ Nummer 48, oktober 2023 7
rijk motto. Om de HR voor de Rijksdienst aan te sturen, gecombineerd met de bedrijfsvoering en digitalisering, vond ik een geweldig leuke uitdaging.” De overstap naar de toren aan de Turfmarkt ervaart ze dan ook als een logische stap. Veel ervaring in de rijksomgeving deed ze op als directeur Klantcontacten en Operations bij het CAK, tegenwoordig een publiekrechtelijk zelfstandig bestuursorgaan voor de uitvoering van wettelijke taken in opdracht van Volksgezondheid, Welzijn en Sport. Na elf jaar verhuisde ze naar Landbouw, Natuur en Voedselkwaliteit, als plaatsvervangend secretaris-generaal en CIO. Op 1 juni begon ze als DG bij BZK. Wat voor soort organisatie trof u aan? We moeten minder afhankelijk worden van landen en bedrijven die onze waarden niet delen “Een organisatie met een heel groot hart voor digitalisering en dienstverlening. Met steeds meer medewerkers die beleid verder kunnen brengen en snappen wat de digitale transitie inhoudt. Ik vind iedereen heel maatschappelijk betrokken. Bij BZK kijken we nadrukkelijk naar digitalisering vanuit onze waarden, niet vanuit de technologie. Het gaat om grondrechten, democratie, veiligheid, transparantie. Een van de pijlers van onze agenda is dat iedereen moet kunnen meedoen. Ook als het niet digitaal kan moeten burgers kunnen rekenen op dienstverlening en goed contact met de overheid. Een ander voorbeeld is dat we ons druk maken over digitale kinderrechten.” U hebt zelf twee zoontjes van vier en zeven jaar. Hoe voeden jullie ze ‘digitaal’ op? “Ik ben zelf vrij restrictief met devices en online gedrag. En ik kijk mee. We hebben voorlopig geen spelcomputer in huis, maar af en toe mogen ze een spelletje doen op de iPad. Ik zie dat er reclame voorbijkomt en vind dat er een verbod moet komen op lootboxes [digitale verrassingspakketjes die je in games kunt kopen red.]. Ik hecht zeer aan educatie aan jonge kinderen op school over de digitale wereld. En natuurlijk moeten kinderen van jongs af aan leren programmeren.” Ze pakt haar aantekeningen er weer bij. “Terugkomend op de organisatie BZK: daar is de afgelopen tijd ook veel geïnvesteerd in samenwerking. Met medeoverheden, maatschappelijke partners, wetenschap en bedrijfsleven. In een beweging naar open en transparant werken, eerder in het beleidsproces.” Kunt u daar een voorbeeld van geven? “De e-wallet. Als het goed is komt in het eerste kwartaal van het volgend jaar de eerste versie uit. Maar ook een algoritmeregister, waarop iedereen met hoog risico-algoritmes moet aansluiten. En vergeet niet dat we nu al sinds januari 2022 met Alexandra van Huffelen een staatssecretaris Koninkrijkszaken en Digitalisering hebben. Zij heeft digitalisering in Nederland, Europa maar ook op het internationale speelveld veel beter op de kaart gezet.” Zou er geen minister voor digitalisering moeten komen? “De samenleving vraagt van de overheid en de politiek om meer grip op digitalisering en uniforme wet- en regelgeving en toezicht. Daarvoor is meer doorzetting en aanwijzingsbevoegdheid nodig. Er is al meer interbestuurlijke samenwerking en met coördinatie van de staatssecretaris is een jaarlijks programmeringsplan opgesteld op de digitale infrastructuur dat voor alle partijen een solide basis biedt voor de dienstverlening. Om de doelen die in de agenda benoemd worden te kunnen bereiken is samenwerking met partners 8
“Bij BZK kijken we nadrukkelijk naar digitalisering vanuit onze waarden, niet vanuit de technologie.” binnen de overheid belangrijk en noodzakelijk. Daarom zijn er bijvoorbeeld twee bestuurlijke overleggen: het Overheidsbreed Beleidsoverleg Digitale Overheid, waarvan ik voorzitter ben, en de Programmeringsraad Logius. We zouden het in principe toejuichen als er een minister komt die de opdracht krijgt om een aantal zaken voor iedereen te regelen en dat er wetgeving komt voor doorzettingskracht. Het zou mooi zijn als het lijkt op de comptabiliteitswet van het ministerie van Financiën.” Hoe bedoelt u dat? “Financiën heeft vanuit de wet bepaalde bevoegdheden in het kader van de begroting. Wij hebben een staatssecretaris, een werkagenda en een CIO-stelsel. Dat is niet niks allemaal, maar we zouden meer kracht kunnen gebruiken. Alleen een minister voor digitalisering zou te weinig zijn: je moet het combineren met bevoegdheden en mandaat.” Wat zijn voor u de speerpunten van verdere professionalisering van de Rijksorganisatie op i-gebied? “In algemene zin wil ik een verantwoorde en mens gerichte digitale transitie als maatschappelijke opgave goed voor het voetlicht brengen. Daar hoort onder andere verantwoord datagebruik bij. We moeten toe naar een dienstverlening die aansluit bij de behoeften van burgers en bedrijven. Ethische dilemma’s moeten we op een onderbouwde manier met elkaar bespreken, bijvoorbeeld wanneer waarden schuren bij de inzet Nummer 48, oktober 2023 “Digitalisering is geen uitgetrild beleidsterrein, daar zit voor mijn mensen wel een moeilijkheid. Het gebeurt nu en verandert voortdurend. Om er als Rijksoverheid goed bij aan te sluiten en er op tijd beleid op te kunnen maken moet je er wel echt aan de voorkant bij zijn. Gelukkig hebben we daarvoor ook de staatssecretaris die ons scherp houdt. Tijdens een Catshuissessie over generatieve AI constateerde men overigens ook hoe snel de ontwikkelingen gaan. Dat je zoiets als een Rapid Response Team zou moeten hebben. Nou weet ik niet of dat de naam zou moeten zijn. Maar wel dat een soort publiek-private samenwerking met kennisinstellingen die snel kan acteren op ontwikkelingen een zeer nuttig gremium zou zijn.” Heijblom maakt in het gesprek duidelijk te willen waken voor het overhaast rijksbreed creëren van functies en rollen zonder dat goed is afgesproken wat precies de taakafbakening 9 van technologie. We moeten minder afhankelijk worden van landen en bedrijven die onze waarden niet delen en de samenleving moet onze overheid weer meer gaan vertrouwen.” En in specifieke zin binnen de Rijksoverheid? “Samen met de CIO Rijk en andere collega’s werk ik bijvoorbeeld aan een nieuw CIO-stelsel, de tweede versie. Hiermee zijn we beter opgewassen tegen de grote vraagstukken die gerelateerd zijn aan digitale transities.”
is. Het instellen van een chief data officer bijvoorbeeld is in haar ogen ‘een goede zaak’ maar vraagt zorgvuldig overleg. “Belangrijk is ook dat kennis en focus geïntegreerd worden in het hele team, dat het niet uitsluitend bij één functionaris komt te liggen maar is ingebed. Dat noem ik ook nieuw ambtelijk vakmanschap. Er moeten sneller belletjes gaan rinkelen welke experts je bij een bepaalde opgave nodig hebt.” Wat moeten bestuurders en managers vooral in hun bagage hebben als het gaat om digitaal leiderschap? “In vrijwel alle functies heb je i-vaardigheden nodig, basiskennis over informatiebeveiliging vind ik onontbeerlijk op alle niveaus. Bij de start van beleidsontwikkeling horen de digitale kwesties meegenomen te worden. Dat is niet langer volgend. Niemand heeft trouwens meer de absolute kennis en macht. Het idee dat de samenleving maakbaar is ligt ver achter ons. En al helemaal op het gebied van digitalisering. Als overheid zijn we nog tamelijk klassiek georganiseerd. Ik voer tot mijn vreugde ook gesprekken over andere manieren van samenwerken. Meer horizontaal en in netwerken. Hoe zou de besluitvorming dan gaan?” Kunt u dat toelichten? Ze gaat verzitten en tekent in de lucht een piramide. “Binnen een departement stroopt alles zich op tot hoog in de piramide, daar waar ik zit. De nota’s en de Kamerbrieven van de staatssecretaris gaan via mij. Die zie ik in principe allemaal. Waarom eigenlijk? Ik denk dat er andere manieren zijn van samenwerking en besluitvorming die veel functioneler en minder tijdrovend zijn. Als niet alles door die smalle hals naar de top van de piramide moet, kunnen er meerdere initiatieven en samenwerkingsverbanden naast elkaar bestaan. Als mensen veel kennis hebben kunnen ze ook zelf beslissen, kunnen bevoegdheden en verantwoordelijkheden lager in de organisatie komen te liggen.” Wat is uw leiderschapsstijl? “Ik ben een beetje secundair, ik luister heel graag. En vervolgens reageer ik. Ik probeer op een menselijke, verbindende manier te werken.” U zei in een ander interview dat u hebt geleerd de touwtjes wat meer te laten vieren en ook blij te zijn met een resultaat van 80 procent. “Haha, ja. Dat klopt. Ik ben minder streng geworden. Gras gaat niet harder groeien door eraan te trekken. Ik merk ook dat een organisatie lucht nodig heeft. Ondanks dat we demissionair zijn hebben we een ambitieuze agenda, waarin eigenlijk niets on hold staat. Ik ben zelf ook ambitieus, maar kan daarnaast complimenten geven.” Als u de digitale overheid van 2025 zou moeten verbeelden, wat ziet u dan? “Tja, 2025 is best dichtbij. Ik hoop in elk geval dat de overheid minder gesloten is. Dat we veel meer als één entiteit naar de burger en ondernemer optreden. Meer samenwerken met de wetenschap en de private sector. Ik zie een sterkere netwerkvorming voor me, en burgers die weer ervaren dat de overheid voor ons allemaal is. Het huis van de overheid mag wel wat opener. Ja, dat is een treffend beeld.” Nummer 48, oktober 2023 11 Het idee dat de samenleving maakbaar is ligt ver achter ons. En al helemaal op het gebied van digitalisering
Directie Coördinatie Algoritmes ‘Onze toegevoegde waarde is de overkoepelende blik’ Door Peter Olsthoorn 12
De Autoriteit Persoonsgegevens (AP) heeft sinds dit jaar een nieuwe tak: de directie Coördinatie Algoritmes (DCA). DCA gaat toezicht houden op algoritmes, met de focus op het beschermen van publieke waarden en grondrechten. Programmadirecteur Sven Stevenson ziet nog de nodige uitdagingen in de concreetheid van het toezicht. ven Stevenson (1984), nu chef DCA heeft geen specifieke ervaring met algoritmes. Hij was dertien jaar werkzaam bij De Nederlandsche Bank in economische functies en automatisering. Hij gaf in 2008/2009 leiding aan de Jonge Socialisten in de PvdA, de partij van Aleid Wolfsen, voorzitter van Autoriteit Persoonsgegevens. S Wat doen jullie? Stevenson: “Wij brengen in kaart wat de risico’s behelzen en hoe deze te benaderen. Een deel is te ondervangen met bestaand AP-toezicht vanuit de AVG dat we intensiveren voor AI-toepassing. Daarnaast werken we samen met toezicht houders, bijvoorbeeld voor cybersecurity, bouwen het raamwerk voor toezicht op algoritmes en proberen dat te concretiseren.” Wie bemensen het team? “We tellen nu acht personen, beperkt door het budget van 1 miljoen euro over 2023. Er komen nog twee verdubbelingen qua capaciteit. We willen hier mensen hebben die holistisch kijken, naar een breed scala risico’s in verschillende contexten. Het liefst heb je mensen die perspectieven combineren, die behalve juridische bagage kennis hebben in brede zin over digitalisering, over mathematische risico’s van modellen, met een filosofische blik, en kennis van de praktijk van algoritmes. Het zijn veel jonge mensen, een van ons studeerde zelfs ontwikkelingsvraagstukken.” Wat doen die acht mensen dagelijks concreet? “Onze toegevoegde waarde moet zijn om overkoepelend te kijken: hoe ziet het gewenste ecosysteem voor beheersing van algoritmes eruit? Wat zijn de risico’s en uitdagingen met toeNummer 48, oktober 2023 Welke toezichthouders? “De horizontale zoals de Rijksinspectie Digitale Infrastructuur, de ACM vanwege consumentenbescherming, het College voor de Rechten van de Mens. Daarnaast de sectorale toezichthouders als DNB en AFM voor de financiële sector, de Inspectie Justitie en Veiligheid.” Kan me voorstellen dat zo’n overleg alle kanten op fladdert vanwege de enorme informatie-overvloed over AI momenteel… “Dit is inderdaad het beginstadium. We moeten de regelgeving, normen en guidance helder krijgen. Ons belangrijkste wettelijke instrument, de Europese AI-verordening, moet eind 2023 gereed zijn en in 2024 opgenomen in nationale wetgevingen. Daarop volgt de handhaving.” Wat vindt u van de AI Act? “Algoritmes worden als product beschouwd; met vereisten voor toepassingen die een hoog risico vormen voor gelijke behandeling en andere ethische factoren. Het concept van productregelgeving wordt opgerekt, bijvoorbeeld hoogrisico algoritmes die intern voor eigen doeleinden worden ontwikkeld door de politie of verzekeraars komen onder dit producttoezicht te vallen. Ik ben er redelijk optimistisch over.” 13 zicht? We duiken in het onderwerp, de wetenschap, concrete voorbeelden. We maken de halfjaarlijkse Rapportage Algoritmerisico’s Nederland [kader]. We werken aan samenwerkingsverbanden met andere toezichthouders die met algoritmes te maken krijgen in een gezamenlijk platform, vooral voor kennisuitwisseling. We werken aan een tweede platform op bestuurlijk vlak. We moeten elkaar goed weten te vinden.”
Waarom? “Het veiligheidskader is duidelijk, maar het Europees parlement heeft een aanscherping gemaakt van risico’s van AI en algoritmes die ook wij zien. We zijn er redelijk actief bij betrokken, samen met ministeries. We zoeken nu de internationale samenwerking.” In hoeverre helpt al dit overleg de concretisering van het toezicht? “Inderdaad zien we uitdagingen in de concreetheid van het toezicht nu. Het begint met bewustwording en organisaties helpen met risicobeheersing van algoritmes, bijvoorbeeld met testen en jaarlijkse audits. Uit de praktijk blijkt dat dit vaak nog niet gebeurt en er is veel te winnen. We houden het nog eenvoudig, met het benadrukken van de noodzakelijke voorwaarden.” Eerste rapport Onlangs verscheen de eerste Rapportage Algoritmerisico’s Nederland. Ze is beperkt (17 pagina’s) en staat, logischerwijs, nog vol onzekerheden en vaagtaal, zo wordt ook erkend: “Initiatieven zoals registers, productstandaardisatie, beoordelingskaders en audittechnieken bevinden zich vaak nog in de pilotfase. Ook deze eerste rapportage is daar in zekere zin een voorbeeld van. Het is pionieren…” Harde oordelen staan erin over het Criminaliteits Anticipatie Systeem (CAS) van de Nationale Politie – na onderzoek van de Rekenkamer – en algoritmes van banken om witwassen te detecteren en van gemeenten in fraudebestrijding. Transparantie over risico’s schiet tekort, vooral over ‘groepsdiscriminatie’. Ook wordt het probleem benoemd van AI-systemen die zonder keuring vooraf op de markt komen. “Hierdoor blijft de kans nadrukkelijk bestaan dat niet-geschikte algoritmische systemen met hoog risico op de markt komen en ingezet worden door private en publieke partijen.” 14 Waar steken jullie straks in: vanuit de meldingen in het algoritmeregister, of na klachten en wetsvoorstellen net als bij de AVG? “Beide… Waar we naartoe werken is: stel, iemand dient een klacht in na een ervaring van een onterechte uitkomst van een bepaalde organisatie. Een persoon kan al een klacht indienen bij het meldpunt Discriminatie, de Nationale Ombudsman of het College voor de Rechten van de Mens, en de uitdaging is te ontdekken of een algoritme of AI de onderliggende oorzaak is. Hier wil je samen de rode draden ontdekken. Dat staat echt nog in de kinderschoenen, maar daar zien wij waarde in. Vervolgens bepalen we of corrigerend optreden vereist is.” En profilering? “We moeten het maatschappelijk debat voeren over de mate van transparantie van profilerende algoritmes. Je wilt dat mensen vertrouwen kunnen hebben in het goed functioneren van profilerende algoritmes; en kunnen vaststellen of dat al dan niet het geval is en dat kunnen laten herstellen. Nu nog beschouwen veel organisaties profilerende algoritmes als interne aangelegenheid terwijl ze wel de fundamentele behandeling van burgers en consumenten beïnvloeden. Moet voor overheidsorganisaties dat niet harder gemaakt worden in een expliciete grondslag en onderdeel van het politieke debat?” Beoordelen jullie als DCA al concreet algoritmes? “Nee, we kijken nog overkoepelend naar het stelsel. Mijn focus ligt nu allereerst op het versterken van het macroperspectief. We bouwen aan krachtig microtoezicht op individuele organisaties. Hopelijk is de AI Act spoedig beschikbaar met een wettelijk instrumentarium.” Een auto mag pas na goedkeuring inzake veiligheid de weg op, zo ook moet dat gelden voor risicovolle algoritmes
AI Act volstaat niet Roel Dobbe, assistant professor Data en Algoritmes bij Technische Bestuurskunde TU Delft en gelieerd aan het Digital Ethics Centre, gaf de Directie Coördinatie Algoritmes input aangaande systeemtoezicht; een bredere focus dan louter controle op specifieke datasets, algoritmes en kunstmatige intelligentie gezien als ‘product’. ijn expertise komt voort uit toepassing van veilige automatisering in klassieke technologiedomeinen zoals de luchtvaart, die niet beperkt is tot adequate algoritmes. Zo behelst de veiligheid van autopilots in vliegtuigen behalve algoritmische regelsystemen ook de interactie met de piloot, procedures voor naleving van allerlei regels, standaarden voor onderhoud en de parate kennis van betrokken professionals. “M De systeemveiligheidstraditie voor automatisering gaat meer dan 70 jaar terug. Er zijn veel lessen uit deze geschiedenis die nu nog veel te weinig worden erkend en toegepast voor nieuwe toepassingen met algoritmes en kunstmatige intelligentie. De DCA kan deze benutten in haar taak om breder te kijken naar het algoritme in ‘systeemcontext’. Zo worden veel algoritmes in het openbaar bestuur in ketens van organisaties uitgevoerd, bijvoorbeeld de Keten Werk en Inkomen. Daar ontbreekt duidelijke centrale coördinatie en verantwoordelijkheid om burgers die beklemd raken door complexe regels en geautomatiseerde besluitvorming te Hoogleraar Peter de Kock roept op tot terughoudendheid bij toezicht vanwege het noodzakelijke leren met experimenten… “De meeste algoritmes zijn eenvoudig en al lang in gebruik. Met welke implicaties? Daarnaast heb je innovaties die belangrijk zijn voor de samenleving. Experimenten zijn mogelijk, maar je moet grenzen waarborgen. Een auto mag pas na goedkeuring inzake veiligheid de weg op, zo ook moet dat gelden voor risicovolle algoritmes.” Europa met regulering als braafste jongetje van de klas, technologisch voorbijgestreefd door de VS en China? “China en de VS begrenzen ook algoritmische werking. Europa loopt voorop met AI-regelgeving en stelt grenzen waar het bedrijfsleven mondiaal van profiteert. De AI-toepassing voor huis-, tuin- en keukentoepassingen is geen probleem, Nummer 48, oktober 2023 helpen en systemen te verbeteren om toekomstige fouten te voorkomen. Dit vraagt om een veiligheidscultuur. De kern: als je alles technisch en procedureel qua risicomanagement goed opzet, maar mensen zijn niet in staat om euvels bespreekbaar te maken, dan leer je niet van fouten. Dat leidt bij grootschalig toegepaste algoritmes vaak tot heel veel schade. We zien dat het Nederlandse bestuur vaak tekortschiet in het verschaffen van informatie om lessen te trekken. Dat versterkt het wantrouwen en voedt een afrekencultuur waardoor bestuurders en ambtenaren nog meer angst krijgen om fouten te maken. Een vicieuze cirkel. Je ziet bijvoorbeeld dat de Belastingdienst helemaal vastloopt met de afhandeling van het Toeslagenschandaal. Als systeemtoezichthouder moet de DCA dus ook de context van algoritmes en AI in oogschouw nemen. De Europese AI Act is een goede start maar onvoldoende, want deze focust primair op productveiligheid, en niet op het bredere proces, de organisatie en systemen waarin algoritmes en AI worden geïntegreerd. Verder veroorzaakt de verspreiding van data via basisregisters over verschillende systemen in het openbaar bestuur onveilige situaties. De bron van fouten is niet goed traceerbaar. Als laatste worden in Nederland erg veel inlichtingen gewonnen over burgers zonder een duidelijk doel of wettelijke basis, recent nog uiteengezet door professor Bob de Graaff. Er zijn veel gewoonten en convenanten om persoonsgegevens te verzamelen waarop algoritmes worden toegepast. Dat is vragen om nieuwe problemen. We moeten veel kritischer grenzen stellen aan gegevensuitwisseling.” pas bij een hoog risico. Dat moet je niet ingewikkelder maken dan het is. Ik denk dat in 80 procent van de gevallen er geen hoog risico zal zijn, bij 20 procent wel. Dan zitten we dicht op de bal.” De AP kapittelde minister Hoekstra van Buitenlandse Zaken vanwege een algoritme met visumverstrekking. Wat is de uitkomst? ”Dit loopt nog.” Dit duurt weer erg lang. De slagkracht van de AP wordt vaak bekritiseerd, wordt die van de DCA beter? “Ik uit nu geen zorgen over onze gebrekkige capaciteit, maar er is veel nieuwe wetgeving vanuit Brussel waarvoor nationale toezichthouders voldoende capaciteit moeten hebben. Dat geldt ook voor de uitvoeringsorganisatie en het bedrijfs leven om conform die nieuwe regels te opereren.” 15
Brussel heeft de coördinatie opgepakt in de cyberverdediging op Europees niveau. Want het aantal aanvallen door hacktivists en staatsgesponsorde actoren stijgt. Met de EU-wet inzake cyber solidariteit wordt de capaciteit in de EU om significante en grootschalige cyberdreigingen en -aanvallen op te sporen, voor te bereiden en erop te reageren, versterkt. Door Simon Trommel Beeld Shutterstock/iBestuur EU werkt aan pan-Europese I n de EU steeg het aantal cyberaanvallen volgens eurocommissaris Thierry Breton (Interne Markt) met 140 procent; met name na Ruslands bloedige inval in Oekraïne. Cyberveiligheid is een groot probleem in de Europese Unie. ENISA, EU-Agentschap voor cyberbeveiliging, illustreert dat aan de hand van een vitale sector, namelijk de zorg. De zorgsector had in het eerste kwartaal van 2023 te maken met zeker 40 incidenten; en de lijst met verzamelde incidenten is verre van compleet. Door die incidenten kan een cruciale sector als de zorg in gevaar komen, waarschuwt ENISA. Dat aantal cyber incidenten, vaak ransomware of diefstal van patiëntgegevens, is met die voorlopige 40 in 2023 twee keer zo hoog als het kwartaalgemiddelde van 2021 en 2022 van ongeveer 22. Overigens hoeft die stijging niet te betekenen dat het werkelijke aantal incidenten oploopt. Het kan ook betekenen dat organisaties meer volwassen worden in detectie en rapportage 16 van incidenten. Maar dat geldt niet voor iedere organisatie in de zorgsector, schrijft ENISA in haar rapport. Het schort nogal aan een effectieve cyberverdediging in de Europese zorgsector. Slechts 27 procent van de zorgorganisaties in de gezondheidszorg heeft een speciaal verdedigingsprogramma tegen ransomware. 40 procent van de organisaties heeft geen beveiligingsbewustzijnsprogramma voor niet-ITpersoneel, hoe hard experts ook roepen dat cyber veiligheid de hele organisatie en het hele ecosysteem van de organisatie moet betreffen. Moeite met risicoanalyses Uit ander recent onderzoek blijkt, zo schrijft ENISA verder, dat 95 procent van de ondervraagde gezondheidsorganisaties uitdagingen ondervindt bij het uitvoeren van risicobeoordelingen, terwijl 46 procent nog nooit een risicoanalyse heeft
cyberveiligheid uitgevoerd. Uit het rapport: ‘Deze bevindingen benadrukken de dringende noodzaak voor zorgorganisaties om cyberverdedigingspraktijken toe te passen. Deze kunnen bestaan uit offline versleutelde back-ups van kritieke gegevens, bewustmakingsen trainingsprogramma's voor professionals in de gezondheidszorg, omgaan met kwetsbaarheden en patchen, sterkere authenticatiemethoden, responsplannen voor cyberincidenten en rampenplannen, en nog veel meer. De betrokkenheid van het senior management is essentieel, vooral als straks de NIS2richtlijn, die gaat over meer cyberveiligheid, aansprakelijkheid voor het topmanagement introduceert.’ Als instellingen stelselmatig de cyberveiligheid negeren, kan dat in de toekomst leiden tot een boete. Overigens is cyberveiligheid ook in het eigen belang, want ENISA stelt vast dat de mediane kostprijs van een cyberaanval op de zorg in de Europese Unie 300.000 euro bedraagt. Nummer 48, oktober 2023 Cyber Solidarity Act Alle sectoren in de samenleving hebben met cyberaanvallen te maken, niet alleen de zorg uiteraard. Alleen al in het midden- en kleinbedrijf heeft 30 procent van de bedrijven in de afgelopen 12 maanden minstens een keer last gehad van cyberaanvallen, constateerde Margrethe Vestager, als eurocommissaris verantwoordelijk voor de agenda ‘Europa en het digitale tijdperk’. Brussel heeft de afgelopen tijd al de nodige wetgeving voorgesteld over kritische infrastructuur en de digitale veiligheid van devices, zegt Margaritis Schinas, Eurocommissaris Ter Bevordering van de Europese Levenswijze. Er wordt nu hard gewerkt aan de volgende stap: samen werken aan meer verdediging. Daar is de Cyber Solidarity Act voor bedoeld, een ontwerpwet waarvan het belangrijkste ingrediënt het pan-Europese 17
Ieder ministerie een viceminister digitalisering E en viceminister digitalisering op ieder ministerie. Dat werkt volgens Europarlementariër Bart Groothuis (VVD) in Oekraïne, waar hij onlangs op werkbezoek was. Of dat in Nederland ook zou werken is aan de formateur en de Nederlandse politiek. Maar een verantwoordelijk bewindspersoon die wetgeving doorlicht op de betekenis voor de data-organisatie, compliance, cybersecurity en haalbaarheid is elders in ieder geval een succesformule gebleken. Politieke wensen hebben ingewikkelde digitale consequenties, vaak met directe gevolgen voor de burger. “Neem bijvoorbeeld de wens van de Tweede Kamer om de BTW op groenten en fruit te verlagen. Na een aantal maanden bleek de IT van de Belastingdienst dat niet aan te kunnen. Als zo’n probleem al bij een wetgevingsoverleg bekend is, groeit het begrip voor Controle terugkrijgen En het toont maar weer aan dat de overheid niet alle grip heeft op (vitale) infrastructuur en op de democratische ruimte. Dat geldt ook voor cybersecurity. “Je ziet veelal Amerikaanse of Israëlische cybersecuritybedrijven die de digitale veiligheid regelen in onze vitale infrastructuur. Dat is op zich prima, maar ze houden de logging en telemetrie die realtime inzicht geeft in wat zich digitaal afspeelt tegen onze vitale infrastructuur nog te veel voor zichzelf. We moeten in Europa zorgen dat we daarin soeverein worden en deze gegevens in kopie naar digitalisering en wordt de controlefunctie van het parlement versterkt omdat doeltreffender vragen gesteld kunnen worden over iets wat zo simpel lijkt.” Cyber Schild is. Dat is een Europees netwerk van nationale cyberveiligheidcoördinatiecentra waarvan veel lidstaten, waaronder Nederland, er al een hebben. Daarboven komt een Europese laag van drie grensoverschrijdende Security Operational Centers, die met state of the art-technologie als AI dreigingen detecteren en lidstaten waarschuwen. Dat stelt lidstaten en andere entiteiten in staat om eerder te reageren op dreigingen. En bij dreiging is reactie snelheid heel belangrijk. De Security Operational Centers moeten begin 2024 al operationeel worden. Er zijn inmiddels drie consortia gevormd die dat organiseren vanuit 17 lidstaten en IJsland. Bij dreiging is reactie snelheid heel belangrijk Cybernoodmechanisme De ontwerpwet omvat nog twee onderdelen. Er komt een cybernoodmechanisme om de lidstaten te ondersteunen bij de voorbereiding en reactie op significante en grootschalige cyberincidenten. Via dit mechanisme worden kwetsbare sectoren als de zorg, transport en energie EU-breed getest op kwetsbaarheden. Het EU-cyberbeveiligingsschild en het noodmechanisme voor cyberbeveiliging van deze verordening zullen worden ondersteund door financiering vanuit het programma Digitaal Europa (DEP). Verder komt er een Europees mechanisme voor incidenten op het gebied van cyberbeveiliging om specifieke significante of grootschalige incidenten te beoordelen. Ook houdt de EU een aantal vertrouwde providers achter de hand om te interveniëren bij een grootschalige aanval: de EU-reserve voor cyberbeveiliging. Op verzoek van de lidstaten staat de EU-reserve voor cyberbeveiliging de bevoegde autoriteiten bij, bij het reageren op significante of grootschalige cyberbeveiligingsincidenten en bij het onmiddellijk herstellen van dergelijke 18 incidenten. De steun van deze EU-Cyberbeveiligingsreserve vormt in het voorstel een aanvulling op nationale risicobeperkende maatregelen en ondersteunende acties. De selectie van de providers vindt plaats via een aanbestedingsprocedure, met als eisen onder meer: de hoogste graad van professionele bekwaamheid om de diensten te verlenen en een kader om gevoelige informatie te beschermen. Ook moet er bewijs zijn van een transparante bestuursstructuur waaruit integriteit en afwezigheid van belangenconflicten blijkt. Het personeel moet gescreend zijn, er moeten veilige IT-systemen zijn en aantoonbare eerdere ervaring met het verlenen van diensten aan nationale autoriteiten en entiteiten die actief zijn in de kritieke en zeer kritieke sectoren in de Unie. ENISA stelt na raadpleging van de lidstaten en de Commissie een overzicht op van de diensten die nodig zijn voor de EU-reserve voor cyberbeveiliging.
de lidstaten sturen. Het overlaten van de bescherming van onze eigen vitale infrastructuur aan buitenlandse ondernemingen is immers geen natuurverschijnsel. Met wetgeving kun je controle terugkrijgen.” Een digitaal bekwamer kabinet heeft nog een ander voordeel, volgens Groothuis. Dat kabinet kan dan ook sneller reageren op technologische ontwikkelingen. Dat vereist de toekomst volgens hem ook. “Waar de snelheid van computers of dataopslag elk jaar ongeveer verdubbeld, kan kunstmatige intelligentie mogelijk een miljoen keer slimmer worden in een jaar tijd. Dat vereist meer dan ooit in de geschiedenis van de mensheid een vooruitziende blik om kansen en bedreigingen in balans te brengen. Ik vermoed dat de huidige EU-wetgeving over AI die nog maar net klaar is, al komend jaar aan een update toe is.” Verder komt er volgens het wetsvoorstel een ondersteuningsmechanisme waarbij een aangevallen lidstaat hulp krijgt van andere lidstaten. De aanpak is grotendeels gebaseerd op de Oekraïense ervaringen waar dat al werkt. Nederland, als een van de voorlopers op IT-gebied, is positief over de aanpak. Tekort aan cybersecurityspecialisten Verder moet de cyberveiligheid ook bemenst worden en dat is een grote uitdaging. Vestager zei eerder dit jaar dat de Europese Unie nu al honderdduizenden veiligheidsexperts te kort komt. Dat tekort wil de Europese Commissie bestrijden met de Digital Skills Academy. Dat is geen opleidings instituut maar een lijst van trainingen, vaardig heden en certificeringen voor professionals. Om die reden vindt Nederland de naam Academy wat te veel van het goede. Via het platform moeten overheden en bedrijven samen werken aan het verspreiden van kennis. Het platform wordt voorlopig gehost op het digitale banenplatform van de EU, www.digital-skills-jobs.europa.eu. Om het platform eigenstandig van de grond te trekken, komt er een call op het Digital Europe programma. Het moet uitgroeien tot een digitale ontmoetingsplek voor trainers, academici en de industrie om skills, programma’s, fondsen, trainingen en algemene inzichten over de banenmarkt in de cybersecurity te delen. Het Europees Parlement en de Raad bespreken de voorgestelde verordening inzake de EU Cybersolidariteitswet de komende tijd. Het EU-Agentschap voor cyberbeveiliging (ENISA) en het Europees Competentiecentrum voor cyberbeveiliging (ECCC) zullen blijven werken aan vaardigheden op het gebied van cyberbeveiliging en bijdragen aan de uitvoering van de Academie voor vaardigheden op het gebied van cyberNummer 48, oktober 2023 Europarlementariër Bart Groothuis (VVD): sneller reageren op technologische ontwikkelingen. beveiliging, overeenkomstig hun respectieve mandaten en in nauwe samenwerking met de Commissie en de lidstaten, laat de Europese Commissie weten. Nederland heeft enige angst dat er dubbelmandaten gaan ontstaan en daar is ons land tegen. Het pakket kost totaal 1,19 miljard euro. Volgens eurocommissaris Schinas is het dat meer dan waard. “Geen lidstaat mag de zwakste link zijn.” Deze publicatie is mede mogelijk gemaakt door een bijdrage van het mediafonds van de Europese Unie. 19
Verbeeldingsdebat Digitalisering is niet demissionair De gevaren en kansen van generatieve AI, het omarmen van diversiteit in dienstverlening en droombeelden over de overheid van de toekomst. Het werd allemaal besproken tijdens het plenaire Verbeeldingsdebat op het iBestuur Congres 2023. Door Marieke Vos et thema van het iBestuur Congres 2023 is ‘de verbeelding’. Debatleider Ruben Maes vraagt de deelnemers aan de paneldiscussie hoe zij zich de overheid van de toekomst verbeelden. Maar blijkbaar zit de urgentie van de dag van vandaag de verbeelding van de dag van morgen in de weg; het gesprek komt al snel op de gevaren van generatieve AI. Alexandra van Huffelen, staatssecretaris van Koninkrijksrelaties en Digitalisering, zegt dat de discussie hierover heel anders is dan de eerdere discussie over de inzet van AI door de overheid: “Hoe we generatieve AI inzetten, als overheid en in de samenleving, is een maatschappelijke discussie. Ursula von der Leyen zei in haar State of the Union niet voor niets dat er voor AI een internationaal panel zoals het IPCC nodig is. AI wordt zo groot dat we hier heel goed over na moeten denken.” Nitesh Bharosa, hoogleraar Gov Tech aan de TU Delft, conH stateert dat dit voor meer technologie geldt: “Ook quantumtechnologie zal een enorme impact hebben op onze samenleving. We moeten hierover de dialoog organiseren, met bedrijven, burgers, overheid en kennisinstellingen. Want het komt niet vanzelf goed en er zit geen stopknop op technologie.” Daar is Van Huffelen het niet mee eens: “We kunnen als overheid wel degelijk dingen stoppen. Er zijn ook geen auto’s of medicijnen op de markt die niet getest zijn. Dat gebeurt nu wel met AI en andere tools. We moeten zorgen dat we de regels daarvoor op orde krijgen.” Vrouw en computer Dat de ontwikkelingen in digitalisering snel gaan, wordt duidelijk uit een verbeeldend intermezzo van Eppo van Nispen tot Sevenaer. Hij heeft een keur aan beelden meegenomen uit het archief van het Nederlands Instituut voor Beeld & Geluid waarvan hij directeur is. Een fragment uit de aankondiging van de Teleac-cursus ‘Vrouw en computer’ (1988) leidt tot hilariteit in de zaal. “Dit is nog niet eens zo heel lang geleden. Digitalisering gaat snel, zorg ervoor dat je aansluit, op een positieve manier!” Beeld katern Jiri Büller/De Beeldredaktie 20 Als het gaat om digitalisering van de overheid, dan zijn drie dingen leidend. Van Huffelen: dat iedereen kan meedoen, dat iedereen de digitale overheid kan vertrouwen en dat mensen regie hebben. “Onze dienstverlening kan proactiever worden, bijvoorbeeld doordat we toeslagen uitkeren waar mensen recht op hebben.” Het soort overheid dat de staatssecretaris voorstaat is “een overheid die niet
congres 2023 alleen digitalisering mensgericht inzet, maar ook letterlijk een plek is waar burgers met mensen kunnen praten. Dat is voor iedereen van belang. Niet alleen voor mensen die digitaal niet zo vaardig zijn, maar ook als je iets moet aanvragen dat ingewikkeld is en je misschien maar een keer in je leven doet. Ook dan wil je met een mens praten.” Proactief waarschuwen voor schulden Proactieve dienstverlening is al mogelijk. Maar overheid en bedrijfsleven zijn er terughoudend mee. Medy van der Laan, voorzitter van de Nederlandse Vereniging van Banken, geeft een voorbeeld: “We kunnen mensen tijdig waarschuwen voor een onverantwoord uitgavenpatroon en daarmee voorkomen dat mensen in de schulden raken. Dat lijkt mij een goede zaak, met duidelijk maatschappelijke meerwaarde. Maar we doen het niet; om ethische redenen. Het zou goed zijn als hier een maatschappelijk debat over gevoerd wordt. Als de uitkomst is dat het wenselijk is, dan moeten we heldere kaders vaststellen waarbinnen we dit mogen doen. Dan moeten we uiteraard heel goed nadenken over hoe we dit doen, want hierin mag je geen fouten maken.” Nummer 48, oktober 2023 Meer maatwerk Van der Laan waagt zich alsnog aan een toekomstbeeld: “Als ik mag dromen over onze dienstverlening van de toekomst, dan droom ik over maatwerk.” De banken sloten veel kantoren en zetten vol in op internetbankieren, maar passen dat nu aan. Ze legt uit: “Het rapport van De Nederlandsche Bank over de diversiteit van de groep die hulp nodig heeft, leverde veel inzicht op. Als banken omarmen we die diversiteit en gaan we kijken wie welke soort ondersteuning nodig heeft. Het wordt meer maatwerk dus.” Het zal meer een mix worden van bijvoorbeeld internetbankieren voor eenvoudige taken en een persoonlijk gesprek als een dienst ingewikkelder is. “We kijken te vaak vanuit beleid naar ‘one size fits all’ en gaan daarna groepen apart bedienen. Als we diversiteit meteen aan de voorkant een plek geven, dan bereiken we mensen beter.” Het klinkt Reinier van Zutphen, Nationale ombudsman, als muziek in de oren: “In mijn droom denkt de overheid goed na over hoe iedereen mee kan doen. En past daar de dienstverlening op aan. Mijn doembeeld is een overheid die ondoordacht een rigoureuze beslissing neemt, zoals stoppen met de blauwe envelop.” Nitesh Bharosa aan het woord tijdens de paneldiscussie. Alexandra van Huffelen, debatleider Ruben Maes, Reinier van Zutphen en Medy van der Laan luisteren aandachtig. 21
Nitesh Bharosa: “Er zit geen stopknop op technologie.” Niet zomaar experimenteren Medy van der Laan: “Wie heeft welke soort ondersteuning nodig, meer maatwerk dus.” Reinier van Zutphen: “In mijn droom denkt de overheid goed na over hoe iedereen mee kan doen.” Diversiteit als uitgangspunt nemen en goed nadenken hoe je met welke dienstverlening iedereen bereikt; dat lukt alleen als een overheid vertrouwenwekkend is, stelt Van Zutphen. Van Huffelen: “Daarom is transparantie zo belangrijk. Dat betekent ook duidelijk uitleggen waarom en hoe we als overheid een beslissing nemen. Het allerbelangrijkst is dat we als overheid goed bereikbaar zijn voor mensen die een vraag willen stellen.” Technologie, zoals generatieve AI, biedt veel opties om dienstverlening te verbeteren, maar ze waarschuwt voor zomaar experimenteren: “We weten dat deze tools niet voldoen aan onze regelgeving, dus zet ze niet zomaar in. Doe het in gecontroleerde omgevingen, zodat we wel de kansen verkennen hoe deze technologie ons kan helpen. We moeten immers wel echt stappen zetten in het verbeteren van onze dienstverlening. Sinds de toeslagenaffaire is er best veel gedaan, maar een echte verbetering in onze dienstverlening aan mensen die daardoor in de problemen zijn gekomen is er nog steeds niet.” Betrek de samenleving Marleen Stikker: “Ik hoor steeds over een overheid die werkt vanuit het perspectief dat zij het voor burgers moet regelen.” Jeannine Peek: “Maatschappelijke vraagstukken los je niet als overheid alleen op.” Marleen Stikker, oprichter van Waag, zit tijdens de paneldiscussie te schuiven op haar stoel: “Ik hoor hier nog steeds een overheid die werkt vanuit het perspectief dat zij het voor burgers moet regelen, omdat burgers allerlei dingen niet zouden kunnen. En als de overheid het dan niet zelf doet, wordt het uitbesteed aan de markt. We vergeten dat de samenleving veel kracht heeft.” Een positieve constatering is dat de overheid kritisch is op zichzelf en zich verantwoordelijk voelt om het anders te gaan doen. “Maar tegelijkertijd blijft de overheid doen wat ze altijd deed.” Van Zutphen is het daarmee eens: “De overheid is en blijft een heel relevante factor in het leven van mensen. Maar in de huidige tijd, met alle nieuwe technologie, is het zeer de vraag of de overheid blijft doen wat ze deed. De burger gaat meer zelf doen. Maar wat doet de overheid dan nog? Dat is een heel relevante vraag die we een aantal jaren geleden niet hoefden en zeker ook niet wilden stellen. Dat is nu wel anders.” Van Huffelen reageert: “Taken overhevelen naar maatschappelijke partijen, wat Marleen en Waag voorstaan, is best een 22
congres 2023 Blijf onderzoeken wat wél kan worsteling. Want naar wie doen we dat dan en welke taken? Dat is ook een politiek vraagstuk.” Jeannine Peek, boegbeeld topsector ICT-SER, brengt een praktisch punt in: “Maatschappelijke vraagstukken los je inderdaad niet als overheid alleen op. Dat moet in goede harmonie met het bedrijfsleven en de samenleving. Innovatie in digitalisering kan helpen, maar het is dan wel essentieel dat mensen goed kunnen omgaan met digitalisering. Daarvoor is ook een verandering in opleidingen nodig.” Data anders organiseren Stikker reageert op het eerder gegeven voorbeeld dat banken kunnen waarschuwen als mensen in de schulden dreigen te raken. “Ik vraag mij dan af waarom alle data over onze transacties bij een private instelling liggen. Dat je daar inzicht in kan geven, toepassingen op kunt ontwikkelen, dat lijkt mij prima. Maar het eigenaarschap van data zou bij mensen zelf moeten liggen.” Peek onderschrijft dat: “Het is onwenselijk dat bedrijven jouw persoonlijke data als eigendom beschouwen.” Maar dat doen ze wel, zegt Van Huffelen: “Daarom zijn de Europese regels hierover zo belangrijk.” Stikker haalt Data Commons aan, een initiatief om de governance rond data anders te organiseren. Van Huffelen: “Dat gaat over een andere vorm van besturing. Ik vind het het belangrijkste dat je als individu de regie houdt.” Van Zutphen: “Voor de burger zou de grote stap voorwaarts zijn dat die niet steeds dezelfde gegevens hoeft aan te leveren en weet dat de data veilig zijn.” Tot besluit vraagt Maes of de staatssecretaris het nu rustig aan gaat doen nu ze demissionair is. Geen sprake van, antwoordt Van Huffelen: “De ontwikkelingen in de digitale wereld zijn niet demissionair, en de discussies over digitalisering in Europa ook niet. We moeten allemaal blijven werken aan de verbetering van onze dienstverlening.” Nummer 48, oktober 2023 Alexandra van Huffelen: “Als individu de regie houden.” “Als je denkt dat iets niet kan, of als anderen je vertellen dat het niet kan, blijf dan altijd onderzoeken hoe het wél kan.” Tjarda Struik, gemeenteraadslid in Zeist, beoogd burgemeester van Leiderdorp en ‘blindfluencer’, opent het iBestuur Congres 2023. Voor een volle zaal roept ze op om je verbeeldingskracht te gebruiken, het thema van het congres. Om de aanwezigen daarbij te helpen kreeg iedereen een maskertje voor de ogen. Struik kreeg haar hele leven te horen wat ze niet kan, vertelt ze: “Mijn verleden is een aaneenschakeling van momenten waarbij er elke keer een beroep werd gedaan op mijn verbeeldingskracht.” Omdat ze bleef onderzoeken hoe het wel kan, lukte het haar uiteindelijk om een grote wens te realiseren: ze is voorgedragen als burgemeester van Leiderdorp. “Laat je niet afleiden door gedachtes dat het toch niet lukt. Boor je creatieve kant aan en gebruik je verbeelding.” Tjarda Struik De verbeelding stimuleren met een maskertje. 23
Gerdine KeijzerBaldé, Aart Jochem en Sylvia Cammeraat spraken over hun ervaringen met red teaming. Gebruik red teaming om de digitale dijken te verhogen In de afgelopen jaren is rijksbreed ingezet op het testen van de ‘digitale dijken’ van rijkorganisaties. Dat kan op verschillende manieren en met diverse tactieken en technieken. Op het iBestuur Congres riepen enkele bestuurders vanuit de Rijksoverheid op tot het inzetten van red teaming. Deze test maakt duidelijk waar de kwetsbaarheden zitten en waar verhogingen moeten worden aangebracht. Door Karina Meerman n de panelsessie over ‘digitale dijkverhoging’ bespraken Gerdine Keijzer-Baldé (plaatsvervangend secretaris-generaal en CIO bij EZK), Aart Jochem (CISO-Rijk, directie CIO Rijk BZK) en Sylvia Cammeraat (directeur Bedrijfsvoering en CIO bij AZ) I 24 onder leiding van moderator Ineke Spinder (CISO EZK en LNV) hun ervaringen met red teaming; het inhuren van ethical hackers die de informatiesystemen testen van een organisatie. Het testen van de digitale veiligheid en weer
congres 2023 satie te komen. Dit gebeurt met een zeer specifieke opdracht, volgens zeer strenge afspraken en binnen kaders. Het rode team valt aan, het blauwe team (de security organisatie van de geteste entiteit) verdedigt. De aanval vindt onder de radar plaats, dus het blauwe team weet niet dat de aanval plaatsvindt. Na de aanval worden het rode en het blauwe team samengevoegd (purple teaming genaamd) en bespreken ze samen wat er is uitgevoerd, wat succes had en wat niet, en welke kwetsbaarheden zijn gedetecteerd. Social media Waargebeurd en een duidelijk voorbeeld van hoe ‘simpel’ het kan zijn: ethische hackers vlooiden in opdracht van EZK de social media door van een geselecteerde groep medewerkers, op zoek naar interessante gegevens. Eén collega had trots iets op LinkedIn gepost over een geslaagde presentatie tijdens een congres. Die persoon kreeg een telefoontje van ‘de organisatie’ (het rode team) met complimenten voor het verhaal. ‘Wil je dit evaluatiebaarheid kan op verschillende manieren. Aart Jochem licht aan de hand van een keuzekaart verschillende typen securitytesten toe, zoals kwetsbaarhedenscans, penetratietesten, purple-teamingtesten en red-teamingtesten met als advies: “Kies een test (of combinatie van testen) die past bij jouw organisatie en testdoel.” De zwaarste vorm van securitytesten is de TIBER-methode, wat staat voor Threat Intelligence Based Ethical Red-teaming. Op verzoek van een organisatie voeren ingehuurde hackers aanvallen uit op de informatiesystemen op basis van reële dreigingsbeelden, op zoek naar kwetsbaarheden met als doel om bij de kroonjuwelen van de organiNummer 48, oktober 2023 “Alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt” formulier nog even invullen?’ In de uitwisseling van gegevens installeerden de ingehuurde hackers afluisterapparatuur op de laptop van de nietsvermoedende spreker. De boodschap: alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt. Wees dus alert op wat je deelt. “En vooral niet achteraf degene bekritiseren die wel heeft gereageerd op zo’n fout bericht”, zegt Keijzer-Baldé. “Ik vind het geweldig dat mensen dat open en eerlijk toegeven. Het kan ons immers alle25
maal overkomen.” Jochem voegt toe dat bij een test met phishingmails 30 procent van alle medewerkers op de link klikte. “Het positieve gevolg van zo’n test is wel dat bij de servicedesk de meldingen van medewerkers over dergelijke mails toenemen.” Binnen twee weken ‘binnen’ Sylvia Cammeraat introduceerde red teaming bij JenV toen zij daar programmadirecteur cyber security was. JenV was één van de eerste departementen die hiermee aan de slag is gegaan. “Er is een verschil tussen compliant zijn met wet- en regelgeving en daadwerkelijk veilig zijn. Ik wilde onze organisatie naar een hoger volwassenheidsniveau brengen qua digitale veiligheid.” JenV huurde een erkend bureau in en gaf een ethical hacker inloggegevens alsof hij of zij een medewerker was van het ministerie. “Wij dachten dat Hackmethoden De hackers van het Red Team bij EZK maakten onder andere gebruik van spearphishing, wachtwoordspray en keylogger om hun doelwitten te raken. er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken”, erkent Cammeraat. “Simpele wachtwoorden, hoge toegangsrechten bij mensen die deze niet mochten hebben, dat soort simpele dingen waren er de oorzaak van. Dit hadden we moeten weten, maar we waren ons er niet van bewust.” Dat is na de test radicaal omgedraaid en de gevonden kwetsbaarheden zijn aangepakt. “Dat is precies waarom we deze test hebben gedaan. Het heeft medewerkers van JenV weerbaarder en alerter gemaakt.” Groene vinkjes Ook EZK ging aan de slag met red teaming en dit leidde eveneens tot significante inzichten. Ook hier waren nog steeds simpele wachtwoorden in gebruik zoals Welkom01 en waren de toegangsrechten van mensen niet altijd passend bij hun functie. Spearphishing Hackers zoeken op social media en internet zoveel mogelijk informatie over personen die voor hen interessant zijn. Op basis daarvan versturen ze persoonlijke (phishing) mails. Bij zo’n mail zit een schadelijke bijlage of link waardoor malware op je computer wordt geïnstalleerd. Hierdoor kunnen hackers toegang krijgen tot je digitale werkplek. 26 Wachtwoordspray Hackers proberen met populaire en dus zwakke wachtwoorden (Zomer2022, Welkom01!, Denhaag23! enz.) door te dringen in zoveel mogelijk accounts van medewerkers. In een aantal gevallen lukte dat en kreeg het Red Team toegang tot mailboxen, netwerkschijven en andere systemen met gevoelige informatie. Keylogger Een hacker/spion doet zich voor als (in dit geval) sollicitant. In een onbewaakt ogenblik plaatst hij een Keylogger tussen het toetsenbord en de computer van het doelwit. Dit apparaatje vangt alle toetsaanslagen op. De hacker krijgt daarmee toegang tot onder meer gebruikersnaam, het wachtwoord en andere belangrijke gegevens.
congres 2023 De oefening heeft Keijzer-Baldé enigszins ontnuchterd achtergelaten. “Bij EZK zit de veiligheidscultuur minder in onze aard dan bij het veiligheidsdepartement JenV; wij hebben dat echt moeten leren. Jammer dat veiligheid voor veel mensen nog steeds een saai onderwerp is, want het is zo belangrijk. Pas wanneer de dijken breken beseffen we waar ze voor nodig waren. En de dijken moeten verhoogd worden, omdat cyberdreigingen toenemen.” Ze plaatst nog een belangrijke kanttekening: “Red teaming test de feitelijke veiligheid, niet de compliance met veiligheidsprocedures. Groene vinkjes op je ISO-27001 certificaat zijn mooi, maar laat je daardoor niet in slaap sussen.” Neem bestuurders mee Een vraag uit het publiek was hoe een CIO of CISO bestuurders kan meenemen in het veiligheidsverhaal. Keijzer-Baldé: “Cyberrisico’s horen bij de risicoanalyses die het bestuur één of twee keer per jaar moet uitvoeren. Neem ze dus daarin op. Zo komt het onderwerp op de bestuurlijke agenda. En blijf optimistisch aandacht vragen. Als je een penetratietest of kwetsbaarheidsscan laat uitvoeren, pak dan ook het podium om de uitkomsten te presenteren. Leg uit wat er is misgegaan en hoe. Dat schudt mensen echt wel wakker.” Meer informatie over de keuzekaart securitytesten of hoe je als overheidsorganisatie red teaming kunt toepassen is te vinden in de ‘Gereedschapskist red teaming’: www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/oefenen-en-kennisdelen/ gereedschapskist-red-teaming/ Gerdine KeijzerBaldé: “Pas wanneer de dijken breken beseffen we waar ze voor nodig waren.” Nummer 48, oktober 2023 27
Maak een generiek kader met afspraken over gegevensdeling en privacy, zodat proactieve dienstverlening door de overheid mogelijk wordt. En reduceer de complexiteit in regelgeving. Het waren twee oproepen tijdens de iBestuur Congressessie over proactieve dienstverlening door verantwoord datagebruik. Door Marieke Vos Geef burgers waar ze recht “W e zien in de gemeente Rotterdam dat veel mensen geen hulp krijgen omdat gegevens niet gekoppeld worden. Dat kost de overheid veel geld, omdat deze mensen alleen maar verder in de problemen komen. En het levert de samenleving veel ellende op”, vertelde Marianne van den Anker, ombudsman Rotterdam Rijnmond. De overheid beschikt over heel veel informatie over burgers. Als het gegevens verantwoord deelt, dan kunnen bijvoorbeeld toeslagen worden toegekend zonder dat de burger daar zelf om vraagt. Eva Heijblom, directeur-generaal Digitalisering en Overheidsorganisatie bij het ministerie van BZK: “Als overheid mogen we veel meer dan nu tegemoetkomen aan waar burgers en bedrijven de overheid voor nodig hebben. Bij voorkeur doen we dat proactief.” Succesvolle pilots “In de Staat van de Uitvoering stelden we dat gegevensuitwisseling belangrijk is om de dienstverlening van de overheid toekomstbestendig te 28 maken. Als we gegevens op een goede manier kunnen ontsluiten en koppelen, dan kunnen we burgers en ondernemers geven waar ze recht op hebben”, zei Diana Starmans, lid van de raad van bestuur van de SVB en tevens lid van de stuurgroep Staat van de Uitvoering. De SVB deed hier ervaring mee op, vertelde ze tijdens de sessie. In een pilot met het UWV, het ministerie van SZW en TNO gebruikte het technologie voor versleutelde gegevensdeling, om AOW’ers in beeld te krijgen die mogelijk recht hebben op aanvullende inkomensondersteuning. En het vroeg een wettelijke grondslag voor het uitwisselen van gegevens met het CIZ, zodat de SVB de dubbele kinderbijslag voor zorgintensieve kinderen automatisch kan toekennen. Dat wetsvoorstel ligt nu in de Tweede Kamer. Starmans: “We hebben geleerd dat we op een veilige en verantwoorde manier data kunnen delen. Hiervoor hebben we vooraf veel moeten investeren in het vastleggen van de juiste kaders. Willen we dit vaker en voor meer regelingen doen, dan zou het Marianne van den Anker, ombudsman Rotterdam Rijnmond.
congres 2023 goed zijn als er een generiek kader komt. Met heldere afspraken over gegevensdeling en privacy. Nu moeten we de juridische grondslag telkens vanuit losse regelgeving organiseren.” Menselijke maat Van den Anker reageerde op het voorbeeld van de SVB: “Ik vind deze pilots geweldig. Dit mogen mensen verwachten van de overheid. We merken echter dat elke keer als het gaat om het toepassen van de menselijke maat, privacyregels een hindernis zijn. Professionals willen de menselijke maat toepassen, inwoners zijn erbij gebaat en toch komen we er elke keer in dit land niet uit wat wel en niet mag. En doen we het niet. Laten we, nu is aangetoond dat het goed kan, snel verdergaan met gegevensdeling.” De discussie vond weerklank bij Hawre Rahimi, Tweede Kamerlid voor de VVD: “Als je als burger recht hebt op hulp en je weet daar zelf op hebben niet van, dan is het wel zo fijn als de overheid je dat laat weten.” Als je dit binnen duidelijke kaders doet, dan is dat zeker mogelijk. Dat blijkt uit de besproken pilots. Rahimi concludeerde daarom: “Laten we stoppen met beweren dat alles dat met IT of algoritmes te maken heeft slecht is.” Reduceer complexiteit Verantwoord datagebruik is een randvoorwaarde voor een proactieve overheid. Maar het lost een fundamenteel probleem niet op. Namelijk de grote complexiteit van overheidsregelgeving waardoor mensen in de problemen komen. In de Staat van de Uitvoering wordt niet voor niets gepleit voor het reduceren van deze complexiteit, stelde Starmans. Ook omdat door deze complexiteit publieke dienstverleners hun werk niet altijd goed kunnen doen, waar burgers vervolgens de dupe van worden. Heijblom reageerde: “Wat de SVB heeft gedaan met UWV en CIZ, dat zouden we meer moeten doen. We hebben een goede start gemaakt met het programNummer 48, oktober 2023 ma Werk aan Uitvoering en de Interbestuurlijke Datastrategie. Maar het is én-én. We maken als departementen nog steeds te veel verkokerd beleid, ook daar moeten we wat aan doen. Onder meer door ervoor te zorgen dat beleid en uitvoering vanaf het begin samen aan tafel zitten.” Van wie zijn de data In de aansluitende discussie met de zaal ging het over eigenaarschap van data en de afhankelijkheid van techbedrijven. “Data zijn van burgers, zo zou het moeten zijn”, stelde Rahimi. Dat is echter op dit moment niet het geval. Daarnaast gebruikt de overheid middelen van commerciële partijen om data te verwerken en met burgers te communiceren, zei Van den Anker: “Soms kun je als burger de overheid alleen maar bereiken via social media!” Heijblom: “We zijn bezig met toepassingen die hier verandering in kunnen brengen, zoals een eigen Mastodon-server voor een sociaal netwerk van de overheid. En we bouwen aan een eWallet, waarin burgers hun eigen gegevens kunnen opslaan en vanuit daar gegevens kunnen delen.” Er wordt dus op meerdere vlakken gewerkt aan verantwoord datadelen, zodat de overheid haar dienstverlening meer proactief kan inrichten. Het minder afhankelijk worden van grote techbedrijven hoort daarbij, concludeerde Heijblom: “We zullen daarvoor ook op Europees niveau waarborgen moeten afspreken. En is én-én wat we moeten doen.” Hawre Rahimi, Tweede Kamerlid voor de VVD. 29
Persoonlijke terugblik Meeri Sillevis Smitt, student Student in de digitale overheid Congresbezoekers op weg naar de Fokker Terminal. Student met een missie: chillen en kletsen met bestuurders. “ p woensdagochtend 13 september stond ik op de stoep van de Fokker Terminal in zonnig Den Haag voor het jaarlijkse iBestuur Congres. Na een hartelijk ontvangst en kopje thee werd ik met andere studenten in een groep geplaatst die, net als ik, een achtergrond in ICT hebben. Hoewel het nog vroeg in de ochtend was, bruiste de zaal van de energie. Vragen schoten alle kanten op, en het gespreksonderwerp? Onze ambities voor vandaag en de toekomst. Voor iemand die op het punt staat haar studie af te ronden, was dit het ideale moment voor reflectie: wat wil ik na mijn studie doen? Het iBestuur Congres biedt unieke kansen om te netwerken met bestuurders en ambtenaren uit de ICT-wereld, zowel met degenen die er al diep in verankerd zijn als met degenen die ernaar streven om er meer bij betrokken te zijn. Maar de mogelijkheden stopten daar niet. Het was ook een uitgelezen kans voor studenten zoals ik op zoek naar afstudeeropdrachten, stages, of misschien zelfs bijbanen. O Chillen en kletsen Voordat het hoofdprogramma begon, verzamelden we ons in een lokaal boven de plenaire zaal. Daar werd ons kennisniveau op de proef gesteld met een quiz over de Rijksoverheid die bol stond van de acroniemen. Voor ons studenten waren deze termen nieuw, maar bij de aanwezige ambtenaren zeer bekend. Er bestaat zelfs een woordenboek voor! Na deze levendige introductie daalden we af naar de plenaire zaal voor 30 de officiële opening. De stem van onze generatie was luid en duidelijk te horen, echter waren wij in de overgrote minderheid. Een medestudent melde dat zijn missie om te chillen en te kletsen met bestuurders vandaag gaat gebeuren. Na enig gelach en applaus gaf hij ook als advies mee voor alle aanwezigen: verandering is goed, mits het geleidelijk gebeurt; hij keek ernaar uit om deze visie met de bestuurders en ambtenaren te delen. De toon was gezet en iedereen had er zin in. Het thema van dit evenement was ‘de verbeelding’. En onze taak was simpel: jezelf en jouw ideeën niet beperken door logica of regels. In plaats daarvan moesten we onze verbeelding de vrije loop laten en de mogelijkheden verkennen die we normaal niet serieus zouden nemen. Logica zou later wel komen. Empathische dienstverlening Na de plenaire opening keerden we terug naar het klaslokaal. Daar werden we gekoppeld aan diverse overheidsinstanties die graag met ons, de studenten, in gesprek wilden gaan over potentiële oplossingen voor specifieke problemen waar ze mee worstelden. Het ministerie van Defensie was bijvoorbeeld op zoek naar inzichten over verduurzaming, en zowel SVB als UWV was op zoek naar manieren om hun dienstverlening meer empathisch te maken. Ik sloot mij aan bij de laatstgenoemde groep, waar wij, ambtenaren en studenten, gewapend met kleurrijke sticky notes aan de slag gingen. We identificeerden verschillende onderwerpen – zoals veiligheid,
congres 2023 De staatssecretaris in gesprek met een student. De sessie begon net zo spannend als een Netflix-serie, waarin de recente technieken en methodes werden besproken persoonlijk contact, datagebruik, afbakening en wetgeving – die cruciaal waren voor empathische dienstverlening. Samen bekeken we welke stappen en middelen nodig waren om dit te realiseren en welke initiatieven we mogelijk meteen konden implementeren. Uiteraard moesten we onze verbeelding laten leiden. We kregen het bord vol met goede ideeën, en het was een mooie kans om in de praktijk te horen wat UWV en SVB belangrijk vinden voor een empathische dienstverlening. En als kers op de taart kwam staatssecretaris Alexandra van Huffelen persoonlijk een kijkje nemen bij alle studenten. Ondanks haar drukke programma nam ze de tijd om te luisteren naar onze ideeën en visies. Spannende sessie Na een intensief ochtendprogramma kregen we de vrijheid om deel te nemen aan twee verschillende deelsessies. Mijn Nummer 48, oktober 2023 31 eerste keuze viel op ‘Tijdreizen naar onze digitale samenleving in 2040’. In deze sessie gingen we klassikaal in discussie over hoe we ons de ideale digitale samenleving in 2040 voorstellen. Het was fascinerend om samen met bestuurders en ambtenaren te speculeren over de digitale samenleving waar we graag naartoe willen werken. De tweede sessie waar ik aansloot was ‘Verken de kracht van datagedreven opsporen’, georganiseerd in samenwerking met Ordina en de politie. Deze sessie begon net zo spannend als een Netflix-serie, waarin de recente technieken en methodes werden besproken die gebruikt werden in grote zaken zoals die rond drugsbaron Guzman. Hier besprak men de processen van het verkrijgen van relevante data voor het onderzoek tot het interpreteren en betekenis geven aan deze data via de modellen gecreëerd door Ordina. Ontzettend interessant! Naast de deelsessies ben ik ook in gesprek gegaan met stichting Stip, een initiatief om zoveel mogelijk mensen de mogelijkheid te bieden om mee te doen aan de samenleving door het gebruik van technologie. Bijvoorbeeld, door middel van VR-brillen kan men een sollicitatiegesprek oefenen, wat de drempel tot solliciteren verlaagd. Unieke en realistische inkijk Toen de dag bijna ten einde liep, was er nog een kans om bestuurders en ambtenaren te benaderen tijdens het netwerken. Geïnspireerd door de voorgaande sessies, trok ik mijn stoute schoenen aan en benaderde ik diverse bestuurders en ambtenaren. Tot mijn vreugde merkte ik dat ze allemaal open en ontvankelijk waren voor gesprekken met enthousiaste studenten zoals ik. Dus, voor alle studenten met een achtergrond in of een passie voor ICT en overheidszaken: mis deze kans niet! Evenementen zoals deze bieden een unieke en realistische inkijk in de wereld van de Rijksoverheid en helpen je je eigen ambities scherper in beeld te krijgen. Hopelijk tot volgend jaar! Meeri Sillevis Smitt is masterstudent LLM Governance and Law in Digital Society & MA Internationale Betrekkingen aan de Rijks universiteit Groningen. ”
Persoonlijke terugblik Bennie Mols, wetenschapsjournalist De kunst van de samenwerking AI op het Verbeeldingsplein. Het ‘Buddy’experiment: hoe kan AI sociale verbinding creëren? “ M 32 ijn moeder is dementerende en om haar eraan te herinneren dat ze elke dag haar medicijnen tegen een te lage hartslag inneemt, bel ik haar iedere ochtend even op. Terwijl ze aan de telefoon is, neemt ze haar pilletje in, zodat ze het echt niet vergeet. Ik heb eraan gedacht of ik niet een pratend robotje zou aanschaffen dat mijn telefoontje overneemt. Elke dag op dezelfde tijd zou het robotje haar kunnen vertellen dat ze haar medicijnen moet innemen. Dit soort robotjes bestaat. Ik zou het robotje zelfs mijn stem kunnen geven. Ik vroeg mijn moeder wat ze van dit idee vond. Ze zei niets, maar wees met haar wijsvinger ferm naar mij. Eerlijk gezegd heb ik zelf ook liever dat ik bel. Aan haar stem hoor ik namelijk meteen hoe het met haar gaat. We kunnen even een praatje maken. Mijn telefoontje is veel meer dan een instructie dat ze haar medicijnen moet nemen. Het is belangstelling voor haar, het is een betekenisvol contact tussen moeder en zoon, het is een manier om haar zich even minder alleen te laten voelen. Hoe slim geprogrammeerd ook, een robotje heeft geen enkele sociale, psychologische of biologische relatie met mijn moeder, en ook geen gedeelde ervaringen. Mensen hebben een leven, kunstmatige intelligentie (AI) niet. Dat is een wezenlijk verschil. Dit leidt er ook toe dat AI tot nu toe niet erg geschikt is gebleken voor het oplossen van vraagstukken die een belangrijke morele, ethische of sociale component hebben. Wereldwijd zijn er talloze voorbeelden van algoritmen die mensen onterecht van fraude beschuldigden, die bij sollicitaties vrouwen achterstelden, of die in gezichtsherkenningssoftware de gezichten van zwarte mensen veel slechter herkenden. Gelukkig blijven er nog genoeg problemen over waar de samenwerking tussen mens en AI wel tot betere prestaties kan leiden. Ondanks dat er nog talloze aspecten van intelligentie zijn waarin de mens veel beter is dan AI, zoals alledaagse kennis, redeneren over oorzaak en gevolg, abstraheren en generaliseren, zijn AI-systemen namelijk beter dan mensen als het gaat om het herkennen van subtiele patronen, het nemen van consistente beslissingen en het leren van enorme hoeveelheden invoerdata. Bovendien hebben ze geen last van vermoeidheid, emoties of typisch menselijke vooringenomenheden. Voor ingenomenheid Het menselijk brein is razend efficiënt en kan snel beslissingen nemen, maar de prijs die het daarvoor betaalt is een lijst met meer dan honderd soorten cognitieve vooringenomenheid of bias. 95 procent van de auto-ongelukken in Europa ontstaat door menselijke fouten, zoals een gebrek aan concentratie, een gebrek aan slaap of overmatig alcoholgebruik. Mensen laten het negatieve vaak zwaarder wegen
congres 2023 tussen mens en AI ren. Op deze manier kan AI ongelijkheid tussen mensen juist verminderen. Een studie van het Stanford Immigration Policy Lab liet zien dat AI de kans dat een vluchteling werk kreeg in de VS met veertig procent vergrootte en in Zwitserland zelfs met zeventig procent. Het AI-systeem zocht hiervoor naar de beste match tussen de individuele capaciteiten van een vluchteling, zoals opleiding en talenkennis, en de behoeften die een bepaalde gemeente aan bepaalde arbeidskrachten heeft. Een mooi voorbeeld van hoe AI ook tot betere overheidsbeslissingen kan leiden. Geen magie dan het positieve, wat bijvoorbeeld leidt tot veel meer negatief nieuws in de media dan positief nieuws. Een groot aantal mensen ervaart discriminatie bij sollicitaties, veroorzaakt door mensen, niet door algoritmen. Menselijke radiologen kunnen hoogstens honderd beelden per dag beoordelen en missen gemiddeld dertig procent van de diagnoses die op een afwijking duiden. Om dit soort menselijke tekortkomingen te compenseren, kunnen AI-systemen nuttig zijn. Menselijke radiologen die samenwerken met AI-systemen maken aantoonbaar minder fouten. Met de toenemende vergrijzing en een toenemend tekort aan radiologen is AI als aanvulling op de menselijke radioloog een uitkomst. Denemarken heeft een van de twee menselijke radiologen die bij het bevolkingsonderzoek naar borstkanker mammogrammen beoordelen al vervangen door een AI-systeem. Ongelijkheid verminderen Een recent experiment met taxichauffeurs in Tokyo die een AI-systeem konden gebruiken dat op elk moment voorspelt op welke locatie de vraag naar taxi’s het grootste is, liet zien dat de productiviteit van minder ervaren taxichauffeurs met veertien procent steeg, terwijl de productiviteit van zeer ervaren chauffeurs niet veranderde. Ook in andere beroepen is gebleken dat AI-systemen juist de prestaties van minder geschoolde of minder ervaren mensen kan verbeteBennie Mols nam deel aan de sessie ‘Kan AI sociale verbindingen creëren?’. Mols is wetenschapsjournalist, auteur en spreker, gespecialiseerd in AI. Van zijn hand verscheen dit jaar het boek ‘Slim, slimmer, slimst – Hoe kunstmatige intelligentie de mens een turboboost geeft’. Nummer 48, oktober 2023 33 De crux is om ons te realiseren dat huidige AI heel anders is dan menselijke intelligentie, dat AI geen magie is, maar door en door mensenwerk, en dat we heel goed moeten onderzoeken hoe we dat wat mensen beter kunnen dan AI moeten combineren met dat wat AI beter kan dan mensen. Dan is het niet genoeg dat een AI-systeem in een eenvoudige laboratoriumomgeving werkt, nee, eerst moet bewezen worden dat AI ook in een echte, complexe organisatie goed kan werken en ook nog kosteneffectief is. Vaak vraagt dat om aanpassingen van de mensen in de organisatie. In de kunst van de samenwerking tussen mens en AI hoeven AI-systemen niet op mensen te lijken, ze hoeven geen bewustzijn te hebben en ze hoeven niet onze maatjes of collega’s te zijn. AI-systemen moeten gewoon slimme, nuttige assistenten zijn die bepaalde problemen beter en sneller oplossen dan mensen dat kunnen en zo de mens een turboboost geven. ”
Persoonlijke terugblik Ruark Kroon, portfoliomanager VNG Realisatie Alle ICT-bedrijven nationalise “ T 34 Netwerken, samenwerken en cocreëren op het iBestuur Congres. ijdens het iBestuur Congres 2022 was één van de onderwerpen in de track Markt en Overheid ‘Innovatief samenwerking in de uitvoering’. Een goede sessie maar toch was er kritiek: het zijn voornamelijk oude grijze mensen die dergelijke discussies staan te voeren. Dat moet anders, dacht de organisatie! Dit jaar werd de discussie opnieuw gevoerd. Dit keer met ‘jonge’ ambtenaren zoals ik en medewerkers van IT-leveranciers die voor de overheid werken. We gingen met elkaar in discussie over onze uitdagingen en wat er volgens ons anders moet om innovatief te kunnen samenwerken in de uitvoering. Meer samenwerken en cocreëren Waar hebben we het over als we praten over de overheid en de markt? Het zijn grote begrippen die je eerst moet definiëren. Zelf kijk ik vaak vanuit het perspectief van de gemeentelijke overheid en de IT-markt die daarbij hoort. Wat mij opvalt is dat we heel eenvoudig verstrikt kunnen raken in een complex web van aanbestedingsregels en inkoopvoorwaarden. Als overheid hebben we onze behoeften vaak niet scherp geformuleerd waardoor we verzand raken in een overvloed aan technische specificaties. Hierdoor krijgen we met enige regelmaat producten opgeleverd die niet aan onze behoefte voldoet. We kunnen heel eenvoudig verstrikt raken in een complex web van aanbestedingsregels en inkoopvoorwaarden Tijdens het debat werd de suggestie gedaan om als overheid en markt meer met elkaar te gaan samenwerken en cocreëren. Door krachten vroegtijdig te bundelen kunnen we producten ontwikkelen die beter aansluiten op het ICT-landschap. Gelijkwaardigheid Maar daar schuurt het ook. Blijkbaar zijn we zover gekomen dat de overheid geen goede opdrachtgever meer kan zijn voor de markt. Oké, misschien is opdrachtgever niet het goede woord: samenwerkingspartner dan? Als overheid kunnen we blijkbaar niet meer de goede vraag stellen aan de markt of
congres 2023 ren? een gelijkwaardig gesprekspartner zijn. Dat heeft tot gevolg dat de overheid het opdrachtgeverschap is gaan uitbesteden. Een goede relatie tussen markt en overheid zou er volgens mij een moeten zijn van gelijkwaardigheid. Aan beide kanten moet kennis en expertise zitten. Wat is hiervoor nodig? Om effectieve samenwerkingspartners te zijn, moet de overheid een gelijkwaardige relatie creëren door zelf ook de nodige kennis in huis te halen. Bijvoorbeeld over de werking van ICT-systemen in gemeenten. Deze kennis is momenteel vaak in handen van de markt, met name de softwareleveranciers die de IT-infrastructuur voor gemeenten hebben gebouwd. Het versnipperde landschap maakt het voor organisaties zoals de Vereniging van Nederlandse Gemeenten (VNG) moeilijk om gemeenten te helpen om gemeenschappelijke standaarden te gebruiken en te implementeren. Nationaliseren? Als we echt willen veranderen dan hebben we mensen nodig die begrijpen hoe het systeem functioneert en in de toekomst moet functioneren. Ik zei gekscherend tijdens het debat dat het misschien tijd is om alle ICT-bedrijven te nationaliseren? Dan hebben we gelijk een hoop kennis bij de overheid en heb je ook geen last meer van de complexe aanNummer 48, oktober 2023 bestedingsregels. Zou dit de digitale transformatie waarin we ons bevinden niet aanzienlijk versnellen? Natuurlijk gaat bovenstaande nooit gebeuren maar ik ben wel positief gestemd over wat we wel kunnen als overheid. De overheid moet durven investeren in haar eigen mensen en weer een gelijkwaardige relatie in de samenwerking tussen de markt en de overheid creëren. Goed weten welke vraag je moet stellen, goed kunnen beoordelen wat wordt ontwikkeld of dat ook daadwerkelijk voldoet aan technische en operationele eisen. ” Ruark Kroon is portfoliomanager bij VNG Realisatie. Hij nam deel aan de sessie ‘Markt & Overheid Debat: Innovatief samenwerken in de uitvoering’ (junior-editie). 35
Generatieve AI: ‘Voorwaarts, maar niet roekeloos experimenteren’ e komst van ChatGPT schudde de samenleving vorig jaar ineens op. Plotseling was generatieve AI op alle fronten aanwezig. Van scholieren die hun werkstuk ermee maakten, in de algoritmes van grote techbedrijven, tot bij de overheid met al z’n eventuele maatschappelijke risico’s. In dit tempo is de technologie al weer lichtjaren verder dan allerlei regelgeving zoals de AI-Act. Hoe kunnen overheid en de sector het gebruik in goede banen leiden? Hoe blijf je in control? Hoe breng je alle ervaringen bij elkaar en welke richtlijnen komen daaruit voort? Welke rol kan de markt hierin spelen? D Gespreksleider Eppo van Nispen Sevenaer, kwartiermaker Cultuur en Media van de NLAIC ( Nederlandse AI Coalitie), leidt het gesprek in de Fokker Terminal in Den Haag. Op zijn vraag wie wel eens ChatGPT heeft gebruikt steekt de overgrote meerderheid van de zaal zijn hand op. Hij deponeert de stelling dat de overheid, net als bij veel technologische ontwikkelingen, ook nu nog niet is toegerust voor generatieve AI. “We moeten niet doen alsof het iets nieuws is dat net is bedacht”, reageert Michel van Leeuwen, directeur Artificiële Intelligentie bij het ministerie van Justitie en Veiligheid (JenV). “AI is natuurlijk breder dan ChatGPT. De hype is enorm, maar het helpt me wel AI uit te leggen. Iedereen wil meespelen, aan de overheid de verantwoordelijk om dat op een goede manier te doen.” Van onderop Bij de gemeente Zoetermeer werkt vooral het jongere deel van de organisatie met AI, vertelt gemeentesecretaris André Huykman. “We hebben 36 Samenwerking met de markt ChatGPT is inderdaad een hype, maar we moeten er wel wat mee, stelt ook Laila Fettah, architect bij De overheid wordt vaak overvallen door technische ontwikkelingen. Ook voor de komst van generatieve AI lijkt de overheid niet toegerust. Maar is dat echt zo? In het iBestuur Congresdebat ‘Generatieve AI is binnengekomen zonder kloppen, en hoe!’ gingen overheid en marktpartijen daarover met elkaar in gesprek. Door Pieter Verbeek een paar mooie voorbeelden van pilots. We lopen wel tegen hardnekkige softwareleveranciers en oude contracten aan en zijn voorzichtig voor lockins met leveranciers. Maar het is heel gaaf om te zien dat het van onderop komt. Mensen hebben het soms geleerd van hun zoon of dochter, en gebruiken het vervolgens in hun werk.” Meegaan met de ontwikkelingen is dan ook geen moeilijke keuze, volgens Huykman. “Over tien jaar heb ik 10 procent minder mensen, zo is de arbeidsmarkt. Ik heb tools nodig.” Daar is Thomas Dohmen, directeur van de Artificial Intelligence Labs van de Universiteit Utrecht, het mee eens. “De ICT-vacatures nemen toe, maar het aantal mensen neemt af. Dus als je over tien jaar daar rekening mee wilt houden, moet je nu al investeren als organisatie.”
congres 2023 IBM. “Ook al is de samenwerking tussen private en publieke partijen verbeterd, toch is iedereen nog te veel in de eigen silo aan het knutselen. Organisaties moeten keuzes en techniek inkaderen. Dat vraagt om samenwerking.” Erwin Angelier van Google Cloud vindt dat we AI te veel neerzetten als experiment. “Er zijn al allerlei jonge organisaties bezig met generatieve AI in productontwikkeling en klant-engagement. Dat is heel anders dan hoe er vanuit de overheid mee om wordt gegaan. We moeten dan ook voorzichtig zijn welke use cases we aanpakken. Als we de verkeerde belich“AI is natuurlijk breder dan ChatGPT. Het helpt me wel AI uit te leggen” Nummer 48, oktober 2023 ten is dat niet goed. Uiteindelijk willen we klant- en burgerparticipatie ermee verbeteren.” Door inzet van generatieve AI kunnen teams hun output verdubbelen”, voegt Paul Heijmans van Ordina toe. “Er is nog te veel discussie over wat wel en niet mag. We moeten terug naar de basisvragen, en hoe kan generatieve AI ons daarbij helpen? Er komen steeds meer vragen. Wat betekent dit voor onze organisatie. Wij moeten uitleggen wat er mogelijk is, mensen reageren nu reactief op deze ontwikkeling. Mijn advies: werk meer met de markt samen.” Ouderwets automatiseren Al in januari 2020 ontstond bij de top van het ministerie van JenV het besef over de gevaren van algoritmes, vertelt Van Leeuwen. “We moeten voorwaarts, maar niet roekeloos experimenteren. We moeten voorbereid zijn op wat er de komende decennia aankomt. En meer ‘ouderwets’ automatiseren: de juiste tool zoeken voor een vraagstuk.” 37 Michel van Leeuwen aan het woord: “Wat steeds centraal moet blijven staan is de mens, de opgave, en niet de tooling.”
Erwin Angelier: AI niet te veel neerzetten als experiment. Eerst moet daarvoor de basis op orde zijn, vult Fettah aan: “Anders krijg je garbage in garbage out. Daarom pleiten wij er bij dit soort modellen voor om niet van alles erin te stoppen, maar eerst te kijken naar wat er al in zit. Als overheid moet je de eigen context toevoegen. We doen te veel experimentjes op sexy onderdelen, maar kijken niet naar de hele keten. Wat voor data erin komen, wat eruit komt. Het moet nuttig zijn.” Heijmans is het daarmee eens. “De context moet goed zijn, alleen dan kun je generatieve AI inzetten voor ouderwets automatiseren.” Daarom moet je als overheid dan ook kritisch kijken met welke partijen je in zee gaat, vult Angelier aan. “Als je zaken doet met een partij die niet vraagt of je het wel aankunt, of je de basis wel op orde hebt, dan moet je jezelf achter de oren krabben. Transparantie op het proces en op de keuzes die je maakt is super belangrijk.” Huykman schetst hoe kwetsbaar data kunnen zijn. “Wij zijn verantwoordelijk voor de data. Maar ik ken gemeenteambtenaren –waaronder ikzelf – die de data van hun familieleden niet toevertrouwen aan het systeem; dan doen we ons werk niet goed. Het gaat heel erg om privacy. Je wilt weten en snappen welke data gebruikt worden, waarvoor en door wie en dat ze vernietigd worden. De onderliggende datastructuur en borging, dataveiligheid, moeten zo stevig zijn dat onze zorgvuldigheid groot is. Dan kunnen we het met comfort gebruiken en is het ook niet eng bij nieuwe toepassingen. Het gaat over het besef van wie de data in een organisatie zijn. De archiefrol van de gemeente is een wettelijke taak, maar we moeten weten dat het niet mijn data zijn, maar die van inwoners. En dan gaat het ook vaak om de meest kwetsbare data. Ik ben blij dat we dat de jongere generaties minder hoeven uitleggen.” Mooie aanleiding voor het gesprek De directeur Artificiële Intelligentie van JenV kijkt na afloop van de sessie terug op een mooi debat. “Deze hype is een mooie aanleiding om het gesprek aan te gaan over de mogelijkheden van generatieve AI, zodat we vervolgens de juiste tool vinden voor de juiste problemen. Daarvoor is deze ontwikkeling heel erg waardevol.” We moeten AI bekijken met een bredere blik, herhaalt hij nog eens. “We moeten continu blijven investeren in ons digitale fundament: om onze data op orde te hebben, onze systemen veilig te houden en bij de tijd te houden.” 38 “Het gaat over het besef van wie de data in een organisatie zijn” De belangrijkste boodschap uit het debat is volgens Van Leeuwen dat we het midden moeten zoeken tussen doen alsof AI alle problemen oplost tegenover achterover leunen uit angst. “Het is belangrijk dat we aan de slag gaan en ervan gaan leren. We moeten beseffen dat dit niet de golden bullet is. Wat steeds centraal moet blijven staan is de mens, de opgave, en niet de tooling dus.” Van Leeuwen zelf is vanuit zijn functie vooral gericht op veiligheid en rechtvaardigheid rond generatieve AI. “Ook in onze digitale samenleving willen we zorgvuldig blijven werken, zodat er geen onrechtvaardigheid insluipt. Dat is niet alleen de verantwoordelijk van ons als overheid, maar van iedereen die werkt aan deze ontwikkelingen. Had je bij een ouderwets boekhoudprogramma nog het overzicht, met dit datagedreven werken sluipen er makkelijk selectie- of metadata fouten in die bijvoorbeeld ongewild tot discriminatie kunnen leiden. Daarom is het extra belangrijk dat we werken aan de ethische verantwoordelijkheid van AI.”
congres 2023 Verbeeldingsplein Op een congres met als thema ‘De Verbeelding’ kan het niet alleen bij woorden blijven, hoe inspirerend en informatief ook. Bij verbeelden gaat het ook en vooral om ervaren. En dat kon op het Verbeeldingsplein. Met moderne technologische middelen als de VR-bril konden de bezoekers beleven hoe je met een visuele beperking de toegankelijkheid van websites ervaart. Ook demissionair staatssecretaris Van Huffelen kwam langs. Zij kreeg een demonstratie van de zogenoemde Implicards, een praatplaat voor toegankelijke digitale dienstverlening, en van verschillende telefoons met het prototype van de NL wallet om te ervaren hoe dat werkt. En omdat verbeelding uit het brein komt daagde iPartnerschap de bezoekers uit om vergezichten te verbeelden op basis van kennis die de overheid in huis heeft. Nummer 48, oktober 2023 39
iBestuur Congres in Bent u niet in de gelegenheid geweest om op 13 september aanwezig te zijn op het iBestuur Congres? Geen probleem: u kunt verschillende interessante sessies alsnog online bekijken; bijvoorbeeld als intermezzo tijdens een drukke werkdag. We hebben er alvast een paar uitgelicht. Een seintje dat er financiële hoop gloort verheidsdienstverlening waarbij burgers niet meer zelf op zoek hoeven, maar krijgen waar ze recht op hebben. Automatisch. Zonder gedoe. En in vertrouwen. Bij de zuiderburen is dit concept succesvol geïmplementeerd in onder meer de sociale zekerheid. Het Belgische voorbeeld krijgt langzaam maar zeker navolging in Nederland. Ons land telt niet minder dan 5,7 miljoen burgers met een uitkering. Een deel daarvan heeft veel moeite om de eindjes aan elkaar te knopen. Het gaat vaak om ‘schrijnende gevallen’ van een leven onder het bestaansminimum. Een van de oorzaken is dat veel mensen niet op de hoogte zijn van regelingen waar ze recht op hebben. O De Sociale Verzekeringsbank (SVB), die zich inzet voor bestrijding van armoede, kan die mensen niet bereiken. Als UWV en de Belastingdienst gegevens zouden delen met de SVB zou deze doelgroep wél kunnen worden bereikt. Er is een techniek ontwikkeld om data zodanig versleuteld te delen zodat de privacy en transparantie gewaarborgd blijven. Dankzij die techniek ontvangt de SVB niet het hele 40 Diana Starmans luistert aandachtig naar Marianne van den Anker (Ombudsman Rotterdam Rijnmond). dossier over een burger in armoede, maar alleen een signaal dat die persoon erop moet worden gewezen dat er meer financiële regelingen voor hem zijn dan waarvan hij op dat moment gebruik maakt. Diana Starmans, bestuurslid van de SVB, vertelde op het iBestuur Congres over een geslaagde pilot met de regeling Aanvullende Inkomensondersteuning. Die regeling voorziet in een aanvulling van het inkomen van ontvangers van onvolledige AOW. Het gaat daarbij om expats en geremigreerde ‘gastarbeiders’ die te kort in Nederland hebben gewerkt om recht op een volledige AOW op te bouwen. Hoe werkt het? En welke perspectieven opent deze pilot? Voor Diana Starmans verhaal over de pilot en de bestrijding van armoede door IT, ga naar www.ibestuurcongres.nl/2023/replay
uw eigen tijd e Toeslagenaffaire legde pijnlijk bloot dat de informatiehuishouding van de overheid zonder controle van openbaarheid in het honderd loopt, met alle leed voor de betrokkenen van dien. “In de basis is de openbaarheid van bestuur in de informatiehuishouding van de overheid wel gelukt, maar er is een veel grotere reikwijdte nodig”, aldus Dany Venema, directeur van Doc-Direkt van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, op het iBestuur Congres. “De dossiers die nu over en weer gaan zijn nog onvolledig. De burger moet alles kunnen terugvinden in zijn dossier: alle e-mails, alle appjes, alle chatberichten, alle stukken en de precieze stand van websites ten tijde van de informatie-uitwisseling. Met andere woorden: werkelijk alle informatie die ontvangen, verstuurd en gecreëerd is moet in geordende en toecongres 2023 Informatiehuishouding overheid: een voor allen, allen voor een D Dany Venema: “Iedereen is bezig met zijn eigen verbeterplan en dat is best lastig.” gankelijke staat worden gebracht.” Er zijn momenteel alleen al bij de departementen 120 adviseurs aan het werk om de informatiehuishouding op orde te brengen. “Iedereen is bezig met zijn eigen verbeterplan en dat is best lastig.” De klus zou volgens Venema kunnen worden vergemakkelijkt als er één virtuele werkplek zou worden gecreëerd die ontzorgt en te hulp schiet waar nodig. Dat is naar zijn oordeel een belangrijke stap naar een overheid die goed geïnformeerd is en uitstekend informatie kan verschaffen om de burger goed te kunnen bedienen. Maar er zijn meer twijfels over de staat van de informatiehuishouding en over de kansen om die snel op orde te brengen. Venema schoof aan bij een gesprek met drie andere deskundigen om de vinger op de zere plekken te leggen. Interactie met het publiek. Meer weten over de zere plekken en de kansen om de informatiehuishouding te verbeteren? Ga naar www.ibestuurcongres.nl/2023/replay Nummer 48, oktober 2023 41
Van wetgeving naar elektronische dienst eel gemeenten hebben regelingen op hun website toegankelijk gemaakt voor burgers door middel van een soort juridische beslissingssysteempjes. Zo kan een burger bijvoorbeeld snel zien of hij recht heeft op een bepaalde uitkering en die ook meteen aanvragen. Al dat soort systeempjes is gebaseerd op bovenliggende wetgeving. De vormgeving van de vertaalslag van wetgeving naar zulke kleine systemen is geen sinecure en is ook een uitdaging voor de andere drie overheden. Er zijn verschillende methodieken voor bedacht en nog in ontwikkeling. De Rijksuniversiteit Groningen, de Hogeschool van Amsterdam en de Hanze Hogeschool hebben een ‘leergemeenschap’ in het leven geroepen om studenten die op weg zijn naar een baan bij de overheid alvast te laten kennismaken met de technische vertaling van wetgeving in gebruiksvriendelijke diensten. V Mathieu Paapst (Rijksuniversiteit Groningen) over de technische vertaling van wetgeving in gebruiksvriendelijke diensten. De leergemeenschap krijgt een elektronische leeromgeving, waar ook professionals die al werkzaam zijn bij de overheid – juristen en IT’ers – terecht kunnen om hun kennis en ervaring te updaten. “Ons initiatief is ook bedoeld als bezinning op de bestaande methodieken, ontwikkeling van nieuwe methodieken en het testen daarvan in de praktijk”, vertelt Mathieu Paapst, onderzoeker bij de Rijksuniversiteit Groningen. Er zijn nu methoden in omloop die sterk van elkaar verschillen. 42 MarcJan Kraaijenzank (Ministerie van BZK | IPartnerschap), Mathieu Paapst (Rijksuniversiteit Groningen), Frank de Jonge (RVO), Ivar Timmer (Hogeschool van Amsterdam) en Larissa Zegveld (Stichting Kennisnet). De wetsanalyse bijvoorbeeld bestaat vooral uit screening van de wetstekst op uitvoeringsaspecten nog vóór die zijn beslag heeft gekregen, terwijl de techniek LegitiMaat, een auditinstrument achteraf is om de uitkomsten van een bepaald digitaal proces in kaart te brengen en te beoordelen. “Dit gebied is zo interessant en uitdagend omdat het op het snijvlak ligt van recht en IT”. De sessie op het iBestuur Congres waarin Paapst de leergemeenschap presenteerde, is tegelijkertijd een oproep aan iedereen die zich bezighoudt met de vertaalslag van wetgeving naar IT om aan te haken. “Wat is jouw opdracht en kunnen wij daarbij iets voor jou betekenen? Iedereen mag zich aangesproken voelen, want daarmee groeit de gemeenschap en haar kennis.” Kijk hier voor meer informatie over de leergemeenschap en of die iets voor u kan betekenen: www.ibestuurcongres.nl/2023/replay
congres 2023 Baas in eigen cloud en snel graag! O verheden danken in rap tempo hun servers af en stappen over op de cloud. Handig, maar riskant. Er zijn hard standaarden nodig om onder andere portabiliteit van gegevens, cloud-interoperabiliteit en informatieveiligheid te waarborgen. Verplichte standaarden, maar… welke? En op welke Europese en internationale standaardisatie-activiteiten voor cloud moeten en kunnen de overheid en de private sector nog invloed uitoefenen? Deze en andere cruciale vragen werden bediscussieerd op het iBestuur Congres in een sessie met de veelzeggende titel ‘Baas in eigen cloud’, onder leiding van Larissa Zegveld, directeur van de stichting Kennisnet. Toen staatssecretaris Van Huffelen (digitalisering) besloot dat overheden hun data in de cloud mogen onderbrengen, haastte het Forum Standaardisatie zich te waarschuwen dat zo’n overstap heel zorgvuldig en doordacht moet geschieden. Er zouden snel eenduidige, verplichte standaarden moeten worden ontworpen en afgekondigd. “Een groot deel van ‘de cloud’ is in handen van een klein groepje grote Amerikaanse en Chinese techbedrijven”, aldus Zegveld. Het is voor kleine aanbieders en starters vrijwel onmogelijk om die markt succesvol te betreden. Standaardisatie zal een level playing field helpen creëren, waardoor er meer diversiteit in het aanbod komt en overheden dus meer keuzevrijheid krijgen. In de huidige markt zijn de publieke waarden waarop overheidsbeleid stoelt lang niet altijd in goede handen bij dat kleine clubje giganten. Nederland is te klein om zelf greep te krijgen op de cloudmarkt en moet hoognodig aanschuiven aan de Europese tafels. “Wij zijn koplopers in internetsecurity en veiligheidsstandaarden maar bemoeien ons te weinig met wat de ontwikkeling van technische specificaties en eisen die Europa meer houvast geeft.” Zegveld benadrukte dat expertise op dit gebied niet voor het oprapen ligt. De urgentie wordt inmiddels wel gevoeld, zo neemt zij waar, maar er is sprake van ‘handelingsverlegenheid’. Kijk hier om uw kennis van de cloud-actualiteit op peil te brengen www.ibestuurcongres.nl/2023/replay Larissa Zegveld (Stichting Kennisnet). Nummer 48, oktober 2023 43
De schuldenaar en de weg naar verlichting D at armoedebestrijding een van de majeure maatschappelijke thema’s is geworden, kan niemand ontgaan. Uit een onderzoek van het Centraal Bureau voor de Statistiek is gebleken dat momenteel 60.000 huishoudens kampen met langdurige betalingsachterstanden. In het onderzoek waren zes uitvoeringsorganisaties betrokken: het CJIB, de Belastingdienst (toeslagen), DUO (studiebeurzen), de SVB, het UWV en het CAK (zorgschulden). Het gaat om grote bedragen: gemiddeld 18 mille. Slechts 10 procent van deze schrijnende gevallen blijkt bekend met een vorm van schuldhulpverlening. “We kennen nu weliswaar de omvang van dit maatschappelijke probleem, maar we weten niet wie het zijn, want betrokken instanties mogen hun gegevens niet zomaar uitwisselen”, zegt Nina Faber, beleidsadviseur bij het CJIB. “Er is wel al samenwerking tussen CAK, CJIB en DUO via de Betalingsregeling Rijk en al bijna 10.000 mensen met schulden hebben die regeling weten te vinden. Maar het zou veel mooier zijn als we niet achteraf hun problemen oplossen maar die proactief zouden kunnen voorkomen.” Er bestaat al privacy enhanced technology, die ervoor zorgt dat mensen die in de problemen dreigen te komen, op tijd worden benaderd zonder dat de betrokken instanties hun identiteit kennen. Desondanks valt dat onder de AVG. “Er moet een wettelijke basis komen voor het gebruik van deze technologie door de betrokken instanties. Het vraagstuk ligt inmiddels op verschillende bestuurlijke tafels. Maar we moeten ook snel de koppen bij elkaar steken om alle zes instanties te betrekken bij de toepassing van de techniek”, aldus Faber. Ronald Damhof vult aan: “We moeten ons daarbij realiseren dat, naast de techniek, gegevensdeling bijna altijd een combinatie is van technische, juridische, culturele en semantische uitdagingen.” Meer weten over de inzet tegen de groei van armoede? Ga naar www.ibestuurcongres.nl/2023/ replay. Zie ook het verhaal van het UWV op pagina 40. Piek Visser-Knijff (filosofe), Nina Faber (CJIB), Ronald Damhof (Ministerie van JenV) en Emine Özyenici (Ministerie van JenV). 44
congres 2023 Angeline van Dijk van de Rijksinspectie Digitale Infrastructuur (RDI). Alertheid op kansen en gevaren van AI “M ijn organisatie kan niet zonder artificial intelligence”, zo luidde een van de stellingen in de sessie op het iBestuur Congres die in het teken stond van de stormachtige opmars van AI. De reactie van de zaal was veelzeggend: slechts twee aanwezigen gaven aan dat hun organisatie er (nog) niets mee doet. AI is voor veel organisaties een gegeven, vaak zonder dat medewerkers weten dat zij er dagelijks gebruik van maken. De sessie onder leiding van inspecteur-generaal Angeline van Dijk van de Rijksinspectie Digitale Infrastructuur (RDI) maakte duidelijk dat iedereen zijn oren spitst als de term AI valt. Een mengeling van angst, hoge verwachtingen en gezond wantrouwen beheersen de discussie. Er is heel veel gaande, niet alleen razendsnelle technische ontwikkelingen, maar ook naarstige beleidsvorming en regelgeving. Binnenkort wordt de Europese AI Act van kracht, gericht op innovatie in een duidelijk gereguleerd kader: Europese bedrijven krijgen de kans om in regulatory sanboxes AI-innovaties voor elkaar te krijgen, waardoor de EU minder afhankelijk wordt van wat de VS en China te bieden hebben. Naast kansen zijn er ook risico’s: “Er is een soort black box: veel is nog onbekend, onbegrepen en ongrijpbaar”, zegt Van Dijk. “Systemen kunnen bijvoorbeeld gaan hallucineren en blijken soms gevoelig voor manipulatie. Zulke high risk systems moet de inspectie heel goed onderzoeken.” De RDI heeft inmiddels een AI-kenniscentrum opgericht en werkt aan een AI-Lab, waar systemen zullen worden getest. Per slot van rekening heeft de inspectie de taak om de digitale infrastructuur te vrijwaren van slechte en of riskante producten. Meer weten over deze sessie over de opmars van AI en de implicaties daarvan: www.ibestuurcongres.nl/2023/ replay Nummer 48, oktober 2023 45
Aan de slag met NIS2 ‘We zijn zo sterk als onze zwakste schakel’ 17 oktober 2024 lijkt nog ver. Maar met uw voorbereidingen op NIS2 kunt u niet vroeg genoeg beginnen. U heeft vast van NIS gehoord, de Network and Information Security Directive. Ofwel de Richtlijn Netwerk- en Informatiebeveiliging. De opvolgende NIS2 biedt nu de gelegenheid om uw en onze digitale verdediging te versterken. Dit betekent gevoelige gegevens beschermen, kritieke infrastructuur beveiligen tegen cyberdreigingen en digitale weerbaarheid verhogen. Pak deze kans om het niveau van cyberbeveiliging in Europa te verhogen. e nieuwe Europese cybersecurityregulering zal naar verwachting op ongeveer 16.000 bedrijven en organisaties in Nederland van toepassing zijn, waaronder een groot deel van de publieke sector. Of u nu gemeenteambtenaar, ITbeheerder of als externe jurist ingehuurd bent, de implementatie van NIS2 gaat mogelijk uw werkzaamheden beïnvloeden. Het is daarom essentieel uzelf de volgende cruciale vragen te stellen: hoe veilig is mijn organisatie? Zijn we goed voorbereid om kwaadwillende hackers te weerhouden onze systemen binnen te dringen? Hoe beveiligen we onze toeleveD 46 ringsketen effectief, van begin tot eind? NIS2 heeft niet alleen impact op organisaties in de publieke sector, maar ook op de toeleveringsketen, ook wel de supply chain genoemd. Met één succesvolle inbreuk kan een kwaadwillende hacker soms toegang tot duizenden organisaties verschaffen. In de hedendaagse online verbonden wereld zijn kleine en middelgrote bedrijven steeds vaker doelwit van cyberaanvallen. Een aanval op een – op het eerste gezicht onbeduidende – schakel in de toeleveringsketen kan leiden tot verwoestende gevolgen voor grotere organisaties. Een goed beveiligde keten begint bij elke organisatie die zijn cyberbeveiliging serieus neemt. Van groot tot klein. We kennen allemaal het gezegde: de ketting is zo sterk als de zwakste schakel. Impact NIS2 in de publieke sector De NIS2-richtlijn is ontworpen om cyberbeveiliging binnen de EU te harmoniseren en te verbeteren. Met de nieuwe richtlijn, wordt de lijst van sectoren die onder de richtlijn vallen uitgebreid. Onder meer naar transport, financiën, gezondheidszorg en digitale infrastructuur. Bedrijven en organisaties in deze sectoren worden gecategoriseerd als ‘essentieel’ of ‘belangrijk’, afhankelijk van hun omvang en belang. NIS2 verplicht organisaties om risicobeoordelingen uit te voeren, passende beveiligingsmaatregelen te nemen en significante incidenten binnen 24 uur te melden. Lidstaten bepalen zelf of een boete toepasbaar is alsook wat de de hoogte van een boete is. Bovendien kunnen organisaties geconfronteerd worden met verhoogde aansprakelijkheid als gevoelige informatie wordt gecompromitteerd. Voor overheden geldt dat ze vaak beschikken over gevoelige informatie. Dus werkt u bij of voor een overheid, binnen alle lagen en van groot tot klein,
p a r t n e r Microsoft • Zorg voor uw continuïteit: stel noodherstelplannen, noodprocedures en crisismanagementstrategieën vast. • Beoordeel de beveiliging van uw toeleveringsketen: evalueer de potentiële risico's die externe leveranciers en dienstverleners met zich meebrengen. dan moet u mogelijk ook met NIS2 aan de slag. Dat geldt niet alleen voor Nederland, maar voor heel Europa. Proactieve voorbereiding: waar te beginnen? Daar NIS2 volledig geïmplementeerd is vanaf 17 oktober 2024, is het van groot belang dat u als organisatie in de publieke sector nu al actie onderneemt en u alvast voorbereidt. Dit kunt u direct al doen: • Voer een risicoanalyse uit: identificeer de meest kritieke systemen en diensten van uw organisatie en beoordeel de potentiële risico’s van cyberaanvallen. Nummer 48, oktober 2023 • Versterk beveiliging van uw netwerken informatiesystemen: controleer de configuratie en het beheer van kwetsbaarheden binnen uw systemen. • Creëer een cyberveiligheidscultuur: train medewerkers in beveiligingsbeleid en zorg voor naleving ervan in de praktijk. Weerbaarheid begint bij mensen. Conclusie: nu actie ondernemen! Een kwaadwillende hacker wacht niet tot uw IT-systemen optimaal beveiligd zijn. Wapen uzelf met kennis en begin vandaag nog met de voorbereidingen op NIS2. Het versterken van de cyber security van uw organisatie is meer dan een compliance-verplichting; het is noodzaak om uw operaties, reputatie en gevoelige gegevens te beschermen. Omarm NIS2 als de kans om uw cybersecuritymaatregelen te versterken en een veiligere werkomgeving te creëren. Ga na welke organisaties in de toeleveringsketen zwak beveiligd zijn. Zoek professionele begeleiding als u het zelf niet weet. En wacht vooral niet totdat een incident zich voordoet. De klok tikt. Noteer 17 oktober 2024 in uw agenda en begin vandaag met uw organisatie voorbereiden op een veiligere toekomst. Samen bouwen we aan een blijvend weerbare en cyberveilige publieke sector. Weten wat de gevolgen voor uw organisatie zijn? Download ons whitepaper ‘Nieuwe cybersecurity richtlijnen waar iedereen mee te maken krijgt.’ 47 beeld: shutterstock
Common Ground bouwen gemeenten en leveranciers samen ‘Oefenwerk is achter de rug’ en gemeentelijke informatievoorziening die gemeenten in staat moet stellen om sneller in te spelen op maatschappelijke ontwikkelingen. Dat is het doel van Common Ground. De huidige informatievoorziening ondersteunt dit onvoldoende, onder meer doordat gegevens niet eenvoudig in verschillende processen gebruikt kunnen worden. Gemeenten en IT-leveranciers bouwen al een aantal jaren aan Common Ground. Vorig jaar vond er een evaluatie plaats en sindsdien wordt de ontwikkeling van Common Ground programmatisch aangepakt. “Er is onder meer een governancestructuur neergezet die mij het gevoel geeft dat we nu echt gaan beginnen”, zegt Hillenaar in een nieuwe podcastserie van Centric over Common Ground. De fase ervoor noemt hij “een goede verkenning, met veel goed oefenwerk. We kunnen nu, gemeenten en IT-leveranciers samen, de definitieve stappen zetten om te komen tot een nieuwe informatievoorziening.” E Winst Het heeft gemeenten al wel wat opgeleverd, die fase van het ‘oefenwerk’, zegt Hillenaar: “Het belangrijkste is denk ik het feit dat gemeenten echt zijn gaan samenwerken aan een nieuwe informatie-infrastructuur.” Mark Uiterwijk Winkel, Chief Portfolio Officer bij Centric Public Sector Solutions, vult aan: “Gemeenten beseffen dat ze veel gemeenschappelijk hebben en dat is winst. Het 48 “We zien Common Ground als een kans om collectief tot een beter opdrachtgeverschap te komen, met een heldere rol voor ons als opdrachtnemer”, zegt Maarten Hillenaar, directeur Centric Public Sector Solutions. Gemeenten en IT-leveranciers moeten nauw samenwerken, in een heldere rolverdeling, om Common Ground te doen slagen. biedt kansen om meer samen te werken en daarmee bijvoorbeeld de dienstverlening aan burgers te verbeteren.” Hij wijst op de API’s voor zaakgericht werken, die de gemeente Rotterdam samen met Centric implementeerde in een aantal bedrijfsprocessen. Deze maken het mogelijk dat zaakgegevens direct in verschillende processen vanuit een centraal zaaksysteem worden gebruikt. Een belangrijke stap in het efficiënter en daarmee beter maken van de dienstverlening. Alle gemeenten kunnen deze API’s gebruiken. Uiterwijk Winkel: “Als deze API’s de bestaande standaarden vervangen, dan is dit echt een stap naar een eenvoudiger en goedkopere informatievoorziening voor gemeenten.” Meer dan technologie Common Ground is veel meer dan technologie, vertelt René Bliekendaal, Chief Architect bij Centric Public Sector Solutions: “Ik denk dat maar vijf tot tien procent techniek is en de rest heeft met organisatie, processen en informatie te maken. Techniek is zeker belangrijk om Common Ground mogelijk te maken, maar het is veel meer dan techniek alleen.” Wat is ervoor nodig om Common Ground tot een succes te maken? Hierover publiceerde Centric eerder een position paper, met daarin een negental aanbevelingen. Eddy van de Werken is product manager bij Centric en nauw betrokken bij de totstandkoming van Common Ground. Zo neemt hij namens Centric deel aan het Groeipactoverleg, waarin marktpartijen met VNG Realisatie overleggen over de ontwikkeling van Common Ground. “Wij zien een aantal voorwaarden om Common Ground te laten slagen. Een belangrijke is investeren in de ontwikkeling van toepassingen die toegevoegde waarde leveren. Waar bijvoorbeeld inwoners echt beter van worden, of medewerkers van gemeenten en gemeenschappelijke regelingen. Belangrijk is te focussen op zaken waar nog geen toepassingen voor zijn, bijvoorbeeld bij nieuwe wet- en regelgeving. De ontwikkeling van toepassingen vraagt doorgaans om een flinke investering, in
partner C e n t r i c Maarten Hillenaar: “Nu definitieve stappen zetten om te komen tot een nieuwe informatievoorziening.” beeld: abbink fotografie geld en in tijd. Daarom is het belangrijk om te doen wat echt meerwaarde oplevert.” Hillenaar: “Er komt nogal wat nieuwe wet- en regelgeving aan met een grote impact op de gemeentelijke informatiehuishouding. Daar zijn volop kansen om met Common Ground grote stappen vooruit te zetten.” Voor alle gemeenten Welke rol ziet Centric voor zichzelf in de ontwikkeling van Common Ground? Nummer 48, oktober 2023 Centric past in haar oplossingen de principes vanuit Common Ground steeds meer toe, zoals de IT-architectuur van het vijflagenmodel. Daarin worden onder meer toepassingen gescheiden van data, zodat data makkelijker en veiliger gebruikt kunnen worden in verschillende processen. Nieuwe Centric-oplossingen volgen deze principes, bestaande worden stapsgewijs aangepast. Hechte samenwerking tussen gemeenten en IT-leveranciers, zoals Centric, is essentieel voor de verdere ontwikkeling van Common Ground, zegt Hillenaar. “Het is aan gemeenten om duidelijk te maken wat zij willen, zodat wij dat als leverancier kunnen ontwikkelen. We zien Common Ground dan ook als een kans om collectief tot een beter opdrachtgeverschap te komen. Het helpt ons als wij een eenduidige opdracht vanuit gemeenten krijgen.” Nog lang niet alle gemeenten zijn aangehaakt bij Common Ground, terwijl voor het doen slagen van Common Ground een meerderheid van gemeenten (en het liefst alle gemeenten) deze nieuwe informatievoorziening moeten omarmen, zegt hij. Alleen dan worden immers de doelen van Common Ground gehaald, zoals een flexibelere en veiligere uitwisseling van gegevens. Hillenaar besluit: “Gemeenten en leveranciers hebben al veel bereikt bij het bouwen aan Common Ground. De kunst is nu om het te laten lukken, voor alle gemeenten.” Podcast In de driedelige podcastserie wordt ingegaan op de strategische, technische en praktische kanten van Common Ground. De serie is te vinden op de website Centric Insights, onder het thema Common Ground. 49
Cloudconnectiviteit: sleutel tot innovatie en groei in het digitale tijdperk Een van Leonardo da Vinci’s gevleugelde uitspraken luidde: ‘Alles is met alles verbonden.’ Eeuwen later verbinden cloudtechnologieën de wereld op manieren die voorheen niet denkbaar waren. Organisaties kunnen zo data, partners, toeleveringsketens en klanten samenbrengen in ecosystemen. Dit biedt een toekomst vol innovatie en nieuwe mogelijkheden. Country Head TCS Nederland. “Onze laatste wereldwijde studie bevestigt dat er geen bedrijfsstrategie is zonder een cloudstrategie.” ankzij cloud-native mogelijkheden en datagestuurde technologieën zoals kunstmatige intelligentie (bijvoorbeeld generatieve AI) en IoT kunnen organisaties nu deelnemen aan ecosystemen die hun gezamenlijke expertise samenvoegen en transformeren tot nieuwe waardebronnen. Gezamenlijk kunnen ze inzichten benutten, vaardigheden en kennis toepassen en innovatie bevorderen tot voordeel van iedereen; of het nu gaat om het aanpakken van complexe maatschappelijke en klimaatkwesties of het creëren van nieuwe markten en inkomstenstromen. D Uit een recente studie van Tata Consultancy Services (TCS), Connected Future: How Cloud Drives Business Innovation, blijkt dat 70 procent van de grote organisaties cloud nog steeds als een langetermijninvesteringsprioriteit beschouwt, ondanks de huidige macro-economische 50 uitdagingen. De wereldwijde enquête onder 972 senior executives toont aan dat innovatie een belangrijke drijfveer is, waarbij 59 procent aangeeft dat cloud essentieel is als innovatiekatalysator voor de toekomst van hun organisatie. “In het afgelopen decennium is er een aanzienlijke verschuiving in mentaliteit geweest met betrekking tot cloudtechnologie. Cloud is geëvolueerd van een IT-gerichte oplossing naar een cruciale bedrijfsstrategie”, zegt Josu Devasia, Verbindend digitaal weefsel Het verlangen naar meer efficiëntie, veerkracht en flexibiliteit dreef de vroege adoptie van cloud. Dit blijven kritieke factoren, maar organisaties begrijpen nu beter hoe cloud groei en innovatie op lange termijn stimuleert, en voor de meesten is de reis nog maar net begonnen. Uit de TCS-studie blijkt dat organisaties, ondanks aanzienlijke vooruitgang in de afgelopen jaren, nog veel te bereiken hebben met de cloud. Bedrijven willen deelnemen aan digitale ecosystemen, maar 66 procent van de respondenten bevindt zich nog in de beginfase. Er is een tekort aan vaardigheden op het Organisaties begrijpen nu beter hoe cloud groei en innovatie op lange termijn stimuleert
partner TCS Josu Devasia, Country Head TCS Nederland: “Cloud is geëvolueerd van een ITgerichte oplossing naar een cruciale bedrijfsstrategie.” beeld: tcs gebied van cloud, waarbij meer dan de helft (52 procent) van de respondenten een gebrek aan expertise in eigen huis erkent. “Cloudtechnologie wordt vaak geconfronteerd met kortetermijn-ROIzorgen, terwijl het ook dient als een instrument voor groei en transformatie. Het combineren van deze perspectieven Nummer 48, oktober 2023 is uitdagend maar haalbaar met de juiste strategie en planning. De cloud fungeert als een verbindend digitaal weefsel voor bedrijven, waarbij geavanceerde technologieën worden aangedreven, zoals generatieve AI en edge- en quantumcomputing”, legt Josu Devasia uit. “Bij TCS helpen we organisaties duurzaam te transformeren.” De transformerende kracht van cloudtechnologie is cruciaal voor moderne bedrijfsstrategieën. Door de cloud te omarmen, blijven organisaties concurrerend en dragen ze bij aan het oplossen van wereldwijde uitdagingen en het creeren van een betere toekomst; helemaal in lijn met Da Vinci’s visie op onderlinge verbondenheid. 51
Common Groud-proof volgsysteem Inwoners bij de hand nemen in ansluiting op een warmtenet, (verbeterde) isolatie, een (hybride) warmtepomp. Er zijn tal van oplossingen waarmee je de verwarming van een woning kunt verduurzamen. De centrale vraag is: welke oplossing is voor welke woning het meest geschikt? Het antwoord op die vraag begint met een gedegen inventarisatie van de huidige ‘energiesituatie’. Wat voor type woning is het, hoe oud is de woning, welk energielabel heeft het, waar staat de cv-ketel et cetera? Wil je een woning energietechnisch gedetailleerd in kaart brengen, dan moet je een plek hebben waar je al deze informatie kunt bundelen. “De huidige informatiesystemen van gemeenten zijn daar niet op toegerust”, aldus Joris Jan Goos, Strategic Account Executive Govern ment bij Salesforce in Nederland. “Het Salesforce platform is dat wel. De kracht ervan schuilt juist in het flexibel integreren van uiteenlopende informatiebronnen tot een 360-gradenbeeld van een situatie; of het nu om een persoon, gebouw of iets anders gaat. Met partner Bridgin.it hebben we ons relatiemanagement systeem vertaald naar een warmtetransitie volgsysteem.” A Geen tijd te verliezen Dat volgsysteem doet meer dan alleen registreren. Het ondersteunt gemeenten ook bij de volgende noodzakelijke stap in 52 In Nederland staat elke gemeente voor dezelfde – immense – opgave. Zij moeten eigenaren helpen om hun woning van het aardgas af te halen. Deze warmtetransitie heeft alleen kans van slagen als je precies weet wie wat nodig heeft en daarop inspeelt. Het warmtetransitievolgsysteem van Salesforce wijst de weg. verliezen hebben. Volgens het Klimaatakkoord moeten woningen in 2050 volledig aardgasvrij zijn. Dat lijkt ver weg, maar gelet op de schaal en impact van deze overgang, moet hij nu al serieus aangepakt worden. Beide steden zijn gaan werken met het warmtetransitie volgsysteem. Hun ervaringen en specifieke behoeften zijn vertaald naar een oplossing die algemeen bruikbaar is en steeds opnieuw aangevuld en verrijkt kan worden, met respect voor de privacy van inwoners. de warmtetransitie: inwoners betrekken bij de warmteoplossing die voor hen het meest ideaal is. Hun bereidheid om tot actie over te gaan, is uiteindelijk de sleutel tot succes. Dat vereist meer dan het uitwisselen van informatie. Je wilt hen op hun route naar woningverduurzaming letterlijk bij de hand nemen. Joris Jan Goos: “Op basis van Salesforce Marketing Cloud zijn in het volgsysteem hoogwaardige mogelijkheden ingebouwd voor persoonlijke klantreizen. Als je constant op het juiste moment, de juiste boodschap aan de juiste persoon afgeeft, wordt de kans groter dat hij in beweging komt.” Gemeenten Apeldoorn en Purmerend hebben begrepen dat zij geen tijd te Functionaliteiten toevoegen Zo is het recent het Nationaal Isolatie Programma (NIP) geïntroduceerd. Een omvangrijke subsidieregeling van het Rijk om de drempel naar woningisolatie – onontbeerlijk als onderdeel van een duurzame warmteoplossing — te verlagen. “Wij hebben het subsidiemanagement geïntegreerd in de Salesforce-applicatie. We kunnen het nu zo organiseren dat we bewoners een overzicht van aannemers aanreiken. Met wie willen zij in zee gaan? In de offerte van de aannemer wordt de subsidiebeschikking dan automatisch meegenomen. Op zo’n moment ben je inwoners echt aan het ontzorgen”, stelt Karel Mens, adviseur duurzaamheid bij gemeente Purmerend. Ook aanverwante beleidsthema’s kunnen aan het platform toegevoegd worden.
p a r t n e r Salesforce warmtetransitie Gemeente Apeldoorn werkt met het warmtetransitievolgsysteem. beeld: anp Inwoners op hun route naar woningverduurzaming bij de hand nemen Zoals de aanpak rond energiearmoede. Ook hier zijn subsidies te vergeven. De boodschap is natuurlijk anders, maar Nummer 48, oktober 2023 er zijn zeker relaties te leggen naar de warmtetransitie. Het leidt tot een vollediger ‘energieprofiel’ van inwoners en dus tot een beter inzicht in de mogelijkheden van een integrale ondersteuning. Karel Mens: “Op termijn willen we in ons warmte transitie volgsysteem een persoonlijk domein creëren, waarin inwoners kunnen zien waar zij staan in het verduurzamingstraject van hun woning.” Data in eigen beheer Kortom, het systeem is makkelijk aanpasbaar al naar gelang nieuwe ontwikkelingen. Dat moet ook. Er kan nog genoeg gebeuren op weg naar 2050. Joris Jan Goos: “Het systeem voldoet aan de principes van Common Ground; het is inpasbaar in de ICT-infrastructuur van de toekomst. Daarnaast heb je alle relevante data in eigen beheer in plaats van dat zij versnipperd liggen bij adviesbureaus. Je weet via dashboards exact hoe het staat met de warmtetransitie en kunt je handelen zo nodig verantwoorden naar je stakeholders.” 53
Vergrijzing leidt tot kennisverlies Hoe kunnen we softwarevergrijzing u ervaren IT-medewerkers met pensioen gaan, zien veel organisaties zich geconfronteerd met het verlies van essentiële kennis en expertise. Dit verlies brengt de continuïteit van bedrijfsvoering en innovatie in gevaar. Bovendien was er in het verleden minder dringende behoefte aan verandering, met name bij aanzienlijke wijzigingen in het IT-landschap, omdat de wet- en regelgeving destijds minder strikt was en technologische vooruitgang langzamer verliep. Tegenwoordig worden organisaties geconfronteerd met een veel grotere dynamiek, gedreven door de razendsnelle technologische vooruitgang, maatschappelijke veranderingen en opkomende uitdagingen op het gebied van (informatie-) beveiliging. Dit betekent dat men zich voortdurend moet aanpassen, ondanks de technologische veroudering van de software en het wegvloeien van de ervaring van de ontwikkelaars die de systemen hebben opgebouwd en ingericht. N Technische schuld Het toenemende aantal oudere ICTprofessionals heeft geleid tot een groeiende bezorgdheid over de kennisborging en toekomstbestendigheid van applicaties binnen organisaties. De expertise die ontwikkelaars gedurende hun loopbaan hebben opgebouwd, is vaak niet volledig gedocumenteerd, waardoor het risico op het verlies van kennis en informatie over oudere systemen toeneemt. Dit is een belangrijk onderdeel van het legacy54 De vergrijzing van een grote groep ontwikkelaars is een toenemende uitdaging waar zowel bedrijven als overheidsinstanties wereldwijd mee te maken hebben. Volgens het Centraal Bureau voor de Statistiek (CBS) was in 2010 8 procent van de Nederlandse ICT’ers 55 jaar of ouder, in 2021 is dit bijna verdubbeld naar 15 procent. Deze ICT-professionals hebben diepgaande kennis van oudere softwaresystemen en de technologie waarin ze zijn ontwikkeld. probleem, waarbij verouderde systemen en software een belemmering vormen voor vooruitgang. Uit een analyse door AG Connect en Binnenlands Bestuur over 119 grote ICT-overheidsprojecten in 2022 bleek dat een aantal projecten sterk gehinderd werd door deze legacy-problematiek. Een treffend voorbeeld hiervan is de vernieuwing van het Basisregister Onderwijs, dat uiteindelijk 35 miljoen euro duurder uitviel als gevolg van diverse tegenvallers op het gebied van verouderde software en datakwaliteit. Bij de vernieuwing van de IT-systemen van de Belastingdienst trof men een “enorme technische schuld” aan, waarbij meer dan 50 procent van de applicaties dringend aan vervanging toe was. Deze projecten benadrukken het belang van het verminderen en voorkomen van de technische schuld en het verbeteren van kennisborging om de slagingskans van toekomstige ICT-projecten te vergroten. Er is dus sprake van steeds sneller verouderende technologie, een hogere mate van wijzigingen, maar daarnaast ook uitdagingen met beveiliging en de borging van kennis die de onderhoudbaarheid en aanpasbaarheid van IT-systemen vereisen. Daarbij is het ook van belang te beseffen dat applicaties binnen een ITlandschap zelden losstaande onderdelen zijn, en onderdeel zijn van een landschap met verbindingen en afhankelijkheden. Veroudering van één applicatie kan dus effect hebben op andere applicaties binnen en buiten de organisatie. Hoe kunnen organisaties deze uitdagingen het hoofd bieden en softwarevergrijzing voorkomen? Digitale blauwdruk Het moderniseren van verouderde software kan een effectieve manier zijn om softwarevergrijzing tegen te gaan. Het implementeren van nieuwe technologieën en het toepassen van moderne best
partner Thinkwise de baas? Expertise van oudere ontwikkelaars is vaak niet volledig gedocumenteerd, waardoor het risico op het verlies van kennis en informatie over oudere systemen toeneemt. beeld: dreamstime practices kunnen de onderhoudbaarheid en toekomstbestendigheid van systemen verbeteren. Met traditionele softwareontwikkeling is het gedeeltelijk of geheel herschrijven van een applicatie echter een risicovolle, complexe en tijdrovende opgave, vooral wanneer het gaat om legacy- systemen die jarenlang zijn doorontwikkeld en aangepast. Ook is dit in feite meer symptoombestrijding dan een structurele oplossing, aangezien de nieuwe technologieën net zo aan veroudering onderhevig zijn. Alleen zal tegenwoordig de levensduur van de vernieuwde applicatie korter zijn dan voorheen doordat de actuele technologie in de wereld steeds sneller verouderd. Om deze repeterende cyclus van veroudering en vervanging te doorbreken heeft Thinkwise de functionele beschrijving van software gescheiden van de technologie waarin het wordt gepresenteerd. Door de applicatie logica te scheiden van de presentatielaag, kunnen bedrijfsNummer 48, oktober 2023 processen en -regels in het Thinkwise Platform op een abstract niveau worden gemodelleerd in een digitale blauwdruk. Hierdoor blijven de kennis en logica van de software behouden, zelfs als de technologie waarin het wordt gepresenteerd verandert of ontwikkelaars de organisatie verlaten. Wanneer een nieuwe technologie opkomt hoeft alleen de presentatielaag te worden vernieuwd, waardoor de applicatie altijd up-to-date blijft. Upcycler bespaart Het Thinkwise Platform maakt het bovendien mogelijk om met een geïntegreerde ‘Upcycler’ bestaande applicaties in te lezen en een eerste versie van het nieuwe applicatiemodel af te leiden. In plaats van maanden of jaren te besteden aan het herschrijven van code, kunnen ontwikkelaars met behulp van het Thinkwise Platform in korte tijd legacy-systemen moderniseren. Door het inzetten van de Upcycler kan 20 tot wel 50 procent van de benodigde inspanning voor het moderniseren van een applicatie worden bespaard. Organisaties die voorheen moeite hadden om hun verouderde systemen te onderhouden, hebben met Thinkwise succesvol hun software gemoderniseerd en zijn nu volledig in staat om mee te bewegen met maatschappelijke veranderingen of aanpassingen in wet- en regelgeving. Het Thinkwise Platform wordt al 20 jaar ingezet voor de ontwikkeling en modernisatie van omvangrijke en complexe systemen. Zo is het Thinkwise Platform onder andere in gebruik bij het ministerie van Justitie en Veiligheid en ook bij meer dan honderd gemeenten voor het beheer van de openbare ruimte. Wilt u meer informatie over de toepassing van Thinkwise voor uw organisatie, neem dan een kijkje op www.thinkwisesoftware.com/ overheid. 55
De Raad voor het Openbaar Bestuur (ROB) is een onafhankelijke adviesraad van parlement en regering. Wij richten ons op de beginselen van democratie en rechtsstaat, maar ook op de verdeling van taken, verantwoordelijkheden en de middelen tussen overheidslagen. De afgelopen jaren heeft de ROB in verschillende publicaties aandacht gevraagd voor de gevolgen van digitalisering van het overheidsbestuur, waarheidsvinding en de invloed van sociale media op het democratisch besluitvormingsproces. Door Staf ROB Beeld Shutterstock/iBestuur 56 Zorgvuldigheid geboden: Digitaliseren rende algoritmes bij de Dienst Uitvoering Onderwijs.2 Nieuwe AI-toepassingen als ChatGPT die voor een revolutie kunnen zorgen in de manier waarop we leren en werken. Het kabinet mag dan gevallen zijn, digitale technieken ontwikkelen zich snel verder en de gevolgen hiervan voor de samenleving ook. E De ontwikkeling van overheidsbeleid mag dus niet stil blijven staan. Daarom heeft de Raad voor het Openbaar Bestuur (ROB) op basis van zijn recente adviezen tien aandachtspunten geformuleerd, met het oog op de komende verkiezingen en de daaropvolgende kabinetsformatie. Deze aanbevelingen voor het functioneren van de overheid zijn vooral vanuit het perspectief van de burger en het vertrouwen van de burger in de democratie geformuleerd. Twee van deze aandachtspunten richten zich nadrukkelijk op digitalisering en de gevolgen daarvan. Waarheidsvinding Het eerste aandachtspunt is: investeer in onafhankelijke waarheids vinding. Dit is de kern van het advies Zoeken naar en groot datalek bij het Kadaster.1 Mogelijk discrimine
Podium raakt het vertrouwen in de overheid waarheid – over waarheidsvinding in de democratie in het digitale tijdperk, dat de ROB in 2019 aan de minister van BZK heeft aangeboden. Digitalisering biedt onze democratie mogelijkheden, maar brengt ook drie gevaren met zich mee: desinformatie, desintegratie (door filterbubbels en echokamers) en despotisme (door het misbruiken van algoritmes op private platforms om burgers ongemerkt te beïnvloeden). Daarom deed de ROB in 2019 drie aanbevelingen.3 Ten eerste: maak burgers weerbaar tegen desinformatie. Ten tweede: voorkom desintegratie door samen met anderen platforms te bouwen voor democratische gedachte wisseling (‘deliberation by design’). Ten derde: bestrijd despotisme door tegenmacht tegen private platforms te organiseren, misbruik te bestrijden en burgers zelfbeschikking over hun data te geven. En last but not least: vergroot het vertrouwen in instituties door zelf als overheid het goede voorbeeld te geven en door tegenspraak te waarderen. Datasturing door de overheid Het tweede aandachtspunt is: waarborg publieke verantNummer 48, oktober 2023 woording over sturen met data.4 Dit is de boodschap van het advies Sturen of gestuurd worden? Over de legitimiteit van sturen met data, dat de ROB in 2021 gepubliceerd heeft als vervolg op Zoeken naar waarheid. De ROB constateert dat de legitimiteit van sturen met data onder druk staat door disruptieve nieuwe technologieën, de ontwikkeling van beïnvloedingstechnieken en de opkomst van machtige spelers in de samenleving. Door de geringe democratische controle op het datagestuurd werken van de overheid met deze nieuwe technologieën ontstaat er een verantwoordingskloof. Daarom deed de ROB drie aanbevelingen om publieke verantwoording over datagestuurd overheidsbeleid te verbeteren. Ten eerste moet de overheid de kennispositie versterken van bestuurders, volksvertegenwoordigers, ambtenaren en burgers. Ten tweede moeten publieke waarden centraal staan als de overheid gebruikmaakt van datatechnologie, door middel van een consistent juridisch kader, onafhankelijke toezichthouders en een open cultuur van verantwoording. Ten derde kan een nieuwe structuur helpen, zoals een minister voor Digitale Zaken. 57
Inmiddels zijn we vier jaar verder. De overheid heeft een aantal initiatieven aangekondigd in diverse brieven aan de Tweede Kamer. Versterken digitaal burgerschap, een algoritmeregister, inzet voor Europese regelgeving zoals gedragscodes voor techplatforms en de Digital Services Act, ondersteuning van de ontwikkeling van publieke alternatieven voor platforms (‘digital commons’), en de portefeuille van digitalisering is expliciet toegewezen aan een staatssecretaris voor Digitalisering. Kortom: er wordt serieus werk gemaakt van de aanbevelingen uit de adviezen, maar digitalisering verdient permanente politieke aandacht. Ook in het werkprogramma 2024 van de ROB vormt digitalisering een belangrijk onderwerp. Hoe beoordelen we de ontwikkelingen tot nu toe? Evenwicht in kansen en risico’s We vragen het Martiene Branderhorst, lid van de Raad voor het Openbaar Bestuur (ROB) en daar voortrekker van het advies Sturen of gestuurd worden. Martiene Branderhorst: “Ik zie, als het om digitalisering gaat, nog veel handelingsverlegenheid op ambtelijk en politiekbestuurlijk niveau.” 58 Na aanvankelijk hooggespannen verwachtingen over digitalisering (‘berg van beloften’), sloeg het sentiment om naar de negatieve kant (‘dal van de desillusie’). Zijn we ondertussen uit dat dal aan het klimmen? “Het beeld van de kansen en risico’s van digitalisering is volgens mij nu meer in evenwicht. Er zijn kansen én er is meer bewustzijn over de risico’s en negatieve gevolgen. Op rijksniveau zijn er zeker stappen gezet door de staatssecretaris van Digitalisering. Toch zie ik, als het om digitalisering gaat, nog veel handelingsverlegenheid op ambtelijk en politiek-bestuurlijk niveau. Door gebrek aan expertise lijkt het voor veel mensen in het openbaar bestuur een technisch thema dat voor de ICT-experts is. We hebben mensen nodig die de wereld van de digitale ontwikkelingen en de wereld van het openbaar bestuur kunnen verbinden. Deze mensen zijn schaars. Aan hen de opdracht om de digitale ontwikkelingen te vertalen naar vraagstukken die het werk van de ambtenaar, de volksvertegenwoordiger of de bestuurder raken zodat zij de juiste vragen kunnen stellen. De ROB heeft bij zijn advies over Sturen of gestuurd worden verschillende vragen geformuleerd die je zou moeten stellen als je stuurt met data (zie kader).”
Podium Voorbeeldvragen uit het DataDebatDenkkader • Worden data en daarmee persoonsgegevens goed beschermd en veilig beheerd? Zijn de nodige beheersystemen op orde? • Zijn de gebruikte data juist en up-to-date, niet verouderd of gemanipuleerd? • Is er geen bias in de gehanteerde datasets met kans op systemische benadeling van bepaalde groepen? • Op welk niveau is verantwoording georganiseerd (landelijk, regionaal, lokaal) en welke partijen zijn daarbij betrokken? • Is er expliciet aangegeven op welke wijze algoritmes worden ingezet in de organisatie? • Welk besluit is genomen door de inzet van algoritmes, op basis van welke argumenten, en door wie? Door de snelle opkomst van sociale media is waarheidsvinding soms moeilijk. Zie je een herwaardering van de wat meer traditionele plekken om het democratische gesprek te voeren? “In vergelijking met Amerika en China is Europa zich aan het profileren op de waardenkant. Heel goed dat Europa deze rol pakt, want dat kunnen we als Nederland niet alleen. Wel maak ik me enige zorgen over de implementatiekant. Er is en komt veel nationale en Europese wet- en regelgeving. Hoe zorgen we dat het geïmplementeerd kan worden? Dat het geen afvinklijstjes worden, maar dat het echt de publieke waardenkant versterkt?” De ROB adviseerde eerder de structuren van publieke verantwoording te versterken. Is daar al sprake van? “Dat zie ik nog veel te weinig. Hiervoor kun je bijvoorbeeld denken aan een datajaarplan waarin staat wat je het komend jaar gaat doen met de data, welke toepassingen je implementeert, welke afspraken je met leveranciers maakt en welke waarborgen je hebt georganiseerd als het gaat om de kwaliteit van de data. En daarbij dan een datajaarverslag waarin je je verantwoord over de plannen en voorgenomen maatregelen. Net als de cyclus van een begroting en jaarrekening.” Bij het advies ‘Sturen of gestuurd worden?’ zegt de ROB dat ethisch bewustzijn over datagestuurd werken verder gaat dan privacy alleen. “Dat klopt, het gaat ook om andere waarden zoals het recht Nummer 48, oktober 2023 op gelijke behandeling en het voorkomen van uitsluiting. Wil de samenleving dat digitale technieken ethisch en maatschappelijk verantwoord worden ingezet, dan is het nodig om heldere kaders te scheppen, bijvoorbeeld met betrekking tot transparantie, het tegengaan van ingebouwde vooroordelen en het voorkomen dat de computer het laatste woord heeft. Als het ergens misgaat in de digitale besluitvorming, bij wie kun je dan als inwoner je recht halen? We moeten voorkomen dat een uitkomst uit een systeem komt rollen en dat niemand het kan uitleggen. Het is belangrijk dat je als inwoner de mogelijkheid hebt om een onjuiste beslissing van een algoritme te weerleggen. En dat gaat ook over digitale inclusie. Je moet je als overheid altijd blijven afvragen: wie mis ik of wie bereik ik niet en wat kan ik doen om dat te veranderen?” “Betrouwbaarheid is ook een belangrijk eigenschap, want als je als overheid ‘slordig’ digitaliseert dan kan dat grote impact hebben op het vertrouwen in de overheid. Inwoners vertrouwen jou hun privacygevoelige informatie toe, bijvoorbeeld in de jeugdzorg. Hier moet je als overheid zeer zorgvuldig mee omgaan. En dat geldt ook voor interventies in de maatschappij. Als je als gemeente fraude met uitkeringen in een bepaalde wijk wilt onderzoeken en tegelijkertijd wilt kijken of mensen recht hebben op bepaalde toeslagen, dan moet je dat goed doordenken - bijvoorbeeld: waarom alleen deze wijk en niet alle wijken in de gemeente? En hoe betrek je inwoners en volksvertegenwoordigers en voorkom je het gevoel bij inwoners van ‘big brother is watching you’?” “Het proces rondom het in gebruik nemen van nieuwe technologieën zou kunnen leren van de manier waarop de zorg een nieuwe medische behandeling implementeert. Eerst wordt uitgebreid onderzoek gedaan en wordt de behandeling besproken in een ethische commissie. Zoiets zou je ook kunnen doen voor de inzet van algoritmes door de overheid. Je kan de digitale ontwikkelingen niet stoppen, dat stadium zijn we al lang gepasseerd. Technologische ontwikkelingen bieden de overheid veel kansen, maar we moeten ons blijven afvragen: is dit wenselijk? En: wat zijn de randvoorwaarden? De vraag is niet ‘willen we hier iets mee’, maar ‘hoe gaan we hier goed mee om’. Technologie is niet goed of slecht, het gaat erom hoe het wordt ingezet door de mens.” [1] Miljoenen adressen en gegevens makkelijk in te zien door fout bij Kadaster (nos.nl). [2] Antwoorden op Kamervragen over onderzoek naar mogelijk discriminerende algoritmes door DUO | Kamerstuk | Rijksoverheid.nl. [3] Zie punt 5 in het 10-puntenplan van de ROB. [4] Zie punt 6 in het 10-puntenplan van de ROB. 59
Vertrekpunt identiteit, O De Europese digitale identiteit komt eraan. De drager: een wallet in je mobiele telefoon. Bij de realisatie daarvan voelt de Europese Commissie de hete adem van big tech in haar nek. Het verklaart het hoge tempo waarmee de EC nu te werk gaat. Dat maakt een succesvolle adoptie van de Europese e-wallet tot een extra grote uitdaging. nder de ronkende titel ‘Shaping Europe’s digital future’ werkt de EU al een tijdje aan de ontwikkeling van een Europese digitale identiteit. Doel: een oplossing waarmee burgers en bedrijven zich veilig en gemakkelijk digitaal kunnen identificeren bij openbare én particuliere diensten in heel Europa. Die oplossing wordt liefkozend een (e-)wallet genoemd, maar de lederen portefeuille waar je vroeger je ‘papieren’ in opborg, wordt je smartphone. Beoogde invoerdatum: medio 2030. Ondertussen wordt met een aantal grootschalige Europese pilotprojecten (zie kader) in kaart gebracht of de verschillende e-wallets goed functioneren. De e-wallet is straks onderdeel van een ecosysteem met aan de ene kant bronnen waar informatie kan worden opgehaald, en aan de andere kant gebruikers die informatie willen delen met derden. Waar de identiteit het vertrekpunt is, is de e-wallet het eindpunt. Het idee is dat je straks als burger of consument kiest voor een e-wallet van een aanbieder die het beste bij jou past. Daarna moet je je wallet zelf ‘vullen’: denk aan gegevens van UWV, DUO, je zorgverzekeraar, je rijbewijs en nog veel meer. De inhoud van je wallet helpt bij het afnemen van allerlei diensten en producten: van reisdocumenten tot medische zorg en van bankieren tot onderwijs, sociale huisvesting en uitkeringen. Dit klinkt allemaal uitermate praktisch, maar er zijn nog genoeg hindernissen en praktische vragen. Adoptie Het gebruik van de EU-wallet zal ‘volledig vrijwillig’ zijn. De EU zet daarom in op eigenschappen als open source, transparant, gereguleerd, interoperabel en een goede zorg voor privacy en beveiliging. De EU wil bovendien ten koste van alles vermijden dat de EU-wallet geassocieerd wordt met praktijken zoals Chinese massamonitoring. Tegelijkertijd is het natuurlijk de vraag hoe ingewikkeld je leven wordt als je je aan het gebruik van een Europese e-wallet wilt onttrekken. “Alles wat je centraal opslaat, kan gemonitord worden. Dat is bijvoorbeeld het geval bij de Belgische identiteitsoplossing Itsme, waar burgers op basis van een gerechtelijk bevel al een keer uit het systeem zijn gelicht door de overheid”, aldus Peter Eikelboom, business developer bij Yivi, een digitale wallet ontwikkeld door SIDN. Door Erik Bouwer Beeld Shutterstock/iBestuur 60 Adoptie is dan ook een zorgpunt. De e-wallet gaat alleen werken als iedereen het gebruikt. De kans daarop wordt groter als je met relatief onschuldige en gemakkelijke functionaliteit begint. Het Europese digitale rijbewijs is dan ook een van de eerste zaken die iedere Europeaan in z’n wallet kan stoppen. Voor Europeanen is het niet ‘de overheid’, maar eerder een veelheid aan bedrijven, organisaties, instellingen en overheden die allemaal afzonderlijke stukjes informatie over de burger of consument bezitten. “Je persoonlijke gegevens zwerven nu overal rond – denk aan alle mijn-omgevingen die je gebruikt. Het ontbreekt daarbij voor de burger of consument aan
inzicht en overzicht”, zegt Eikelboom. “De AVG geeft burgers rechten over hun data, een wallet geeft burgers de mogelijkheid om die AVG-rechten uit te oefenen en regie te voeren over hun data.” Datavraagstuk De e-wallet gaat alleen werken als iedereen het gebruikt Tegenover deze totale versnippering en een gebrek aan overzicht staat de benadering waarbij alle data centraal bij de persoon liggen, die vervolgens zelf bepaalt welke stukjes met bedrijven en instellingen worden gedeeld. “Het datavraagstuk blijft hoe dan ook een uitdaging”, aldus Eikelboom. “Omdat je telefoon de plek is van waaruit je data kunt delen met derden, is een recoveryoplossing noodzakelijk, bijvoorbeeld wanneer je je telefoon kwijtraakt. Het is niet ondenkbaar dat voor recovery-doeleinden de inhoud van je e-wallet gefragmenteerd op verschillende plekken wordt gestald, zodat op geen enkele plek een volledig bestand vindbaar is. Denk ook aan een digitale kluis waar je ook andere zaken die misschien niet in je wallet passen kunt onderbrengen.” Op dit vlak wordt al enkele jaren hard aan de weg getimmerd door verschillende initiatieven, waaronder het Nederlandse Schluss en Solid. Yivi heeft, naast een aantal zorginstellingen en gemeenten, op dit moment zo’n 150.000 individuele gebruikers. “Wat gebruikers vooraf zeggen: weer een extra app op mijn scherm. Als het eenmaal in gebruik is, zeggen gebruikers: waarom hadden we dit nog niet. Ik denk dat dat ook de opmerking zal zijn als je over een jaar of vijf terugspoelt”, aldus Eikelboom. Hoog tempo Ook bedrijven als Apple en Google zijn al geruime tijd bezig met het uitbouwen van een eigen ecosysteem: denk aan de Apple ID, de Apple Wallet en de eindpunt de e-wallet Nummer 48, oktober 2023 61
Google Wallet die ook onderdak bieden aan documenten waarmee je je kunt identificeren. Dat verklaart mede het hoge tempo van Europa bij de realisatie van de European Digital Identity (EUDI) Wallet. In mei 2022 organiseerde de Nederlandse overheid meetups om burgers ‘mee te laten denken’ over het idee van een Europese digitale identiteit. Maar nog voordat er een fatsoenlijke brede maatschappelijke discussie op gang was gekomen nam de inmiddels demissionaire staatssecretaris Koninkrijksrelaties en Digitalisering Alexandra van Huffelen half februari dit jaar het besluit om namens het kabinet in te stemmen met een Europese wet die de introductie van de EUDI regelt. Dat besluit, waar de Kamer expliciet nee tegen heeft gezegd, werd door Kamerlid Pieter Omtzigt als ‘ongrondwettelijk’ betiteld. Enkele weken eerder, in december 2022, hadden vier consortia al groen licht gekregen van de EC om te starten met grootschalige pilots. Ook bedrijven als Apple en Google zijn al geruime tijd bezig met het uitbouwen van een eigen ecosysteem Fred Slikker, managing director bij Digidentity, is betrokken bij het EWC (zie kader) vanuit de expertise met het Nederlandse e-herkenning, een vorm van ‘organizational identity’. Want ook bedrijven kunnen straks een digitale identiteit krijgen. Slikker weet dat er kritiek was op het doordrukken van de wet, maar is niet meteen ongerust over een te hoge snelheid of te weinig invloed van Nederland. “Nederland ontwikkelt zelf ook een wallet. Straks is de overheid een belangrijke partij bij de uitgifte van PID (Personal Identification Data) en via de RDW is de overheid al nadrukkelijk betrokken bij het digitale rijbewijs. Verder oefent Nederland invloed uit op het Architecture and Reference Framework.” Ontsluitingsvraagstuk Aan de andere kant van het ecosysteem zitten de partijen die informatie zullen moeten ontsluiten voor de e-wallet. Dat is voor veel organisaties, instellingen, overheden en bedrijven een flinke uitdaging, tenzij organisaties al iets hebben ingericht om data uit te wisselen in hun eigen ecosysteem. VECOZO, een organisatie van en voor de zorg die fungeert als centraal communicatiepunt in de Nederlandse zorg, heeft vanuit alle zorgverzekeraars een centraal register met de zorgverzekeringsgegevens van alle verzekerden. Dat register helpt alle ruim 40.000 zorginstellingen bij de vraag ‘wie is waar verzekerd’, waardoor zorginstellingen de declaratie direct naar de juiste zorgverzekeraar kunnen sturen. VECOZO participeert, namens de Nederlandse zorgverzekeraars, in een van de vier grootschalige pilots met een European Health Insurance Card, EHIC. “De e-wallet biedt voor de houder straks de mogelijkheid om zijn diverse aanspraken (studie/zorg/etc) in een collega-lidstaat digitaal aan te tonen,” zegt Ton Bogerd, directeur van VECOZO. “Voor de EHIC is de e-wallet dan de digitale variant van je huidig plastic pasje van je zorgverzekeraar, waarmee je in het buitenland snel en makkelijk kunt laten zien dat je verzekerd bent.” Bogerd ziet allerlei voordelen aan een e-wallet: minder fraudegevoelig dan pasjes, iedereen heeft zijn telefoon altijd op zak, de gegevens zijn altijd actueel en naast lagere kosten is er ook een lagere milieubelasting – want het scheelt ieder jaar het printen en verzenden van miljoenen pasjes. Bogerd ziet vooral uitdagingen op het vlak van adoptie: “Hoe zorgen we ervoor dat na de Europese pilot de zorgverzekerden en zorginstellingen in Europa de e-wallet gaan gebruiken? Voorlichting naar de gebruikers van de e-wallet is essentieel.” 62
Vier grootschalig pilots De vier Large Scale Pilots (LSP’s), die minimaal twee jaar lopen, gaan over specifieke use cases van de Europese e-wallet. De EU, de organiserende consortia van landen en honderden publieke en private partijen zorgen voor de gezamenlijke financiering van de pilots. Daarnaast ontwikkelt de EC zelf een reference wallet die als basis dient voor de vier LSP’s. Het doel is dat afzonderlijke lidstaten in een later stadium naar eigen inzicht en behoefte gebruik kunnen maken van de bevindingen uit de pilots. POTENTIAL Coördinatie: Duitsland en Frankrijk Aangesloten: 17 lidstaten (waaronder Nederland) Gericht op: Use cases rondom toegang tot (overheids) diensten; openen van een bankrekening; registratie voor een SIM-kaart; digitaal rijbewijs; e-handtekeningen en e-recepten. Zweden 18 lidstaten (waaronder Nederland) Use cases rondom opslag en weergave van reisdocumenten; de digitale wallet voor ID en online betalingen. Met inbreng van onder meer Digidentity. EWC Spanje 23 lidstaten (waaronder Nederland met inbreng van onder meer SIDN, DUO en VECOZO) Use cases rondom de onderwijssector (afgifte onderwijsdiploma’s en beroepskwalificaties), sociale zekerheid (PDA1-document voor sociale uitkeringen) en zorg (de European Health Insurance Card, EHIC). DC4EU NOBID Noorwegen 8 lidstaten Eén use case: het gebruik van de EUDI-wallet voor de autorisatie van betalingen. Financieringsvraagstuk Wat voor datarecovery geldt, geldt straks vermoedelijk ook voor de financiering van het ecosysteem rond de digitale identiteit. Onduidelijk is hoe binnen dat ecosysteem van aanbieders en vragers van informatie moet worden omgegaan met kosten van het ecosysteem als geheel en van de enorme volumes aan individuele transacties en uitwisselingen. Eikelboom schat in dat bedrijven en instellingen gaan profiteren van de efficiency en upselling-voordelen van wallets en dus ook de portemonnee zullen moeten gaan trekken. Dikke kans dat de e-wallet aanbieders, mede door de plicht om 60 uur per week telefonisch bereikbaar te zijn, aanvullende diensten zoals de eerdergenoemde cloudgebaseerde datakluizen zullen gaan aanbieden. Ook Slikker van Digidentity ziet dat er nogal wat beslissingen moeten worden genomen over financierings- en verdienmodellen. Hij verwacht dat als de toegevoegde waarde van toepassingen duidelijk wordt, dat ook zal uitwijzen wie voor wat gaat betalen. Dat zal ook sterk afhangen van de rol die aanbieders spelen in het ecosysteem. “Denk aan het e-herkenningsmiddel dat je in de vorm van een betaald bewijsstuk in je wallet kunnen opslaan, of aan Qualified Trust Serviceproviders (TSP’s) die de echtheid van gegevens beoordelen.” De e-wallets zelf, zoveel is wel duidelijk, die zijn gratis. Nummer 48, oktober 2023 63
Het verwerken van data wordt steeds complexer; dat geldt ook voor gemeenten. De hoeveelheid data neemt toe en wet- en regelgeving wordt steeds strenger. Politiek gezien staat het onderwerp steeds nadrukkelijker op de agenda. De gemeente Den Haag vindt het belangrijk dat bij toenemende digitalisering het waarborgen van privacy en een zeer zorgvuldig gebruik van data en algoritmes, een grote rol speelt. De datastrategie van de gemeente is op deze uitgangspunten gebaseerd. Door Tanaquil Arduin Beeld Jan van der Wolf 64 Hoe Den Haag data inzet om de stad beter te maken voor inwoners olgens Sorayda Berkhout, directeur Inkomen, Participatie & Voorzieningen, staan we voor een aantal grote opgaven. “We willen de bestaanszekerheid van inwoners vergroten, ze perspectief bieden en helpen om naar vermogen mee te doen aan de samenleving. Data helpen ons om beslissingen te onderbouwen en inzicht te krijgen in de prestaties van de organisatie zodat we op basis daarvan de ervaringen van inwoners met de gemeente kunnen verbeteren. Dat is echt noodzakelijk, want Den Haag is een stad waar veel mensen zich thuis voelen, maar ook een stad waar dagelijks mensen vastlopen of geen gelijke kansen hebben. Zij moeten op de gemeente kunnen rekenen en vertrouwen. De vraag is: hoe maken we die data werkbaar om problemen te identificeren en op te lossen, kansen te benutten en strategieën te optimaliseren? Dit alles om de opgaven voor de stad en haar inwoners ook echt te verbeteren.” Data aan de basis van beleid Een van de pijlers in de datastrategie van Den Haag is de Urban data V
Podium rapportages. Hierdoor kan sneller en betrouwbaarder inzicht verkregen worden, denk hierbij aan de doorlooptijden. Dit resulteert in een versnelde dienstverlening aan inwoners, bijvoorbeeld wanneer inwoners een uitkeringsaanvraag indienen. Als laatste zijn er gegevens die kunnen worden gebruikt om te kijken waar de dienstverlening van SZW kan worden verbeterd en/of doorontwikkeld. Sorayda Berkhout: “Correcte data zijn van belang omdat we beslissingen en inzichten baseren op de nauwkeurigheid van gegevens. Als data onjuist zijn, verouderd of onvolledig leidt dat tot verkeerde beslissingen en foute conclusies en acties. Wil je een betrouwbare overheid kunnen zijn voor de inwoners dan vraagt dit zorgvuldigheid in gebruik en invoer van gegevens. De uitdaging is natuurlijk om deze vraag van de businesskant te vertalen in een werkend platform.” Een enorme stap platform ontwikkeling van een Urban Data Platform. Dit is een onder architectuur gebouwde omgeving waarin data ‘by design’ op een veilige en privacyvriendelijke manier kunnen worden ontsloten en gebruikt voor Business Intelligence, Onderzoek en Analytics. Om antwoord te geven op de vraag van de Dienst Sociale Zaken en Werkgelegenheid (SZW) om haar data werkbaar te maken, is ingezet op een Business Intelligence oplossing op het Urban Data Platform die generiek, veilig en toekomstbestendig is. Vernieuwing was bovendien hoognodig, het vorige dataplatform was verouderd waardoor professionals steeds minder goed in staat waren om data op de juiste manier in te zetten. In het nieuwe platform komt een aantal zaken samen. Allereerst zijn dat de verschillende systemen die ondersteuning bieden bij het helpen van inwoners van Den Haag die bij SZW aankloppen met vragen over werk en inkomen. Denk aan zaken als het begeleiden naar werk en uitkeringen verstrekken tot aan inburgering en ondersteuning bij geldzorgen. Die data moeten vervolgens gekoppeld worden aan operationele Nummer 48, oktober 2023 De belangrijkste voorwaarde tijdens de bouw van dit project: zorgen voor continuïteit van informatievoorziening. Zo moesten de belangrijkste (en vaak essentiële) rapporten zijn nagebouwd in het nieuwe systeem. Tegelijkertijd was er binnen SZW een wildgroei van rapporten ontstaan over de jaren heen; dit was een mooi moment om te kijken hoe dat kon worden opgeschoond. Uiteindelijk bleven er van de 900 rapporten slechts 200 over. Aan de andere kant was er de uitdaging om de oplossing überhaupt neer te zetten en in te richten: welke tooling wordt gebruikt en welke data zijn beschikbaar? Het resultaat is een architectuur die data over het hele sociaal domein combineert, over domeinen en maatschappelijke opgaven heen. In de praktijk een enorme stap als het gaat over hoe je data deelt. Trage start… vliegend vervolg De opgave was complex vanwege de grote mate van onzekerheid en verschillende perspectieven in de organisatie. Daarbij stond het project onder hoge tijdsdruk omdat het oude systeem dringend aan vervanging toe was. Ondertussen moest het reguliere werk doorgaan. Volgens Ard Mulder (programmamanager bij SZW) waren lef en vertrouwen nodig om de sprong in het diepe te wagen met een voor de betrokkenen nieuwe manier van werken. “Na verloop van tijd is de keuze gemaakt om het team verder uit te breiden en medewerkers fulltime op het project te zetten. Zo konden we meer meters maken.” Wat volgens Ard Mulder aan het einde van de rit overigens weer winst betekent: “Er staat nu een gedegen product waarvan we precies weten hoe het in elkaar zit.” Dat was namelijk een 65
andere les: zorg dat je alles goed vastlegt. “We merkten dat we eigenlijk iets ouds aan het vervangen waren dat niet goed genoeg gedocumenteerd was. En de mensen die destijds bij de bouw betrokken waren, werkten al lang niet meer bij de gemeente. Dus ook als is het niet sexy, documentatie is heel belangrijk. Het scheelt geld, tijd, discussie en ellende.” Het resultaat is een architectuur die data over het hele sociaal domein combineert Tanaquil Arduin, chief data officer en hoofd van het Expertisecentrum Data en AI bij de gemeente vult aan. “Het was voor de verschillende teams een spannend traject waarin we voor de eerste keer in een dergelijk groot multidisciplinair team hebben samengewerkt met innovatieve technologie en veel onzekerheden. Dat leidde tot saamhorigheid en een steile leercurve.” Geleerde lessen De leercurve zat ‘m overigens in nog meer zaken. Zo werd er vanuit een nieuwe werkwijze samengewerkt met allerlei verschillende disciplines en afdelingen binnen de gemeente, zowel vanuit beleid als IT. Hierbij kun je denken aan beleidsmedewerkers, BI-ontwikkelaars, data engineers, security en privacy experts en de businesspartner die onder meer de contacten met de oude leverancier onderhield. Dat het succesvol was, is vooral een kwestie van goede afstemming en doorlopend met elkaar in gesprek gaan om vervolgens gedragen besluiten te nemen. Ruimte voor elkaars standpunten bleek essentieel voor succes. En omdat het bouwen van een platform toch echt anders is dan de reguliere gang van zaken binnen een gemeente, werd gekozen voor Agile Werken. Sorayda Berkhout: “Het is belangrijk dat je doorlopend in de gaten blijft houden waarvoor je het doet. En dit voor onze inwoners door onze organisatie zo in te richten dat we hen beter kunnen bedienen. Door collega’s vanuit verschillende disciplines in een vroeg stadium te betrekken, denk je meer vanuit ‘wat is nodig’ en niet ‘wat kan er allemaal’.” Juist dat 66 bleek ook voor het team dat het platform bouwde een onderscheidende factor te zijn. De gemeente Den Haag is een enorm grote organisatie, we mogen trots zijn dat dit met de inzet van collega’s uit verschillende disciplines is gerealiseerd. “Kijk, de meerwaarde voor ons als SZW is duidelijk: we hebben die rapporten echt nodig om beter te kunnen sturen. Het is belangrijk om beslissingen te nemen op basis van feitelijke gegevens in plaats van op intuïtie of veronderstellingen. Zo kunnen we problemen beter oplossen of beleid bijsturen met strategieën. Mooi dat de bouwers op hun beurt enthousiast werden, omdat ook zij een maatschappelijke bijdrage konden leveren.” Ook goed is dat er met deze oplossing iets is neergezet voor SZW en andere maatschappelijke opgaven: een privacyvriendelijk en informatieveilig platform.” Vervolgstap: datagedreven werken In feite is het opleveren van de BI-oplossing op het platform pas een eerste stap. Naast dat het Urban Data Platform verder wordt ontwikkeld met ook nieuwe toepassingen in verschillende maatschappelijke domeinen, werkt dienst SZW de komende tijd aan het programma ‘Datagedreven werken’. Dit programma sluit naadloos aan op de datastrategie van de gemeente en de andere data-initiatieven binnen de gemeente. Mensen vinden het delen van data spannend, zijn er huiverig voor wat ermee gebeurt; dat vraagt om een verandering. Volgens Sorayda Berkhout kunnen we die verandering voor elkaar krijgen als we laten zien dat we goed omgaan met al die data: “Er zijn drie zaken die hier een rol in spelen. Allereerst moeten we zorgen dat de rapportages die we gebruiken ook echt aansluiten op de vraag. Welke maatschappelijke impact willen we realiseren voor onze inwoners? Verder is bewustzijn in de organisatie over het hebben van betrouwbare data en rapportages essentieel om goed te kunnen sturen op onze opgaven. Zo hebben we meer inzicht waardoor inwoners beter en sneller geholpen kunnen worden. Als laatste – en dat is echt enorm belangrijk – moeten we een grote slag maken op het gebied van datakwaliteit. Hoe beter de input, hoe beter de output.” Tanaquil Arduin is blij met deze ontwikkeling en de samenwerking. “De BI-oplossing voor SZW is de grootste toepassing op het Urban Data Platform tot nu toe. Hiermee hebben we laten zien hoe we gezamenlijk met data inwoners in het sociaal domein beter kunnen helpen. Het harde werken van alle teams, zowel bij SZW als bij de directie Informatie, is daarmee beloond.” Tanaquil Arduin, CDO en hoofd Expertisecentrum Data en AI gemeente Den Haag
In ‘t Veld Macht Machtsmiddelen B eeld je in dat je een balkondeur ziet openstaan bij de buren. Een inbreker kan zo naar binnen. Je stuurt de buren een berichtje. Daar zijn buren voor! Zoiets gebeurde ook toen het Canadese Citizen Lab de firma Apple informeerde over een kwetsbaarheid in de beveiliging van hun iPhones. Citizen Lab is het onderzoeksbureau dat de methode ontwikkelde om spyware-infecties te detecteren. Apple loopt graag te koop met het hoe veilig hun telefoons zijn. Het bedrijf dichtte dan ook prompt de kwetsbaarheid die Citizen Lab had ontdekt. Zo zou het altijd moeten gaan. Ware het niet dat overheden anders reageren dan Citizen Lab. Overheden die kwetsbaarheden vinden, trekken niet aan de bel. In plaats daarvan houden ze een database van kwetsbaarheden bij. Sterker nog, er is een levendige uitwisseling van deze kennis tussen landen. Laat dit even bezinken: staten houden bewust kwetsbaarheden in stand in de miljoenen telefoons van hun burgers. De overheid stelt ons bewust bloot aan – bijvoorbeeld – spyware. Daarbij speelt niet alleen de wens om boeven te vangen een rol. Het is ook om digitale macht gaan draaien en je moet maar hopen dat daar verantwoord mee om wordt gesprongen. Sophie in ’t Veld Europarlementariër en fractielid Renew Europe oem mij ouderwets, maar ik ben van mening dat de overheid de burger dient en niet andersom. Laat staan dat de overheid gedrag vertoont dat lijkt op hoe criminelen omgaan met digitale kwetsbaarheden. De hang naar veiligheid is bij veel autoriteiten doorgeslagen, ook in democratieën. Digitale middelen zijn verworden tot machtsmiddelen. N Nummer 48, oktober 2023 H Obstakels worden slecht geduld. De encryptie die een iPhone of een berichtendienst veilig houdt, is een doorn in het oog van veel overheden, inclusief de Nederlandse. Ministers, staatssecretarissen en Kamerleden pleiten voortduren voor ‘achterdeurtjes’ in de versleuteling van telefoons en berichtendiensten. ier dringt de wrange werkelijkheid zich op dat Californische Big Tech zich opwerpt als beschermer van digitale burgerrechten, terwijl de bedreiging komt van statelijke actoren. Dit is geen lofzang op Big Tech. Het is kritiek op de politiek en het landsbestuur. Het feit dat een tech-reus verworden is tot een relatieve privacykampioen zegt meer over hoe de relatie tussen burger en overheid is veranderd dan over Silicon Valley. ijdens dit schrijven is het drie maanden geleden dat het Europees parlement zijn spyware-onderzoek heeft afgerond. Drie maanden stilte vanuit de lidstaten. Belangrijker nog is hoe de controleurs van de macht reageren op het spyware-probleem. Geen enkel nationaal parlement heeft de handschoen opgepakt. Parlementen, ook de Tweede Kamer, zijn eerder scheutig met het overdragen van digitale macht aan de regering dan dat ze op de rem trappen. Op 22 november zijn er Tweede Kamerverkiezingen, met veel stemmen die pleiten voor een nieuwe relatie tussen burger en overheid. Het herijken van de digitale macht van de overheid moet in die discussie meegenomen worden. Een schone taak voor de nieuwe Tweede Kamer. T 67
Uitvoeringsorganisaties: slagkracht behouden Het ICT-landschap is nooit af Een modern, wendbaar en gezond ICT- landschap is een van de thema’s uit de I-strategie Rijk. Een randvoorwaarde is dat uitvoeringsorganisaties de slagkracht behouden om verouderde systemen – de vermaledijde legacy – bij te kunnen werken en gezond te houden, stellen de beide portefeuillehouders. Gelukkig raakt de politiek daar steeds meer van doordrongen. inds de aftrap van het thema ‘Bestendigen ICT-landschap’, alweer twee jaar terug met de presentatie van de I-strategie Rijk, is er veel in gang gezet zo blijkt uit de rapportage die demissionair staatssecretaris Alexandra van Huffelen in juli naar de Tweede Kamer zond. Vorig jaar zag het rijksbrede cloudbeleid het levenslicht, dat overheidsinstanties onder meer de ruimte biedt van commerciële clouddiensten gebruik te maken. Komend jaar werken departementen een eigen cloudstrategie uit. Ook uitvoeringsorganisaties kijken als publieke dienstverlener uit naar de komst van de Public Cloud om de flexibiliteit van hun ICT te vergroten. Het initiatief ‘Werken onder architectuur’ stimuleert organisaties hun ICT-projecten onder architectuur uit te voeren om zo meer grip te krijgen op de informatievoorziening en de bedrijfsvoering. Op architectuurgebied krijgt de RORA, de Rijksoverheid Referentie Architectuur, gestalte. Per 1 januari volgend jaar krijgt het CIO-beraad een eigen Architectuurraad RORA, die de vernieuwing van de rijksbrede enterprise architectuur op zich neemt. Verder is de staatssecretaris, bijgestaan door de Programmeringsraad GDI (PGDI), druk met het beheer en de vernieuwing van de Generieke Digitale Infrastructuur (GDI), het geheel aan digitale voorzieningen voor burgers en bedrijven. Vorig jaar ging het eerste GDI -programmeringsplan 2023 naar het parlement, als eerste steen van het Meerjarenprogramma Infrastructuur Digitale Overheid (MIDO), waarin Rijk, medeoverheden en publieke dienstverleners – voor het eerst in de geschiedenis van de digitale overheid – samen aan de vernieuwing van de GDI werken. S Balans zoeken Door Pieter van den Brand Beeld Olivier Middendorp en Hans Roggen 68 Het Rijk is kortom ‘goed bezig’ – in de woorden van de CIO’s Maarten Jonker van het UWV en Johan Maas van de Rijksdienst voor Ondernemend Nederland (RVO). “Besef wel, dit zijn grote interventies die niet over enkele jaren
om legacy te saneren klaar zijn”, voegt Maas direct toe. De grote uitdaging, vat hij samen, is het gegeven dat het ICT-landschap van het Rijk niet alleen uit generieke faciliteiten bestaat, maar ministeries en vooral uitvoeringsorganisaties eigen verantwoordelijkheden kennen en uit hoofde hiervan eigen maatwerk-ICT ontwikkelen. “Dat is historisch zo gegroeid. Het ICT-landschap is nooit als één landschap neergezet. Bestendigen heeft de connotatie als zou je alle ICT naar een gemeenschappelijke generieke infrastructuur gelijk moeten schakelen. Als je dat zou willen, moet je de ICT-infrastructuur van de overheid inrichten zoals dat in de Baltische landen en in Denemarken is gebeurd. Mijn stelling is dat het beter is de balans te zoeken tussen wat zelfstandig goed draait bij de verschillende onderdelen van de Rijksoverheid versus de generieke digitale infrastructuur waar elk rijksonderdeel op aan moet sluiten als gevolg van onder meer Europese regelgeving. Dat laatste is een opgave van de staatssecretaris, bijgestaan door de PGDI. In dat speelveld beweegt zich dit thema.” Divers Maarten Jonker: “Er is veel meer kennisdeling in lifecycle management, migraties en technische oplossingen.” Nummer 48, oktober 2023 Johan Maas: “Het ICTlandschap is nooit als één landschap neergezet.” Jonker vult aan: “Het ICT-landschap van het Rijk is heel divers. Onderdelen als de politie, Defensie, Belastingdienst, UWV en RVO doen allemaal ander werk voor andere klanten. Het systeem dat de WW-aanvragen doet, is compleet anders dan het systeem dat de belasting int of rijbewijzen beheert, en er worden uiteenlopende eisen aan gesteld. Sommige systemen bevatten privacygevoelige gegevens, andere niet. Wel zijn er overeenkomsten in hoe je de beveiliging van systemen organiseert, hoe je de architectuur maakt en hoe je onderling gegevens uitwisselt en met privacyvraagstukken omgaat. Hierin kunnen we veel van elkaar leren. Er is nu ook veel meer kennisdeling in lifecycle management, migraties en technische oplossingen. Uitvoeringsorganisaties maken afspraken en standaarden of richten vanuit hun rol van publieke dienstverlener voorzieningen in waar ze allemaal gebruik van maken, zoals DigiD.” Intussen spelen er nog meer onderwerpen die grote impact hebben op het ICT-landschap van het Rijk, zoals de AVG, algoritmes en de BIO (Baseline Informatiebeveiliging Overheid). “Alles komt in één keer op ons af”, zegt Jonker, “en wij moeten ervoor zorgen dat de technologie er staat om te waarborgen dat aan alle eisen kan worden voldaan. Dan is het heel slim de kennis hierover te bun69
delen en te delen. Wel huren we nog veel expertise in. We zouden meer samen kunnen doen, maar juist het ontbreken van tijd en net een andere timing maakt dat we inhuur vooralsnog makkelijker vinden dan samen doen.” Hinder van achterstand Er zijn nog meer uitdagingen. Een ervan is notoir, complex en duur, namelijk het wegwerken van de ‘technische schuld’, de op te ruimen legacy-systemen. “Dat je ICT moet bijwerken is een fact of life”, zegt Jonker. “Legacy betekent niets meer dan dat je het onderhoud te lang hebt laten liggen. Het aantal nodige wijzigingen stapelt zich op en de opgave om het systeem te vernieuwen wordt steeds groter. Vervanging neemt dan jaren in beslag. Met LCM (lifecycle management) kun je steeds kleine stukjes veroudering oplossen. Stel je ook dit uit, dan krijg je echt hinder van achterstand. LCM voorkomt ook niet dat je een applicatie uiteindelijk in zijn geheel moet vervangen. Hoewel we bij het Rijk laten zien dat systemen ook dertig jaar mee kunnen gaan, en we hebben nog steeds Cobol. Als het dan daadwerkelijk tijd is voor vervanging, is er wel wat nodig om daartoe over te gaan. Aan de achterkant komt een hele wereld van nieuwe databases en programmeertalen en datamigratie kijken. Nieuwe hardware werkt niet altijd met legacy-systemen, dan moet je dat weer aanpassen. In de tussentijd moet de winkel wel open blijven.” Ook financiering is een lastig punt bij het wegwerken van legacy, betoogt Maas. “Vervanging van systemen vergt stevige investeringen waar opdrachtgevers niet altijd op zitten te wachten. Ook niet op het gebruik van eigen vermogen of een werkwijze waarin je het geld voor vernieuwing langzaam opspaart. Bij uitvoeringsorganisaties met de agentschapsstatus is dit een groot vraagstuk.” Politieke wensen Een van de oorzaken voor het ontstaan van legacy is dat kabinet en Tweede Kamer perioden kennen dat ze heel veel wensen bij uitvoeringsorganisaties neerleggen. “De prioriteit komt dan te liggen bij het functioneel aanpassen van systemen. Met een beperkt aantal mensen en budget ben je dan gedwongen om het onderhoud tijdelijk uit te stellen”, legt Jonker uit. “Zo ontstaan er systemen die verouderen en krijg je daarnaast weer nieuwe systemen. Het ICT-landschap wordt langzaam groter en groter. Als CIO’s hebben we tegen de politiek gezegd, en de laatste jaren boeken we daar meer succes mee: we snappen uw wensen. Daar moeten we aan voldoen. Maar wij moeten ook de slagkracht kunnen behouden om het ICT-landschap te saneren om het gezond te houden. Anders lopen we vast.” Tot een jaar of vier geleden was hier onvoldoende aandacht voor, aldus Jonker, maar zowel in de Tweede Kamer als bij de Algemene Rekenkamer en de Auditdienst Rijk is nu veel meer bewustwording gekomen. “Sommige dienstverleners hebben 70 op tafel legt richting politiek en beleid om wetgeving minder complex te maken met de vele uitzonderingsbepalingen. “Dat verhoogt het ‘doen-vermogen’ van de organisatie. Er kunnen moverende redenen voor zijn, maar daarmee stuit je wel op de grenzen van het adaptief vermogen van je ICT-landschap. Uiteindelijk moet een nieuwe wet binnen het te ontwikkelen ICT-systeem passen. We zullen nooit ultiem nee zeggen, maar wel aangeven wanneer iets niet in de huidige systemen kan en er voor nieuwbouw veel gevraagd zal worden van investeringen en doorlooptijd. Als publieke dienstverleners hebben we de ruimte bedongen om aan het ICT-landschap te kunnen werken en vinden we meer bereidheid in de politiek om complexiteit te mitigeren. Steeds meer Kamerleden zien dat in. Dat is positief en draagt bij aan de slagkracht en daarmee aan het vertrouwen in de overheid. Ik denk ook dat we een dusdanige relatie aan het opbouwen zijn, dat we deze urgentie ook bij nieuwe politici onder de aandacht kunnen brengen. Het besef is geland dat ICT een aantal jaren de tijd gekregen om onderhoud te plegen en systemen robuust te houden, om daarna pas weer aan de slag te gaan met wetswijzigingen. Er is meer dialoog ontstaan. Ook is er in de Kamer meer ruimte gekomen voor technische briefings waarin meestal een ICT-component in de discussie wordt meegenomen.” Adaptief vermogen Ook Maas ziet dat uitvoeringsorganisaties meer gelegenheid krijgen de consequenties van wetgeving en beleid op hun ICT voor het voetlicht te brengen in de overleggen tussen Kamer, DG’s en Manifestgroep, het samenwerkingsverband van de publieke dienstverleners. Maas benadrukt de in gang gezette ontwikkeling dat de uitvoering een duidelijk verzoek Legacy betekent niets meer dan dat je het onderhoud te lang hebt laten liggen
Visser-Knijff Kansen Kansen en risico’s I k stel – in het dagelijks leven – vaak ‘of-of’-vragen (knipoog naar de filosoof Kierkegaard). Thuis krijg ik dan vaak als antwoord ‘ja’. En dan weet ik: ik ben er weer ingetrapt. Het schijnt een psychologisch fenomeen te zijn: splitting. Dat is de neiging om een scheiding te willen maken. Alles of niets. Goed of fout. Ga zo maar door (of niet!). In de ethiek heerst ook het goed of fout denken (De vraag ‘is dit ethisch verantwoord?’ kan alleen met ja of nee worden beantwoord). In het klassieke begrip ‘het morele dilemma’ schuilt het ook: kiezen tussen twee uitersten, twee kwaden. Aristoteles probeert er nog een gulden middenweg voor te vinden, maar die twee polen zijn daardoor in het denken wel dominant én uitgangspunten. Piek Visser-Knijff Data-ethicus k stel vaak (in mijn werk dus wél – check) dat het binaire en dilemmadenken ons in de weg zit. In een interview met een Amerikaanse psycholoog las ik dat het een verdedigingsmechanisme is voor mensen die niet met onzekerheid, ambivalentie en tegenstrijdige gevoelens om kunnen gaan. Velen, denk ik. We willen orde, dan voelen we ons veilig. Het is dus het één óf het ander. Lekker overzichtelijk. I D Nummer 48, oktober 2023 oor te splitsen houden we grip, weten we zeker dat onze wereld, E correctie: ons dénken over de wereld, niet ontspoort. En zo rijden we een tunnel in. De psycholoog stelde dat het mechanisme een goed gesprek en constructieve dialoog in de weg zit. Het zit zelfs emotieregulatie in de weg en kan voor excessen en agressie zorgen. (Hallo polarisatie, dankjewel debat en stellingen.) en beroemd duo uit het digitaliseringsdomein is het koppel ‘Kansen en risico’s’. Het is het denken in plussen en minnen. De focus op waarden, maakt het breder, zolang we ze dan maar niet binair tegenover elkaar zetten en dan gaan ‘wegen’ (‘Wat is belangrijker veiligheid of privacy?’). En je kan je afvragen, wíens kansen en risico’s? Vanuit welk perspectief? Op welke termijn? e moeten het zoeken in de ambivalentie willen we werkelijk begrip krijgen van de situatie en ervan leren. Voor mij is dat de essentie van bezig zijn met ethiek: niet het oordelen als uitgangspunt, maar het onderzoeken en leren. Daar hoort onzekerheid bij. We moeten die onzekerheid eerst erkennen. En erkennen hoe ongemakkelijk we ons daarbij voelen. Machteloos, misschien wel. Want, hoe maak je in het hier en nu keuzes terwijl je niet weet wat het zal gaan betekenen? Hoe het uit zal werken? W 71
De digitalisering van Defensie ‘In een conflict heeft het geen zin om Digitalisering raakt ook het ministerie van Defensie en haar domeinen landmacht, luchtmacht, marine, marechaussee, cyber en space (ruimte). De uitdagingen zijn aan de ene kant dezelfde als die van andere departementen, aan de andere kant zijn er grote verschillen. Een verkenning van de digitale ontwikkelingen waar Defensie mee te maken krijgt, haar strategie in drie golven, en de speciale rol van het Datalab. Twee Nederlandse F35’s verkennen het luchtruim. Door Karina Meerman Beeld Cristian Schrik en Aaron Zwaal 72
tweede te worden’ D ata zijn een strategische asset, zo staat te lezen in de Defensiestrategie Data Science en AI 2023-2027. “Defensie moet informatie snel en slim verkrijgen, verwerken en verspreiden om gericht te sturen en zo succesvol te kunnen zijn in moderne conflicten en crises.” Het woord oorlog ontbreekt in deze zin, want dat wordt niet licht gebruikt door het ministerie van Defensie. Oorlog is een grondwettelijke term die past bij de aantasting van de soevereiniteit van een land. Chief information officer Jeroen van der Vlugt: “Bij defensie zijn we alert op hoe en wanneer we dat woord gebruiken.” Het is niet enige woord dat zorgvuldigheid vereist. Een eenvoudige vraag over het verschil tussen informatie en inlichtingen blijkt helemaal niet zo eenvoudig. Want alle inlichtingen zijn informatie, maar niet alle informatie zijn inlichtingen. Of ‘intelligence’, in vaktermen. Het is de manier waarop of de middelen waarmee gegevens worden verkregen die de doorslag geeft, met de Wet op inlichtingen- en veiligheidsdiensten als scheidsrechter. Van der Vlugt: “Het mandaat bepaalt of iets inlichtingen zijn of niet en daar wordt toezicht op gehouden.” Een tank blijkt ook niet gewoon een tank. Van der Vlugt wijst naar een kalender aan de muur van het kantoor. Op de maand juli prijkt een tankachtig voertuig. “Dat noemen wij een platform”, zegt hij. “Alhoewel onze infanteristen dit type een auto noemen omdat we daarmee troepen vervoeren.” Meerdere tanks bij elkaar heten een eskadron. Meerdere schepen zijn een eskader en meerdere vliegtuigen een squadron. Maar allemaal zijn het platforms. Vanuit digitaliseringsperspectief is dat best logisch. Op de platforms draaien namelijk toepassingen, zoals sensor- en wapensystemen. Slimmer, kleiner Met de taalles achter de rug, zet Van der Vlugt uiteen wat de huidige en toekomstige ontwikkelingen zijn waar het ministerie van Defensie mee te maken heeft. Digitalisering maakt Nummer 48, oktober 2023 wapensystemen steeds efficiënter, radars kijken scherper en verder. De oude generatie vlaggenschepen Tromp en De Ruyter hebben een karakteristieke ronde bolradar bovenop, zo’n 300 mensen aan boord en wapensystemen die worden bediend vanuit de commandocentrale. Daar verwerkten tientallen mensen de data die zij via de sensor- en wapensystemen binnenkregen. De nieuwe luchtverdedigings- en commando fregatten hebben dezelfde lengte als de oude, maar de systemen aan boord zijn efficiënter geworden. Radars zijn kleiner van vorm, maar kijken ruim 2.000 kilometer ver en halen veel meer data binnen. “Slimmer, sneller, arbeidsextensiever. Dat was de eerste digitaliseringsgolf”, vat Van de Vlugt samen. De tweede golf is het verzamelen, verrijken en distribueren van informatie over meerdere platformen. Bijvoorbeeld het integreren van systemen om de effectiviteit van een wapen te vergroten. Van der Vlugt: “De schepen zijn we met elkaar gaan verbinden zodat een eskader geïntegreerd kan worden aangestuurd. De som der delen maken we groter wanneer we ook de systemen van vliegtuigen en drones kunnen toevoegen.” Gescrubd, gederubriceerd en geherrubriceerd Informatie Systeemintegratie is ook bij dit ministerie een forse uitdaging, maar niet alleen vanwege de verschillende makers en leveranciers van systemen en applicaties. Defensie heeft te maken met data in verschillende geheimhoudingsklassen of rubriceringen. Verschillende rubriceringen hebben verschillende regels voor wie wat mag zien en waar data fysiek worden opgeslagen. Een ‘technical operator’ in het veld heeft een systeem op het lijf, inclusief antenne. Als een F-35 daar vliegt en staatsgeheime informatie oppakt, dan mag hij dat niet zomaar met die operator delen als diens systeem niet geschikt is om die klasse geheime informatie te verwerken. Die data moeten eerst gescrubd, gederubriceerd en geherrubriceerd worden. En dat moet onmiddellijk, anders zijn de gegevens te laat op de juiste plek. “Combineren van gegevens maakt informatie vaak geheimer”, voegt Van der Vlugt toe. In de tweede golf komt het digitale domein nadrukkelijk naar voren en het raakt steeds vaker het fysieke. “In Oekraïne zien we hoe de oorlog in het fysieke domein gelijk optrekt en 73
soms overloopt in het digitale domein”, zet Van der Vlugt uiteen. Militaire informatie wordt soms vervuild zodat algoritmes in wapensystemen niet meer optioneel functioneren. Digitale wapensystemen worden gesaboteerd. Zeekabels in het fysieke domein zijn de levensader voor ons internet en lopen risico op spionage en sabotage. “Wij zijn sterk afhankelijk van het digitale signaal dat in het fysieke domein wordt belaagd.” Informatie gaat in de aankomende derde golf een nadrukkelijker rol krijgen en effecten sorteren in het fysieke, cognitieve en digitale domein. Van der Vlugt: “We zien nu al dat bij het plannen van militaire operaties data steeds crucialer worden. Ook gebruiken we steeds meer opensourcegegevens: terreingesteldheid, klimaatgegevens, satellietbeelden, AI-achtige algoritmes voor beeldherkenning om te bepalen wat er precies te zien is en hoeveel. Op basis daarvan kan men een plan maken. Dat is militaire besluitvorming op basis van gegevens.” Commerciële spelers Een zogenoemde ‘bushmaster’ met allerlei speciale technische snufjes. 74 Al die data moeten worden rondgepompt en dat kan niet over de gewone telefoonlijn. Communicatieverbindingen zijn militaire middelen. “Even je telefoon aanzetten is het domste wat je kunt doen in conflictgebied.” De opkomst van satellietverbindingen gaat dan ook hard. Starlink van Elon Musk is een voorbeeld van de opkomst van commerciële partijen die conflictgebieden betreden. Microsoft maakt technologie mogelijk voor de Oekraïense overheid en werkt samen met StarLink. De softwarepakketten van Palantir maken het mogelijk militaire operaties te plannen. Dat is nieuw voor het digitale domein, zegt Van der Vlugt. “Oorlogsvoering was voorbehouden aan statelijke actoren. Nu zijn ook commerciële spelers betrokken die ook partij kiezen. Als Nederland zien wij die afhankelijkheid en dat is een politieke kwetsbaarheid.” Hij vertelt dat Nederland dezelfde commerciële satellietcapaciteit gebruikt als de Oekraïense overheid. “Die satellietcommunicatie werd als eerste uitgenomen door de Russische federatie, zodat zij grotere slagkracht zouden hebben op de grond. Een recent voorbeeld van wanneer oorlog zoals we dat kennen, samenvalt met dreiging in het digitale domein.” Digitalisering vraagt van het ministerie van Defensie
We zien nu al dat bij het plannen van militaire operaties data steeds crucialer worden mee bezighoudt. Wel mag ze praten over het verfijnen van point clouds, een 3D-visualisatietechniek van data die worden ingewonnen door drones. “Verbindingen worden sneller, drones slimmer. Zij kunnen steeds sneller meer en preciezere data doorsturen. De ruis was handmatig niet meer te filteren. We hebben een algoritme geschreven waardoor we sneller deze data kunnen analyseren en tot informatie komen.” Berns vult aan: “Vraagstukken van morgen zijn ook: hoe blijven we in missiegebied communiceren met elkaar? Als dat per satelliet gaat, welke signalen zenden we dan uit? Waar zitten de bedreigingen en de kansen? We kijken in missiegebieden ook naar social media en andere openbare bronnen; hoe we daar informatie uit kunnen halen.” Centrale partij kennisopbouw in alle lagen van de organisatie. Op kantoor verschillen de vaardigheden per functie en per afdeling. In het veld is iedereen doordrongen van het belang van deze kennis. Van der Vlugt: “In een conflict heeft het geen zin om tweede te worden. Er is maar één winnaar, maar er kunnen meerdere verliezers zijn. Een goede tweede worden heeft weinig zin. Als wij geen gebruikmaken van alle technologische middelen die tot onze beschikking staan en de tegenstander doet het wel, dan zijn we kansloos. Wij hebben de drive om alles te gebruiken wat er is.” Slimme onderwaterdrones Naast kennisopbouw investeert Defensie in het onderzoeken van de mogelijkheden van de nieuwste technologie. Het Joint Informatievoorziening Commando (JIVC) Datalab werkt aan de vraagstukken van morgen door vandaag te experimenteren. “Dat is onze innovatie-opdracht”, zegt Sofie Berns, hoofd van dit expertisecentrum voor datascience. “We onderzoeken bijvoorbeeld hoe we autonome systemen zoals onderwaterdrones of tanks slimmer kunnen maken. Niet individueel maar in combinatie.” Als een experiment geslaagd is, ontwikkelt Datalab het stapsgewijs tot een product dat schaalbaar is en inzetbaar voor alle domeinen van Defensie. Berns mag lang niet alles delen over waar het Datalab zich Nummer 48, oktober 2023 Een ander onderzoeksgebied is voorspellen met gevoelige data, zoals met een algoritme dat een schip de beste route laat bepalen. Dat hoeft niet altijd de snelste route te zijn; dat kan ook de veiligste zijn of die met de minste CO2 -uitstoot. De beste route is afhankelijk van het doel, de grootte van het schip, het weer, de stroming, mogelijke obstakels onderweg. In diezelfde categorie zit predictive maintenance. Voorspellen wanneer onderdelen toe zijn aan onderhoud of vervanging lijkt misschien niet heel spannend maar is wel heel belangrijk. Berns zegt: “Lange tijd was er weinig geld om te investeren in ons materieel en de onderdelen zijn vaak kostbaar. Het is steeds beter mogelijk op basis van algoritmes te voorspellen wanneer onderdelen aan vervanging toe zijn. Om publieke middelen zo goed mogelijk in te zetten willen we materiaal op het juiste moment vervangen. Niet te laat, maar ook niet te vroeg.” Datalab stelt voorspelmodellen, standaarden en andere tools beschikbaar voor alle medewerkers van Defensie op een eigen (veilig en beheerd) datascienceplatform, zodat zij die kunnen aanpassen aan hun eigen situatie. “Zo maken we Defensiebreed het bedrijven van datascience eenvoudiger”, zegt Berns. “Wij zijn de centrale partij voor heel defensie. Men hoeft dus niet zijn eigen algoritmes of tooling te laten ontwikkelen. We maken in feite softwareontwikkeling arbeidsextensief.” 75
Innovatie rijksoverheid Raamovereenkomst met AWS Goed nieuws voor IT-organisaties binnen de Nederlandse overheid die meer innovatiemogelijkheden willen voor bijvoorbeeld digitale transformatie of duurzaamheidsprojecten: Amazon Web Services (AWS) heeft onlangs een raam overeenkomst getekend met het Strategisch Leveranciersmanagement Rijk (SLM Rijk). SLM Rijk ondersteunt en adviseert overheidsinstellingen bij de aanschaf van software, cloudproducten en -diensten. e raamovereenkomst bevat voorwaarden die inkopers zekerheid bieden over de toepasselijke wettelijke kaders, zoals de AVG. Verder bevat de overeenkomst gestandaardiseerde (commerciële) voorwaarden zodat er eenvoudiger kan worden ingekocht en geen aparte contractonderhandelingen hoeven plaats te vinden. D ”Met deze overeenkomst kunnen ministeries en overheidsinstanties met AWS samenwerken op basis van vooraf vastgestelde voorwaarden. We bieden 76 hiermee noodzakelijke contractuele zekerheid die organisaties van de centrale overheid in staat stellen AWS-cloud te kunnen inkopen én gebruiken. Daarbij kunnen ze het hoogste niveau van beveiliging bereiken én voldoen aan vereisten rondom compliance en regelgeving”, aldus Henrique Bernard van SLM Rijk. “We danken SLM Rijk voor het vertrouwen in onze organisatie en diensten. AWS is geen marketingbedrijf, maar een bedrijf van bouwers. Wij zitten maar in één business en dat is cloud. In 2022 hebben we maar liefst 3.332 nieuwe services en features gelanceerd. Zo’n 90 procent daarvan komt bij onze klanten vandaan. Hiervoor zijn we extreem dankbaar en we kijken ernaar uit de Nederlandse overheid te ondersteunen bij de verwezenlijking van hun digitale ambities”, aldus Stephano Bosman, AWS Benelux. In het kader van deze overeenkomst heeft AWS bijgedragen aan de succesvolle afronding van een Data Protection Impact en Data Transfer Assessment (DPIA en DTIA). Hieruit blijkt onder meer dat de
krijgt impuls partner AWS Rijk om deze overeenkomst op te stellen. Zo biedt AWS out-of-the-box landing zones die gebruikers in staat stellen om clouddiensten te gebruiken in overeenstemming met het Baseline Informatiebeveiliging Overheid (BIO) normenkader en de NEN7510 standaard voor de gezondheidszorg. Om zeer gevoelige gegevens, zoals persoonlijk identificeerbare informatie (PII), medische informatie, financiele data en intellectueel eigendom te beschermen én veilig te verwerken kan bovendien gebruik worden gemaakt van ons AWS Nitro-systeem. Hoe de overeenkomst in elkaar steekt overheid AWS-diensten kan gebruiken en dat er geen bekende hoge gegevensbeschermingsrisico’s zijn wanneer een aantal aanbevolen mitigerende maatregelen wordt opgevolgd. Onderdeel strategisch rijksoverheidsbeleid De overeenkomst is onderdeel van het voornemen van het Rijk om overheidsorganisaties op een verantwoorde manier te laten innoveren met clouddiensten. AWS is sinds 2019 bezig geweest met SLM Nummer 48, oktober 2023 De overeenkomst bestaat uit twee lagen. Ten eerste is er de Foundation Tier. Deze laag is gericht op organisaties die aan het begin van hun AWS cloudreis staan. Het bestaat uit budget voor training en certificering van medewerkers en korting op inzet van experts van het AWS Professional Services team. Verder zijn er workshops om bijvoorbeeld cloud business cases te ontwikkelen of om een proof of concept uit te werken. De tweede laag is de Government Tier (GOV Tier). Deze is gericht op overheidsorganisaties die al in de cloud werken en wiens cloudverbruik groter is. Bij de GOV Tier dienen organisaties zich te committeren aan een minimale jaarlijkse uitgave. Naast dezelfde voordelen en versnellers als de Foundation Tier biedt de GOV tier toegang tot jaarlijkse kortingen op basis van de collectieve uitgaven van alle deelnemende overheidsorganisaties. Daarnaast introduceert AWS binnen deze GOV Tier een goedkopere support optie. Dit is ideaal als de Enterprise Support Service niet bij de organisatie past. Deze goedkopere optie heeft wel een aantal verschillen zoals het ontbreken van een vaste Technical Account Manager (TAM). Hoe kunnen overheidsorganisaties starten met AWS? Om gebruik te maken van de gestandaardiseerde voorwaarden, doet u een aankoop via een bestaand contract, raamwerk of nieuwe aanbestedingsprocedure. Om deel te nemen aan de Foundation Tier ondertekent u enkel de voorwaarden van het framework agreement. Om gebruik te maken van de Government Tier en bijkomende kortingen spreekt u met AWS een minimaal verbruik af voor 3 jaar en contracteert u voor dezelfde periode AWS support. Partners geven de korting van de Government Tier voor 100 procent door aan de klant. re:Invent Wilt u meer weten over innoveren met AWS? Ontdek dan het gratis online deel van re:Invent, het bekende event van AWS dat dit jaar tussen 27 november en 1 december gehouden wordt. 77 beeld: shutterstock/ibestuur
Trends in Veiligheid 2023 Innovatie in een weerbare In een wereld die sterk afhankelijk is van technologie, is veiligheid cruciaal. Technologie biedt meer veiligheid, maar zorgt evengoed voor meer dreiging. Zo heeft het veiligheidsdomein een transformatie ondergaan met de opkomst van datagedreven werken en toepassingen als artificiële intelligentie (AI). O rganisaties in het veiligheidsdomein profiteren volop van geavanceerde analytische mogelijkheden om bedreigingen te identificeren en te mitigeren. Maar (cyber)criminelen zitten ook niet stil. Zij gebruiken AI en geavanceerde datatechnieken om hun criminele praktijken te verfijnen. Terwijl de organisaties in het veiligheidsdomein streven naar het creëren van een intelligente en datagedreven aanpak van criminaliteit, moeten ze ook rekening houden met de ethische en privacyimplicaties van het gebruik van toepassingen als AI om het vertrouwen van de samenleving niet te verliezen. Vertrouwen is de basis van de legitimiteit van de organisaties in het veiligheidsdomein. In deze context is ook het versterken van de 78 eigen weerbaarheid met cybersecurity van cruciaal belang. Het veiligheidsdomein heeft zich in de loop der jaren ontwikkeld tot een stabiliserende actor in onze samenleving. In een wereld waar technologie een steeds grotere rol speelt, heeft het domein zich voortdurend aangepast om een antwoord te bieden op nieuwe uitdagingen. Ook dit jaar publiceerde Capgemini (voor de dertiende keer) Trends in Veiligheid. Veiligheid blijft cruciaal, en in dit rapport verkennen we verschillende thema’s. Hieronder een inkijk in enkele onderwerpen die in het rapport te vinden zijn. Datagedreven veiligheid Het veiligheidsdomein wordt steeds meer datagedreven. We zien organisaties binnen dit domein gebruikmaken van geavanceerde analytische mogelijkheden om bedreigingen te identificeren en te beheersen. Artificiële intelligentie (AI) speelt hierbij een centrale rol, waardoor snelle en nauwkeurige besluitvorming mogelijk wordt. Deze technologieën hebben het potentieel om onze samenleving veiliger te maken, maar ze brengen ook ethische en privacyvraagstukken met zich mee. Het behouden van het vertrouwen van de samenleving is van essentieel belang voor de legitimiteit van deze organisaties. De organisaties moeten alle publieke waarden dienen, niet enkel diegene die de kortetermijn-effectiviteit vergroten. De opkomst van AI in het veiligheidsdomein roept belangrijke ethische
partner Capgemini digitale samenleving veiligheidsmaatregelen. Het bepalen van de benodigde securityvaardigheden blijft een uitdaging. Immersieve technologieën en duurzaamheid AI is niet de enige technologische kracht die het veiligheidsdomein beïnvloedt. In 2023 verkennen organisaties ook de kansen en bedreigingen van immersieve technologieën zoals quantum computing en virtual reality (VR). Deze Gebruikmaken van geavanceerde analytische kwesties op. Het gebruik van AI in surveillance, besluitvorming en preventie heeft het potentieel om de effectiviteit van veiligheidsmaatregelen te vergroten, maar het roept ook vragen op over privacy en burgerrechten. Veel organisaties worstelen met deze dilemma’s en zoeken naar manieren om (generatieve) AI op een verantwoorde en legitieme manier in te zetten. De afgelopen jaren heeft de manier waarop we werken ingrijpend veranderd, met een grotere nadruk op hybride werken. Dit heeft nieuwe uitdagingen op het gebied van cybersecurity met zich meegebracht. Organisaties in het veiligheidsdomein moeten de juiste balans vinden tussen de voordelen van hybride werken en de noodzaak van extra Nummer 48, oktober 2023 mogelijkheden om bedreigingen te identificeren en te beheersen technologieën bieden nieuwe mogelijkheden voor training en simulatie in het veiligheidsdomein. Zorgen zijn er ook zoals AI in sociale chatbots. Sociale chatbots belichamen de opkomst van digitale interactie. Dit biedt vele positieve mogelijkheden als educatieve tools en emotionele steun, maar kunnen ook verslaving en ideologische echokamers versterken. De grenzen van criminaliteit vervagen in een wereld waarin digitale criminaliteit en crypto currency internationaal kunnen opereren. Een grotere nadruk op internationale samenwerking en geharmoniseerde regelgeving om georganiseerde criminaliteit effectiever aan te pakken is nodig. Ook duurzaamheid staat hoog op de agenda van organisaties in het veiligheidsdomein. Ze erkennen de rol die ze kunnen spelen in klimaatmitigatie en -adaptatie. Zoals de inzet van de politie op het gebied van duurzaamheid, zowel intern als in hun operationele activiteiten. Evenwicht De complexe uitdagingen waarmee het veiligheidsdomein wordt geconfronteerd, vereisen vaak organisatie overstijgende samenwerking. Het aanpakken van georganiseerde criminaliteit bijvoorbeeld, vraagt om een ecosysteem-aanpak en adaptieve overheidsstructuren. Ook over dergelijke organisatorische uitdagingen wordt in het rapport geschreven. Het veiligheidsdomein blijft een dynamische en cruciale rol spelen in onze samenleving. Het evenwicht tussen technologische innovatie, ethiek en veerkracht zal bepalend zijn voor hoe veiligheidsorganisaties de uitdagingen van de moderne wereld het hoofd bieden. Als we deze kansen en uitdagingen aangaan, met oog voor alle publieke waarden, kunnen we samen een veiligere en veerkrachtigere samenleving creëren voor alle burgers. Het rapport is te downloaden op www.capgemini.nl/trendsinveiligheid Erik Staffeleu, vice president Publieke Sector Capgemini Invent 79
Never let a good V an 1945 gaan we naar de huidige tijd. Even een paar feiten op een rijtje: • Van 2020 tot en met medio 2022 was er een wereldwijde coronacrisis. • In januari 2021 treedt het kabinet af vanwege de toeslagenaffaire. In de kwestie, die zich al jaren voortsleept, werden duizenden ouders financieel zwaar gedupeerd, omdat ze door de Belastingdienst onterecht werden beschuldigd van fraude met kinderopvangtoeslag. • Op 24 februari 2023 wordt het rapport ‘Groningers boven gas’ van de parlementaire enquête aardgaswinning Groningen gepubliceerd. Het rapport doet heel wat stof opwaaien en er worden harde conclusies getrokken. • Politieke debatten verharden, controverses worden uitvergroot, het taalgebruik is verhard, men is onderling minder respectvol en er wordt steeds vaker gerept over een ‘vertrouwenscrisis politiek - inwoners’. • Het laatste kabinet Rutte valt, voortijdig. Met deze keer de asielcrisis als oorzaak. • De vervroegde Tweede Kamer verkiezing vindt plaats op 22 november 2023. • Ondertussen woedt de oorlog in Oekraïne voort, dreigt er een klimaatcrisis, is er een energiecrisis en een graancrisis. • Ruim 30 ‘zittende’ Nederlandse politici, waaronder vele ‘kopstukken’ kondigen hun vertrek aan en stellen zich niet opnieuw verkiesbaar (20 procent). Er lijkt een vertrek-virus rond te waren in Den Haag. 80 ‘Never let a good crisis go to waste’, is de beroemde uitspraak van Winston Churchill. De Britse staatsman gebruikte deze woorden tijdens het vormen van de Verenigde Naties. Hij refereerde hier aan de Tweede Wereldoorlog: volgens de Britse premier was het instituut er nooit geweest zónder de donkere periode die eraan vooraf ging. beeld: shutterstock/ibestuur
partner Blueriq crisis go to waste Het omdenken dat vervat zit in de uitspraak van Churchill levert een hoopvolle blik naar de toekomst op. Als er zoveel misgaat, als er zoveel crises zijn, kunnen we daar een hoop van leren, waardoor het straks beter gaat. Wat hebben we geleerd in en van de hierboven beschreven crises en wat gaat er, na de komende Tweede Kamerverkiezingen, vanaf 2024 beter? Wat gaan we beter doen en hoe? Wat gaat wel goed? Laten we even inzoomen en ons concentreren op de achter ons liggende coronacrisis om te bezien of we iets hebben geleerd dat de andere crises kan helpen oplossen. Gedurende de coronacrisis ging er in Nederland namelijk ook veel juist wél goed. De politiek was slagvaardig en heeft (bijna) unaniem succesvol enkele steunmaatregelen (denk aan TOGS en TVL) voor het bedrijfsleven afgekondigd. De projecten om die steunmaatregelen goed uit te voeren slaagden en je hoort weinig tot geen klachten over de uiteindelijke uitvoering. Dit is opmerkelijk gezien het feit dat de overheid niet bepaald bekend staat als een omgeving waarin projecten met een grote ICT-component succesvol verlopen. Overigens zie je ditzelfde (succesvol project, tevreden gebruikers, weinig tot geen klachten over de uitvoering) nu gebeuren bij de Tegemoetkoming Energiekosten energieintensief mkb (TEK). Wat gaat hier goed en moeten we vasthouden en ook elders gaan toepassen? • De uitvoerende overheidsorganisatie Nummer 48, oktober 2023 beschikt over flexibele, wendbare en multidisciplinaire IT-platforms (stabiele, toekomstbestendige IT). • Bij IT-projecten wordt de business zelf ‘in the lead’ gezet. • De manier van werken tussen ministerie en uitvoering veranderde in de coronacrisis. In de ‘normale’ situatie worden soms opdrachten geformuleerd zonder de uitvoering intensief te betrekken. Daarmee wordt er een zwaar beroep op IT-organisaties van de uitvoerende organisatie gedaan om uitvoering mogelijk te maken. In deze crisistijd werkte het andersom. De uitvoering was meer én eerder in beeld waardoor zaken veel sneller en tegelijkertijd zorgvuldiger konden worden uitgevoerd. Bijkomend voordeel was dat zaken vooraf konden worden besproken, waardoor de uitvoering minder complex werd. De crisis heeft beleid en uitvoering dichter bij elkaar gebracht. • Bij de uitvoering werd rekening gehouden met een steeds verfijnder wordend risicomodel. Hiermee werden ophopingen van aanvragen voorkomen en konden ondernemers die in aanmerking kwamen voor steunmaatregelen er snel gebruik van maken. Gedurende de uitvoering kon dit risicomodel samen met de beoordelaars steeds aangescherpt worden om voor de overgebleven gevallen een handmatige beoordeling te doen. Een mooi voorbeeld van de samenwerking van mens en makkelijk aanpasbare IT. • De politiek was eensgezind en de urgentie werd breed gevoeld. • Verschillende overheidsorganisaties en bedrijven werkten onder hoge druk succesvol samen vanuit onderling vertrouwen. Heilige graal? Kunnen we met deze lessen ook een klimaatcrisis, koopkrachtcrisis, kindertoeslagcrisis Groningen-crisis (hersteloperatie), vertrouwenscrisis en tal van andere crises oplossen? We hebben hier zeker niet de heilige graal te pakken waarmee alle problemen als sneeuw voor de zon verdwijnen, maar ik ben ervan overtuigd dat in de uitvoering veel kan verbeteren en dat dit het herstel van vertrouwen in de overheid ten goede komt. Dus: • Laat beleid en uitvoering samen de mogelijkheden bespreken. • Zet de ‘business in the lead’ bij het inrichten van de optimale ITondersteuning van de gewenste werkprocessen. • Zet toekomstbestendige, flexibele, wendbare en stabiele IT in. • Met een grotendeels nieuwe Tweede Kamer straks is het belangrijk dat de crises onderkend worden, niet de verschillen maar de overeenkomsten benadrukt worden en het gezamenlijk belang gediend wordt. • Bedrijven, wetenschap en de overheid moeten datzelfde doen: dus crises onderkennen, niet de verschillen maar de overeenkomsten benadrukken en het gezamenlijk belang dienen. Op naar een mooi 2024 en verder! Frits van Endhoven werkt als relatiemanager overheid bij Blueriq. Neem contact op via: 06 46 09 37 22 of f.van.endhoven@blueriq.com. 81
Digitale overheidsdiensten: Groot vertrouwen, Recent onderzoek van Deloitte maakt zichtbaar dat er veel vertrouwen is in de Nederlandse overheid als het gaat om het beveiligen van persoonlijke data. Maar ook dat er een opvallende kloof bestaat tussen de digitale vaardigheden van minderheden en niet-minderheden in Nederland. Deze en meer belangwekkende uitkomsten zetten we hier op een rij. oor de Deloitte Global Digital Citizen Survey werden 5.800 mensen uit onder meer Nederland, Denemarken, Canada en Japan gevraagd naar hun gebruik van digitale overheidsdiensten en hun perceptie daarvan. Opvallende uitkomsten: de Nederlandse ondervraagden hebben relatief veel vertrouwen in de overheid als het gaat om databeveiliging. Ook staat een groot deel van de Nederlanders open voor een digitaal identiteits bewijs. Wel kent Nederland van alle deelnemende landen de grootste digitale kloof tussen verschillende bevolkingsgroepen. V Dienstverlener of crisismanager? Hoe ervaren burgers digitale overheidsdiensten? Dat blijkt van land tot land flink te verschillen. Als het gaat om het beveiligen van hun persoonlijke data heeft maar liefst 79 procent van de ondervraagde Nederlanders vertrouwen in de overheid, waar dat bijvoorbeeld in Denemarken op 73 procent ligt en in Japan zelfs onder de 60 procent. Verrassend, want in ons land is het vertrouwen in de politiek dit jaar tot een historisch dieptepunt gedaald. Toch vertrouwen burgers hun digitale gegevens toe aan de 82 overheid wat zij beslist als een compliment mag opvatten. Het lijkt erop, dat Nederlanders verschil maken tussen de overheid als crisismanager en als dienstverlener. Er is vertrouwen in het ambtenarenapparaat en in de digitale dienstverlening. Twee derde van de Nederlanders geeft dan ook aan tevreden te zijn over de bestaande digitale overheidsdiensten. Verrassing: driekwart staat open voor een digitaal ID 74 procent van de Nederlanders zegt open te staan voor een uniek digitaal identiteitsbewijs; waar dat bijvoorbeeld bij de Denen op 64 procent ligt en bij de Portugezen op slechts 54 procent. Opnieuw een verrassing: er is in ons land de laatste jaren veel weerstand tegen deze ontwikkeling. Met name tijdens de corona-epidemie is een beeld ontstaan van een datahongerige overheid die haar burgers wil beperken en controleren. Nu blijkt dat er onverwacht veel animo is voor een eID, wordt het des te belangrijker om helder te communiceren over wezenlijke issues als privacy en veiligheid van de data. En over belangrijke vragen en zorgen. Wat is de overheid van plan? Welke meerwaarde biedt dat aan burgers? En vooral: hoe blijven burgerrechten gewaarborgd? Een goed moment voor volgende stappen? Al met al lijkt er een goede basis te liggen om stappen te zetten in de digitale dienstverlening. Daarbij kan de overheid ook kijken naar het bedrijfsleven. Ter illustratie: de tevredenheid van gebruikers over digitale diensten van bedrijven ligt 20 procent hoger dan de tevredenheid over digitale overheidsdiensten. Goede dienstverlening versterkt
partner Deloitte maar ook grote kloof op te halen. Daarnaast zullen er voldoende alternatieven moeten blijven voor diegenen die zich digitaal nog niet goed kunnen redden. Communicatie: transparanter, beter en vaker Veel minderheden hebben geen toegang tot – of niet genoeg kennis van – internet om digitale overheidsdiensten te kunnen gebruiken het vertrouwen van de gebruiker. Voor bedrijven een vanzelfsprekendheid; immers, als de dienstverlening slecht is, lopen klanten weg. De overheid voelt die prikkel niet. Het zou goed zijn om nadrukkelijker te denken in termen van klanttevredenheid. Internet voor minderheden een hoge drempel Het onderzoek laat ook een problematische uitkomst zien. De digitale kloof tussen verschillende bevolkingsgroepen in Nederland is met 35 procent verschil het grootst van alle landen die deelnaNummer 48, oktober 2023 men aan de survey. Onder minderheden gaf meer dan de helft aan geen toegang tot — of niet genoeg kennis van — internet te hebben om digitale overheidsdiensten te kunnen gebruiken. Onder mensen met een Nederlandse herkomst is dat 19 procent. De komende jaren zal dan ook aandacht besteed moeten worden aan inclusiviteit. Hoe stellen we zoveel mogelijk mensen in staat zo goed mogelijk hun zaken digitaal te regelen? Denk aan het doen van een belastingaangifte, gegevens in hun burgerlijke stand aanpassen of een afspraak regelen om het grofvuil Dat vraagt om een andere aanpak. De overheid zal zich beter moeten inleven in de verschillende doelgroepen die ze bedient. Hierbij kan het toepassen van cocreatie of codesign helpen: door samen te werken met zowel burgers als bedrijven, kan de overheid de digitale dienstverlening beter laten aansluiten en de kloof verkleinen. Maar de belangrijkste sleutel ligt toch in het communiceren met haar burgers. Dat zal transparanter, beter en vaker moeten gebeuren. De overheid zal het achterste van haar tong moeten laten zien over de beweegredenen en complexiteit rondom digitale technologie. Dat laat onverlet dat de overheid veel digitale zaken al goed op orde heeft, zoals valt af te leiden uit het gebleken vertrouwen. Iets om zuinig op te zijn. Een breed draagvlak voor verdere digitalisering zullen we in de toekomst hard nodig hebben. Sjoerd van der Smissen (partner bij Deloitte en Government and Public Services Industry leader) en Kees Verhoeven (eigenaar van Bureau Digitale Zaken en voormalig Tweede Kamerlid). 83
De wal e cruciale vraag die voor ons ligt: hoe kunnen we een betrouwbare, mensgerichte en toekomstbestendige overheid organiseren? We kijken naar de horizon van mogelijkheden waar digitalisering onze partner is en we werken met vereende krachten aan een visie die ons begeleidt naar een duurzame toekomst. Kijk, dit is een prachtige zin maar wat staat hier eigenlijk? Mensen willen wel veranderen maar niet veranderd worden, totdat er echt iets aan de hand is. Thuiswerken was bijvoorbeeld al jaren een ding en voor vele organisaties buitengewoon lastig om te willen organiseren, totdat we te maken kregen met corona. Weet u dat nog? Toen was thuiswerken ‘opeens’ de norm en als het een beetje kon werd het georganiseerd. Vanuit de mythologie zegt men: ‘als een feniks uit de as herrijzen’ om aan te geven dat iets of iemand tot bloei komt, na eerst volledig te zijn afgebroken. Als de noodzaak dus D Een oproep tot standaardisatie, Geachte beleidsmakers en besluitvormers van de Nederlandse overheid, Momenteel worden de fundamenten van hoe we werken en denken opnieuw gedefinieerd. Nog niet iedereen realiseert zich dat maar ‘de wal’ komt zienderogen dichterbij. Is dit dan een nieuw rampverhaal waar deze IT-partner vanzelfsprekend de oplossing voor uit zijn tas tovert? In tegendeel, op basis van onze ervaringen bij honderden organisaties in Nederland verwacht ik veel betere tijden waarin de overheid besluitvaardiger kan worden omdat de randvoorwaarden daarvoor beter worden georganiseerd. 84 keert het schip beeld: shutterstock/ibestuur
partner AnyLinQ samenwerking en vereenvoudiging maar groot genoeg is, wordt de verandering die we eigenlijk niet willen de enige oplossing. Dat is precies de insteek van dit artikel. We weten dat het moet gaan gebeuren maar we willen er nu nog liever niet onze vingers aan branden. De weg vooruit In dit tijdperk van technologische ontwikkeling zijn data de levensader van vooruitgang. Met de toename van de hoeveelheid en de complexiteit van data komt de noodzaak om op een slimme en kosteneffectieve manier te opereren. Hier ontstaat een cruciale behoefte tot samenwerking, vereenvoudiging en standaardisatie van de aanpak. Daar hoef je geen raketgeleerde voor te zijn maar met het ‘willen’ heb je de sleutel in handen. Sterker nog; dit is waar uw leiderschap als beleidsmakers en besluitvormers van onschatbare waarde is! Laten we eerlijk zijn: iedere overheidsorganisatie heeft haar eigen doelen en verantwoordelijkheden, maar de uitdagingen waar we voor staan zijn eigenlijk behoorlijk generiek. Er tekent zich een grote kans aan de horizon af om de overkoepelende organisatiethema’s te identificeren en oplossingen te ontwikkelen die zich eenvoudig laten vertalen naar kostenefficiëntie, betrouwbaarheid, voorspelbaarheid en toegepaste innovatie. Standaardisatie van datastrategieën is de weg vooruit – een weg die leidt tot consistentie en efficiëntie. De beperkte beschikbaarheid van gespecialiseerd personeel is een andere realiteit die we niet kunnen negeren. Terwijl de ervaren medewerkers met pensioen gaan, ontstaat er een uitdaging om een volgende generatie op te leiden en Nummer 48, oktober 2023 op te leiden in overeenstemming met de nieuwste technologieën en het trots kunnen zijn op onze overheid. Hier komt de oproep tot samenwerking om de hoek kijken. Door kennis en ervaring te delen, kunnen we een veerkrachtige toekomst opbouwen die ons in staat stelt om onze taak te vervullen in een snel veranderende omgeving. Een betrouwbare overheid kan alleen worden gebouwd op een basis van translijk overeenkomen. Dit inzicht stelt ons in staat om een paradigmaverschuiving teweeg te brengen in de manier waarop we IT-uitdagingen aanpakken. De fragmentatie van huidige aanbestedingen heeft, door gebrek aan datastrategie, geleid tot een lappendeken van oplossingen vanuit verschillende uitgangspunten. Nu kunnen we, als de feniks die herrijst uit de as, standaard bouwblokken gebruiken die ons doel Breng standaardisatie- en vereenvoudigingsinitiatieven samen parantie en vertrouwen. Het vergrootglas waar iedereen onder ligt, maakt het des te belangrijker dat we werken vanuit eenheid en integriteit. Paradigmaverschuiving Bent u bereid om te zorgen voor vereenvoudiging en om ferme beslissingen te nemen in het belang van het grotere geheel? De tijd dringt en de acties vandaag leggen de basis voor een toekomst. Laten we daarom onze krachten bundelen, onze expertise delen en onze standaardisatie- en vereenvoudigingsinitiatieven samenbrengen. Het is tijd om onze overheid te vormen tot een efficiënte en betrouwbare entiteit die voorbereid is op de uitdagingen van morgen. De overheid, in haar veelvoudige verschijningsvormen, deelt een gemeenschappelijke kern van doelstellingen, wat resulteert in gedeelde datastrategieën en enterprise architecturen die opmerkedienen. Dit leidt ook tot eenvoudiger beheer van IT-infrastructuur en beter beheersbare verander- en implementatieprojecten. Deze kanteling van benadering heeft bovendien de potentie om met een kleinere populatie aan menskracht meer te bereiken. Deze taak is niet eenvoudig, noch zonder uitdagingen. Maar met vastberadenheid en een gedeelde visie kunnen we dit met elkaar verwezenlijken. Als het leiderschap vanuit de overheid opstaat om deze koers te varen, bieden wij onze expertise aan om dit te gaan realiseren. Laten we samen aan boord gaan en de toekomst vormgeven die we voor ogen hebben. De tijd om te handelen is nu! Ik kom graag met u in contact over dit onderwerp. Schroom niet en stuur me een e-mail. Dennis Kuipers (dennis.kuipers@anylinq.com), oprichter AnyLinQ. 85
‘De Omgevingswet is geslaagd als we het er niet meer over hebben’ Wat deed het uitstel op uitstel? Fred van den Bosch: “De wetgeving in het fysieke domein lag al tien jaar stil. Het werd de hoogste tijd om knopen door te hakken. Een keer uitstellen is begrijpelijk. Maar met het zoveelste uitstel lekte de energie weg. Pas wanneer er zekerheid is, kun je het vuurtje brandend houden." Kees Keuzenkamp: “Het is gebruikelijk dat de inhoud van een nieuwe wet in de Kamers komt. Normaal gesproken is de datum van de inwerkingtreding vervolgens aan de minister. Bijzonder aan de besluitvorming over de Omgevingswet was dat de invoeringsdatum zélf een politieke keuze betrof. Dat de wet er moest komen, was geen vraag meer. Gemeenten, provincies, waterschappen, Rijk en VRO (als stelselverantwoordelijke) waren het er als samenwerkende partijen al over eens: wij willen die wet en we zijn er klaar voor.” Hoe bepaal je of je er klaar voor bent? Keuzenkamp: “Natuurlijk zijn er altijd nog wat bevindingen. Maar het gaat om een bepaalde basis: heb je vertrouwen in elkaar? Dan gaan we het samen aan.” Door Chantal Richter Beeld Shutterstock, Arenda Oomen en Ad van de Graaf Fred van den Bosch (VNG). Kees Keuzenkamp (BZK). Van den Bosch: “Denk aan het tv-programma ‘Ik vertrek’. Het besluit om eraan te beginnen, doet iets met de houding en energie van de mensen die het aangaat. Het is misschien allemaal niet perfect, en de kamers zijn niet strak ingericht, maar de intentie is er. Dat besluit maakt dat je je richt op wat er wél is.” Wat doet het vastzetten van de datum? Keuzenkamp: “Ik vergelijk het met een verhuizing. Zonder zekerheid ga je niet door. Pas wanneer je een overdachtsdatum hebt, ga je een verhuizer boeken. Om de analogie te vertalen 86
Op 1 januari 2024 gaat het dan eindelijk gebeuren: de Omgevingswet treedt in werking. Fred van den Bosch, implementatiemanager van de VNG en Kees Keuzenkamp, programmadirecteur ‘Aan de slag met de Omgevingswet’ bij BZK vinden het een goede zaak dat de datum nu echt in zicht komt. “Dat prikkelt om de laatste benodigde voorbereidingen te treffen.” Hoe staat de implementatie ervoor? naar de invoering van de Omgevingswet: de datum van 1 januari 2024 doet wat met het gevoel van urgentie. Het is nu de tijd om gekwalificeerd personeel aan te nemen en op te leiden. Om nieuwe contracten aan te gaan met softwareleveranciers." Hoe staat het nu met de laatste voorbereidingen? Keuzenkamp: “We testen alle functionaliteiten in de hele dienstverleningsketen, zowel fysiek als digitaal. Dus planvorming, vergunningverlening, het ontsluiten van informatie voor initiatiefnemers en publicatie. Waar is het ijs nog wat dun? Daar bieden we bij wijze van spreken een vriesapparaat aan. De implementatie kent een gezamenlijke betrokkenheid van de bevoegd gezagen.” Van den Bosch: “De VNG heeft verschillende diensten ontwikkeld die gemeenten helpen bij de implementatie, zoals de Klaar voor de start-tool. Voor het inrichten van de benodigde werkprocessen moeten we elkaar tijdig vinden. Waar dat gewenst is, bieden we hulptroepen aan in de vorm van regionale implementatiecoaches. We koppelen voorlopers aan organisaties die op zoek zijn naar concrete voorbeelden. We zorgen ervoor dat verdiepingsvragen over bijvoorbeeld ICT op de juiste plek terechtkomen." Wat is de intentie van de wet? Keuzenkamp: “Wat wij doen is als het ware in de huid van de initiatiefnemer kruipen. Hoe kan deze weten wat er waar en wanneer wel of niet mag? Daar moet je nu nog alle bevoegd gezagen voor af, om vervolgens verschillende vergunningen aan te vragen. En bizar maar waar: die vergunningen stellen soms tegengestelde eisen. Dankzij de Omgevingswet krijgen we een nieuw proces, waarin een integrale afweging plaatsvindt. Hiermee bereiken we beter afgewogen oordelen, in zowel planvorming als vergunningverlening. De initiatiefnemer heeft nog maar met één bevoegd gezag te maken, die coördinerend optreedt voor de andere. Dat is een grote vooruitgang: dat een initiatiefnemer nog maar met één Omgevingsloket te maken krijgt.” Wat maakt dit veranderproces zo bijzonder? Van den Bosch: “Met de invoering van de Omgevingswet zetten we een nieuwe werkelijkheid neer. Dat maakt het veranderproces ook heel ingewikkeld. Je bent bezig met fundamenten terwijl het gebouw nog niet geheel is ontworpen.” Wat betekent de Omgevingswet voor de lokale democratie? Van den Bosch: “De Omgevingswet geeft veel meer ruimte voor vroegtijdige participatie bij initiatieven. Initiatiefnemers wordt gevraagd ‘naar buiten’ te gaan met hun probleem of uitdaging om de behoeften van belanghebbenden op te halen. Het is tijd voor nieuwe vormen van participatie. De basis is een open gesprek zonder harde plannen als vertrekpunt. Deze Nummer 48, oktober 2023 87
werkwijze zien we ook terug in de totstandkoming van de omgevingsvisie en het omgevingsplan. Talloze gemeenten hielden bijvoorbeeld wereldcafés of dialoogsessies op de markt, om te horen welke ideeën hun inwoners hebben over de toekomst van hun woonplaats. Op die manier wordt de visie iets van de hele gemeenschap.” Wat betekent dit voor de rol van de raad? Van den Bosch: “De raad moet zich kunnen focussen op het grote plaatje. Dat komt onze lokale democratie ten goede. Wil de gemeenteraad bijvoorbeeld een levendig stadscentrum én woonkwaliteit? Dan vraagt dit om zinvolle uitspraken vooraf, die integraal zijn en heldere keuzes bevatten. Kijk als raad niet meer per deelonderwerp, maar beslis vanuit een totaalvisie.” Hoe werkt dat voor andere initiatieven? Keuzenkamp: “De meeste initiatieven komen vanuit de samenleving. Daarvan komt de organisatie van de participatie bij de initiatiefnemer te liggen. En die is van invloed op de behandeling van de vergunningaanvraag.” Van den Bosch: “Stel dat een initiatiefnemer een foto van een buurtbarbecue meestuurt als verslaglegging van participatie. Dan is dit op zichzelf geen reden om een aanvraag af te wijzen. Het kan wel zijn dat het oordeel van een gemeente is dat hiermee onvoldoende het maatschappelijk belang kan worden gewogen. In dat geval ga je het als overheid alsnog zelf doen. De initiatiefnemer zal zich wel twee keer bedenken; hij verliest de regie op proces en tempo." Hoe zit het met de digitale kant van de implementatie? Keuzenkamp: “Het digitale aspect van de Omgevingswet is geen doel op zich. Het is ondersteunend en verbetert een integrale belangenafweging. En helpt in de VTH-taken (vergunningverlening, toezicht en handhaving). De kern van het Omgevingsloket is gebundelde informatie. Alle ruimtelijke en juridische regels zijn met een paar muisklikken benaderbaar.” Wat kan er straks in het Omgevingsloket? Keuzenkamp: “Dat je straks een kavel kunt aanklikken, en niet alleen ruimtelijke informatie van de gemeente en provincie kunt ophalen, maar ook kunt vinden wat er bijvoorbeeld vanuit waterschap en natuurbeheer van wordt gezegd, is uniek. Om dit te kunnen heb je één taal, één geometrie nodig; deze standaarden zijn de basis voor de informatie-uitwisseling. Zie het als een dataformat zoals ten grondslag ligt aan SWIFT en Interpay. In het Omgevings loket komt alle informatie van de bevoegd gezagen samen. Alle geldende regels binnen handbereik; een staaltje van wereldformaat!” 88
Wat is er nodig voor het inrichten van het Omgevingsloket? Van den Bosch: “1 januari 2024 is een harde datum, vergunningen moeten worden verleend. Terwijl het Omgevingsloket nog in ontwikkeling is. De planketen moet door kunnen gaan. Het is allemaal nieuw. Gemeenten zijn met dienstverlening in brede zin bezig.” Keuzenkamp: “Vergelijk het met het ontstaan met wetten.nl. Dat begon als service aan inwoners. Met het idee dat als je van inwoners verwacht dat zij de wet kennen, je deze ook beschikbaar moet stellen. Kluwer heeft destijds die handschoen opgepakt. Op een gegeven moment was het zo goed geworden dat professionals wetten.nl gingen gebruiken. Zo dwingt het Omgevingsloket ook een nieuwe werkelijkheid af: nu we zaken in integraliteit bezien, gaan bevoegd gezagen dingen veranderen. Een positieve ontwikkeling.” Van den Bosch: “De Omgevingswet heeft nu al bestaande complexiteit veel makkelijker zichtbaar gemaakt. Het legt iets bloot. Het grootste deel van veranderprocessen zit in houding en gedrag. Integraliteit zoeken betekent kijken in samenhang. We hebben elkaar nodig, zo eenvoudig is het. Maar eenvoudige dingen zijn niet altijd gemakkelijk.” Wanneer is de implementatie van de Omgevingswet geslaagd? Van den Bosch: “Die is geslaagd als we het er niet meer over hebben. Het gaat niet om het middel, maar om het doel ervan. Begrijp me goed; ik heb er veel vertrouwen in. Het zit in de aard van gemeenten om de dienstverlening in orde te maken en te laten groeien. De professionals gaan zich het snot voor de ogen werken. Ik verwacht een steile leercurve, voor zover ze er niet al zijn. Dat hebben we eerder ook gezien met de invoering van de Wet algemene bepalingen omgevingsrecht (Wabo).” Keuzenkamp: “Het doel is te redeneren vanuit maatschappelijke opgaven, zoals de energietransitie. We brengen onze dienstverlening op orde, zodat initiatiefnemers die een plan hebben om die energietransitie te bewerkstelligen, dit ook kunnen bereiken. Wetten.nl leidde niet tot deregulering. Maar het geeft wel beter inzicht. Dat pluspunt verwacht ik ook in de implementatie van de Omgevingswet.” Nog een advies voor bestuurders? Van den Bosch: “In de colleges van gemeenten is vaak één coördinerend portefeuillehouder aangewezen voor de Omgevingswet. Het lukt dan wel om de andere domeinen tijdig te betrekken, denk aan welzijn en gezondheid. Een blinde vlek is echter nog het verbinden van domeinen op het regionale niveau. Alle bestuurders zijn in enige mate van de fysieke leefomgeving, óók in regionale samenwerking. De Omgevingswet is het vehikel om dit mogelijk te maken in je regio, benut dat.” Alle geldende regels binnen handbereik; een staaltje van wereldformaat! Nummer 48, oktober 2023 89
Kamerleden Rahimi en Dekker-Abdulaziz over Orde en structuur in Allebei veertigers, allebei geboren in het Midden-Oosten, allebei sinds de start van dit (inmiddels demissionaire) kabinet in de Tweede Kamer en allebei lid van de Commissie Digitale Zaken. Het zijn niet de enige overeenkomsten tussen VVD’er Hawre Rahimi en D66’er Hind Dekker-Abdulaziz. Ook over de in mei uitgebrachte rapportage van Arre Zuurmond, de regeringscommissaris Informatiehuishouding, zijn ze eensgezind, namelijk: positief, met enkele kanttekeningen. Zorg er als overheid voor dat je je data op orde hebt, waarschuwen ze als uit één mond. en postkoets met hulpmotor: die metafoor gebruikt de regeringscommissaris voor de huidige staat van de overheid. Hij noemt haar in haar diepste wezen bureaucratisch, verkokerd en reactief. Hind Dekker-Abdulaziz kan zich in de typering wel vinden. Misschien, suggereert ze, is dat ook gekomen omdat digitalisering, IT en de informatiehuishouding voor politici en bewindspersonen lange tijd ‘een ondergeschoven kindje’ waren. “Vrijwel alle wetgeving heeft een digitale component dus als volksvertegenwoordiger móét je iets vinden van de keuzes die in de digitale wereld worden gemaakt. Toch werd digitalisering lange tijd als een soort administratief iets gezien. We lieten de lastige keuzes aan IT’ers over.” E Door Els Wiegant Beeld Shutterstock 90 Zelfs cruciaal De stip op de horizon van een responsieve overheid, die naast in plaats van tegenover haar burgers staat, spreekt zowel Dekker-Abdulaziz als Rahimi
rapport Informatiehuishouding de informatieberg aan, beiden hebben zitting in de Kamercommissie Digitale Zaken. Een van de voorwaarden om dit te kunnen worden is dat de overheid meer proactief moet zijn en dat zij daarvoor over actuele informatie over haar burgers moet beschikken. Dekker-Abdulaziz: “D66 was medeindiener van de Wet open overheid (Woo) en dus ben ik voorstander van actieve openbaarmaking. Niet wachten tot de burger om informatie vraagt, maar het proactief aanbieden. Ik denk dat een responsieve overheid betere en snellere dienstverlening kan bieden en transparanter kan zijn. Maar een responsieve overheid kun je pas worden als je informatiehuishouding goed op orde is. Die analyse van de regeringscommissaris deel ik.” Ook Rahimi benadrukt diverse malen dat het op orde hebben van je data niet alleen belangrijk is, maar zelfs cruciaal. “Ik vergelijk het met een auto. Als je benzinemeter het niet doet, kan het gebeuren dat je je bestemming niet bereikt omdat je benzine op is. Dan bel je de ANWB. Maar als wij moeten beoordelen of iemand een fraudeur is of niet en onze data zijn niet op orde, dan nemen we foute beslissingen. En die beslissingen kunnen iemands vrijheid beperken, met ernstige gevolgen. Dat is dus echt iets heel anders.” Gekke tijd Het is ‘een gekke tijd’ geweest in politiek Den Haag, constateert het VVDKamerlid: een demissionair kabinet, afgetreden premier, niet meer terugkerende Kamerleden en bewindspersonen en als gevolg daarvan onder meer het wel of niet controversieel verklaren van (wets)voorstellen, de voorbereiding van de verkiezingen en de samenstelling van de nieuwe kieslijsten. Het rapport van de regeringscommissaris is in de commissie (nog) niet behandeld en in detail hebben Rahimi en Dekker-Abdulaziz het dan ook nog niet grondig bestudeerd. Maar gelezen hebben ze het wel en er staan ‘goede dingen’ in, vinden ze. De regeringscommissaris heeft vijf speerpunten benoemd om de transformatie te realiseren van een bureaucratische, reactieve naar een responsieve overheid. Een speerpunt is de oprichting en ontwikkeling van een Informatieacademie: een goed functionerende gemeenschap van communicatieprofessionals bij de overheid. “Supergoed” noemt Rahimi dit voornemen en DekkerAbdulaziz is er “gecharmeerd” van. Zij zegt: “Het is goed om de kennis bij Nummer 48, oktober 2023 91
iedereen op niveau te brengen. Toen ik raadslid in Utrecht was, hebben wij een masterclass over digitale processen en onderwerpen ontwikkeld voor alle raadsleden omdat bleek dat vele daar onvoldoende van wisten. Dat was een succes.” Een tweede speerpunt, de totstandkoming van een Algemene InformatieHind DekkerAbdulaziz Hind Dekker-Abdulaziz is geboren in Bagdad in 1981. Ze is van oorsprong ingenieur, afgestudeerd op telecom(infrastructuur). Ze werkte negen jaar als consultant op dit terrein. Voordat ze in januari 2022 in de Tweede Kamer kwam, was ze raadslid voor D66 in haar woonplaats Utrecht. Het leuke van de commissie Digitale Zaken vindt ze – onder andere – dat deze nieuw is. “Al langer bestaande commissies hebben zo hun vaste gewoontes, wij konden onze stempel er nog op drukken en voelen allemaal de verantwoordelijkheid om de commissie op de kaart te zetten. Dat maakt het extra spannend.” wet, kan eveneens op bijval rekenen. Dekker-Abdulaziz: “Waar wij als commissielid vaak tegenaan lopen is dat informatie in stukjes is geknipt en verspreid over de verschillende departementen te vinden is. Voor de doorstroming van informatie moet je een beter kader hebben. Dat iedereen weet welke informatie je verwerkt, hoe je dat doet en waarom. Ook ‘horizontaal’ moet het kloppen, zodat je als burger niet bij de gemeente, de Belastingdienst én DUO hoeft door te geven wie je bent, waar je woont en hoe oud je bent.” Het speerpunt kan ook de goedkeuring van Rahimi wegdragen, maar hij plaatst er wel een kanttekening bij. “De wereld is veranderd, alles hangt met elkaar samen en alles heeft een digitaal aspect. Ik heb ook de Archiefwet in mijn portefeuille (een van de onderwerpen die controversieel is verklaard overigens, red.), dus zo’n algemene wet snap ik. Maar ik heb er wel vragen bij: wat hebben we opgelost als we één overkoepelende wet hebben? Daar ben ik nog niet over uitgedacht.” Tachtig randvoorwaarden Een ander speerpunt gaat over de informatiehuishouding en openbaarheid. De regeringscommissaris constateert onder meer dat er weliswaar een Wet open overheid is, maar dat de uitvoering ervan en de gewenste openbaarheid nog onvoldoende zijn. Maak meer onderscheid tussen wel en niet belangrijke informatie en stem systemen, processen en wetgeving zodanig op elkaar af dat er orde en structuur in een – verkleinde – informatieberg kan worden geschapen, adviseert hij. Rahimi wil daar nog iets aan toevoegen: “Toen ik mijn softwarebedrijf nog had, vroeg ik me altijd af: welke klanten help ik hiermee, welk doel dient de software die wij bouwen? Die vragen worden naar mijn idee te weinig gesteld. Het is goed om ICT-architectuur en generieke infrastructuur te verbeteren, maar er moet een vraag aan voorafgaan: welke zaken moeten überhaupt gedigitaliseerd worden? Voor mij is het uitgangspunt daarbij: welke systemen en data hebben we nodig om aan onze wettelijke taken te voldoen? Beperk je daartoe, hang er niet tachtig randvoorwaarden omheen. Wij politici zijn er overigens medeschuldig aan dat dit gebeurt, want vandaag vragen wij dit van de overheid, morgen dat en overmorgen zus. Daar kan geen organisatie tegenop.” 100 procent solide In het rapport wordt ook gesproken over de doorontwikkeling van basisregistraties naar een federatief datastelsel waarmee veel meer bronnen kunnen worden ontsloten. Dit voornemen is onderdeel van de Interbestuurlijke Datastrategie Nederland die in 2021 aan de Kamer werd aangeboden. Samen met Rahimi bracht de regeringscommissaris een bezoek aan de Kruispuntbank 92 beeld: henriëtte guest
van de Sociale Zekerheid in België. Deze KSZ is geen bank waar gegevens worden opgeslagen, maar een ‘verkeersregelaar’ op het kruispunt van gegevensstromen. De informatie zelf blijft bij de bron. Een federatief datastelsel maakt het mogelijk om burgers, zonder dat ze daarom hoeven te vragen, de sociale voorzieningen en kortingen aan te bieden waar ze recht op hebben. Ook van dit idee is Dekker-Abdulaziz wel gecharmeerd, zegt ze. “Al ben ik privacywoordvoerder en willen wij eigenlijk dat de overheid niet al te veel van mensen weet. Maar als je gegevens van burgers voor zo’n goed doel gebruikt, dan moeten die wel 100 procent solide zijn. Daarmee zijn in het verleden natuurlijk dingen misgegaan en dat mag niet gebeuren.” Daarin vindt ze Rahimi eveneens aan haar zijde. “Op zich is het goed dat je mensen kunt helpen door ze automatisch uit te keren waar ze recht op hebben want er zijn genoeg die dat recht niet kennen. Maar je moet inderdaad zeker Vaak is informatie in stukjes is geknipt en verspreid over de verschillende departementen te vinden zijn dat je gegevens kloppen én actueel zijn. En ik vind dat iemand het recht moet hebben om zo’n voorziening te weigeren. Want het kan nadelig uitpakken, bijvoorbeeld omdat iemands inkomen erdoor te hoog wordt en het recht op bepaalde toeslagen vervalt.” Naar gevoel Dekker-Abdulaziz benadrukt dat de burger moet weten over welke data de overheid beschikt en wat zij daarmee doet. “De overheid moet daar transparant over zijn en die gegevens goed gebruiken. Dus het kan niet zo zijn dat, zoals we nu hebben gezien bij UWV en de Belastingdienst, die data worden gebruikt om fraude op te sporen zonder dat de burger dat weet. Want dan gaan mensen een naar gevoel over de overheid krijgen. Daar moeten we voorzichtig mee zijn.” Data bieden kansen, zegt Rahimi. “Je kunt er de goede dingen mee doen. Maar ondanks alle goede bedoelingen kan iets toch slecht uitpakken. Daar moeten we voor waken.” Nummer 48, oktober 2023 Hawre Rahimi Hawre Rahimi is in 1978 geboren in Sardasjt, in het Koerdische deel van Iran. Na de gifgasaanval op zijn stad vluchtte hij, elf jaar oud, met zijn ouders naar Nederland. Hij studeerde informatica en richtte een eigen ITbedrijf op. Voor zijn woonplaats Weesp zat hij eerst in de gemeenteraad voor een lokale partij. Toen de zaak van de gifgasaanval aanhangig werd gemaakt bij het Internationaal Gerechtshof en zijn vader er een getuigenis aflegde (wat tot de veroordeling leidde van Frans van Anraat, de leverancier van het gifgas), kwam Rahimi in contact met de latere staatssecretaris van Justitie, Fred Teeven. Dat leidde ertoe dat hij voor de VVD koos. Zijn achtergrond motiveert hem tot op de dag van vandaag: “Digitalisering raakt bepaalde grondrechten en -waardes. Ik kom uit een dictatuur, ik weet hoe voorzichtig je daarmee moet zijn.” 93
Je leest het overal en maakt er misschien al wel gebruik van: Artificial Intelligende (AI) is overal om ons heen. Van de G7 tot de Europese Commissie, van journalisten tot het bedrijfsleven en de eindgebruikers van al deze diensten, het houdt iedereen bezig. Maar de razendsnelle ontwikkeling van AI en het feit dat de technologie voor velen een black box is, leidt tot hoofdbrekens. Want hoe krijgen we grip op AI? Gaat AI ons elukkig is er volop aandacht voor de ontwikkelingen, helemaal sinds we massaal bekend werden met een nieuwe vorm van AI: generatieve AI. Voor de overheid speelt de vraag: hoe integreren we (generatieve) AI in het dagelijks leven en wat betekent dit? Wat en wie is er nodig om kansen te benutten en tegelijkertijd grip te krijgen en te houden? Wetenschappers zien AI als een sleuteltechnologie. Dat betekent dat de technologie een transformatie teweegbrengt in hoe we werken en leven, zoals ook gebeurde met de uitvinding van elektriciteit en de stoommachine. Voor de overheid biedt AI volop kansen. Het kan een cruciale rol spelen bij het vervullen van verschillende overheidstaken, zoals het monitoren van natuurgebieden en waterwegen om droogte en de staat van de waterkanten te beoordelen. Ook kan AI gebruikt worden als tool om de dienstverlening van de overheid aan burgers te verbeteren. Tegelijkertijd moeten we als overheid gelijke pas houden met de mogelijke risico’s van AI op de samenleving. Want AI kan ook gebruikt worden om desinformatie te verspreiden en vooroordelen en stereotyperingen te voeden. Het is belangrijk om te weten hoe AI beslissingen neemt en op basis waarvan. G Een voorwaarde voor het benutten van de kansen die AI biedt, is dat iedereen toegang heeft tot deze technologie. Tegelijkertijd heeft de overheid de verantwoordelijkheid om publieke waarden te bewaken en ervoor te zorgen dat AI aan deze voorwaarden voldoet. Dit geldt ook voor de overheid als gebruiker: we willen gebruikmaken van de mogelijkheden die AI biedt om onze dienstverlening te verbeteren en onze publieke taken te vervullen, maar we moeten te allen tijde het goede voorbeeld blijven geven. De snelle opmars van generatieve AI November 2022 markeerde een omslag in de manier waarop het grote publiek met AI bekend werd. De introductie van ChatGPT maakte een nieuwe vorm van AI voor de hele wereld beschikbaar. Sindsdien maken al meer dan anderhalf miljoen Nederlanders hier gebruik van. Generatieve AI, waar ChatGPT een voorbeeld van is, kan tot ingrijpende veranderingen leiden op talloze terreinen. Door het gebruik van complexe, zelflerende algoritmes die getraind worden op grote hoeveelheden data, wordt het mogelijk om heel gemakkelijk nieuwe content te creëren, zoals tekst, afbeeldingen, audio of video’s of een combinatie daarvan. Zelfs het schrijven van nieuwe programmeercode ligt nu binnen ieders handbereik. Door Elja Daae Beeld Marko Aliaksandr 94 Wat betreft het gebruik van ChatGPT en soortgelijke diensten door de overheid, hebben de gemeenten Groningen en Nijmegen inmiddels al een standpunt ingenomen: terwijl de gemeente Groningen het gebruik van ChatGPT door bestuurders afraadt, biedt de gemeente Nijmegen een viertal principes die als voorwaarden dienen. Kortom, de gemeente Groningen stuurt op
Podium straks besturen? gecontroleerd experimenteren, terwijl de gemeente Nijmegen inzet op verantwoord experimenteren. Beleid: klaar zijn voor de toekomst Hoewel technologische ontwikkelingen snel gaan, verlopen beleids- en wetgevingsprocessen een stuk trager. Dit vormt een uitdaging voor bestuurders, aangezien er nog veel onzekerheid bestaat over de precieze impact en verdere ontwikkeling van (generatieve) AI. Of AI daadwerkelijk het menselijk brein zal evenaren, zoals soms gezegd wordt, weten we niet. Sommige wetenschappers beweren juist dat de potentiële ontwrichtende werking van AI niet zo snel zal escaleren. Systemen zoals ChatGPT, zeggen zij, kunnen taal niet daadwerkelijk begrijpen en zijn daarom nog niet als ‘intelligent’ te beschouwen. Tegelijkertijd is wel duidelijk dat de bedreigingen die er zijn, door AI nog groter zullen worden. Het is een uitdaging om beleid te maken voor een vraagstuk dat nog onvoldoende gedefinieerd is Nummer 48, oktober 2023 Het is een uitdaging om beleid te maken voor een vraagstuk dat nog onvoldoende gedefinieerd is. We kunnen nog onvoldoende voorzien wat de impact van deze technologie zal zijn op de maatschappij. Toch wordt er al gewerkt aan beleid op nationaal en internationaal niveau. Zie bijvoorbeeld de recente voortgangsrapportage van de Autoriteit Persoonsgegevens (AP) en de trendanalyse AI en Algoritmen van de Vereniging van Nederlandse Gemeenten (VNG). Nationaal en internationaal Op nationaal niveau ligt de focus op het verbeteren van de beheersing van algoritmische risico's, te beginnen bij de overheid. De Werkagenda Waardengedreven Digitalisering biedt hier richtlijnen voor. Wat betreft AI en algoritmes heeft deze werkagenda al positieve resultaten opgeleverd. Zo is er een algoritmeregister opgezet met als doel het vertrouwen in de overheid te vergroten door overheidsalgoritmes in kaart te 95
Podium brengen en transparantie te bieden. De Autoriteit Persoonsgegevens (AP) fungeert als toezichthouder op de naleving en bescherming van persoonsgegevens die worden verwerkt in algoritmes en AI-systemen. Ook wordt er gewerkt aan een implementatiekader ‘Inzet van algoritmes’ om te zorgen voor duidelijke kaders bij het gebruik van AI door de overheid. Internationaal wordt momenteel door de Europese Commissie een AI-verordening (AI Act) opgesteld die onder andere ‘hoog risico’-systemen gaat reguleren. Hierbij worden voor sommige typen AI-systemen verplichtingen in het leven geroepen. Denk aan het uitvoeren van impactbeoordelingen om de gevolgen van deze systemen te analyseren. Tegelijkertijd is kort gepresenteerd door het Congres van Lokale en Regionale Overheden. Dit deel richt zich op de analyse van de impact van digitalisering en AI op lokaal mensenrechtenbeleid. Visie op generatieve AI Net als bij andere impactvolle technologieën, zoals de stoommachine en de computer, kan generatieve AI ingrijpende gevolgen hebben. Deze zorgen vinden weerklank in het maatschappelijke en politieke debat. Eind maart hebben Tweede Kamerleden een motie ingediend waarin het kabinet wordt opgeroepen een integrale visie te ontwikkelen met betrekking tot de toepassing, mogelijkheden en risico’s van nieuwe AI-producten. Het is een uitdaging om beleid te maken voor een vraagstuk dat nog onvoldoende gedefinieerd is er een discussie gaande over de mogelijkheid om een aparte categorie toe te voegen met specifieke verplichtingen voor aanbieders van foundation models. Dit zijn AI-systemen die worden getraind op een grote hoeveelheid data om vervolgens een breed scala aan taken te kunnen uitvoeren, met als bekend voorbeeld het model van OpenAI waar ChatGPT op is gebaseerd. Naast de EU werkt ook de Raad van Europa aan een voorstel tot regulering van AI. Dit AI-verdrag richt zich op de bescherming van mensenrechten, democratie en de rechtstaat bij de ontwikkeling en het gebruik van AI-systemen. Tot slot wordt het vierde deel van het Handboek Mensenrechten binnen96 Bij de uitvoering van deze motie worden naast de vele kansen ook de risico’s, uitdagingen en ethische dilemma’s van generatieve AI steeds duidelijker. Daarom werken het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en Economische Zaken en Klimaat hierin nauw samen met andere departementen, waaronder Justitie en Veiligheid en Onderwijs, Cultuur en Wetenschap. De visie beschrijft de impact op de samenleving en belicht de verschillende juridische, ethische en technische gevolgen van deze technologie. Vanwege het grote politieke en maatschappelijke belang is er gekozen voor een open dialoog met verschillende stakeholders, zoals de EU, wetenschappers, het bedrijfsleven, onderwijsinstellingen, maatschappelijke organisaties en burgers. De inzichten die in verschillende bijeenkomsten met stakeholders, zoals sectorsessies, burgerbijeenkomsten en ECP begeleidingsethieksessies, worden opgedaan worden op hun beurt weer getoetst door een breed samengestelde klankbordgroep. Het doel is om te komen tot een visie op generatieve AI die een weerspiegeling is van de verschillende perspectieven die zijn ingebracht. Elja Daae is coördinerend beleidsmedewerker digitale samenleving bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Wilt u actief op de hoogte blijven van dit visietraject, meepraten en uw mening geven? Word dan lid van de online community generatieve AI: generatieveai.pleio.nl
Belletje lellen Klous ind 19e eeuw kwam de elektrische deurbel op. We kunnen het ons nu niet voorstellen maar destijds riep dat ook kritiek op. Want toen we als mens niet langer zelf ‘onder de motorkap’ konden zien hoe dat werkte zouden we ons eigen denk- en redeneervermogen weleens kunnen verliezen. E nderhalve eeuw later worden AI-toepassingen zoals Chat GPT ontvangen met een mengeling van ongebreideld enthousiasme en angst voor de mogelijk verwoestende kracht. Ook nu komt de vraag op of de Large Language Models onder de spreekwoordelijke motorkap wel doen wat ze moeten doen en wat de sociale gevolgen zijn als we dat niet weten. De vraag komt op of de resultaten wel valide zijn. Of het model wel doet wat het moet doen. En daarmee bijvoorbeeld ook of er geen vuilnisbelt aan informatie zal ontstaan. Ter indicatie: Deense onderzoekers deden al een tamelijk radicale voorspelling: dat meer dan 99 procent van ons internet ergens tussen 2025 en 2030 zal bestaan uit AI content. A Sander Klous Hoogleraar Big Data Ecosystems, UVA en partner bij KPMG etenschapsfilosoof Karl Popper leert ons met zijn falsificatietheorie dat elk model toetsbaar en/of weerlegbaar moet zijn. Dat uitgangspunt zou ook moeten gelden voor de resultaten die AI-modellen ons opleveren: deze moeten statistisch zijn te verantwoorden. Maar dat is verre van eenvoudig, vooral vanwege de complexiteit die natuurlijk veel groter is dan die van de elektrische draadjes die de W Nummer 48, oktober 2023 deurbel in werking zetten. Hoe complexer het onderliggende model is, hoe lastiger de statistische onderbouwing. at is geen reden tot wanhoop, wel een reden om hard op zoek te gaan naar manieren om op een verantwoorde manier falsificatie te doen, zowel wetenschappelijk als maatschappelijk. Wetenschappelijk is dit domein ‘hot’: er wordt veel onderzoek gedaan om de resultaten van AI-modellen te toetsen. Met wisselend succes. Maatschappelijk zien we de aandacht terug in onder meer nieuwe wet- en regelgeving. De Europese AI Act is daarvan een voorbeeld en werkt met een classificatie van AI-toepassingen. Simpel gesteld is er voor sommige toepassingen van AI niet zoveel waarborg of statistische validatie nodig, omdat de risico’s niet zo groot zijn als het een keer misgaat. Voor andere toepassingen is dat echter wel het geval en dan legt de richtlijn de lat een stuk hoger door eisen te stellen aan toezicht en monitoring. D e tijd zal leren of dat werkt. Diezelfde tijd leerde ons de afgelopen anderhalve eeuw ook dat niemand nog twijfelt aan de deurbel. Niet omdat deze de theorie van Popper aankan, maar simpel omdat ervaring in het gebruik leert dat het werkt en vertrouwen oplevert. Zou het kunnen dat Chat GPT de deurbel van de 21e eeuw wordt? En dat we eerst nog wat vaker belletje moeten lellen voordat we dat stadium bereiken? D 97
Bouwen vanuit de praktijk e band tussen beleid en uitvoering moet versterkt worden. Dat was in 2021 een conclusie van het rapport van de Parlementaire ondervragingscommissie Kinderopvangtoeslag. Sinds die tijd wordt er op verschillende manieren geïnvesteerd in het versterken van de uitvoering. Gemeenten willen nog een stap verder gaan, zo blijkt uit de VNG Verenigingsstrategie 2030, waarmee gemeenten in juni instemden op de algemene ledenvergadering van de VNG. Hierin staat dat gemeenten maatschappelijke opgaven signaleren en daarvoor zelf oplossingen willen aandragen bij het rijk. Waarna zij samen met het rijk beleid maken, het rijk de randvoorwaarden invult en gemeenten het beleid uitvoeren. Nathan Ducastel, directeur VNG Realisatie, vindt dat een logische stap: “In een gemeente, in de straat en bij een huishouden, komt alles bij elkaar. Mensen die in de uitvoering werken zien in de praktijk wat de gevolgen zijn van beleid. Zij weten vanuit hun eigen praktijk welke oplossingen uitvoerbaar zijn en welke niet.” D Stand van de Uitvoering Meer gewicht geven aan de uitvoering vraagt ook wat van de uitvoerende organisaties zelf, zegt Ducastel. “Het vraagt dat we meer als één geheel opereren. Dat we van elkaar leren en elkaar verder helpen om onze uitvoeringskracht te versterken. Zodat we vanuit een krachtige uitvoeringspraktijk beleid kunnen voeden en medebepalen.” Een uiting 98 Gemeenten willen vanuit de uitvoeringspraktijk samenwerken aan beleid. Zo staat in de VNG Verenigingsstrategie 2030. Het past in de lijn van het versterken van de uitvoering en het krachtiger worden van de stem van gemeenten en uitvoeringsorganisaties. daarvan is de Stand van de Uitvoering, die de VNG afgelopen zomer aanbood aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Hierin worden knelpunten in de gemeentelijke uitvoeringspraktijk beschreven en concrete oplossingen voorgesteld. Dit jaar is het thema bestaanszekerheid verder uitgewerkt. Het onderzoek bevat een actie-agenda waar gemeenten gezamenlijk met de rijksoverheid aan willen werken. Uitvoeringstoetsen Op het VNG Uitvoeringscongres op 2 november in Den Haag (kader), staat de uitvoering centraal. De VNG presenteert hier het brede aanbod aan producten en diensten dat zij met en voor gemeenten ontwikkelt en beheert. Met het doel om de lokale uitvoeringspraktijk te versterken. Eén van de onderwerpen die aan bod komen zijn uitvoeringstoetsen. In diverse workshops wordt dit instrument verder uitgediept. Koen Wortmann, als manager verantwoordelijk voor het Kenniscentrum Analyse bij VNG Realisatie dat deze toetsen uitvoert: “De uitvoeringstoetsen en impactanalyses die we doen, zijn een effectief hulpmiddel om te zorgen dat wetten en beleid uitvoerbaar zijn.” Mobiliteitsdata VNG Realisatie voert uitvoeringstoetsen en impactanalyses uit op talloze dossiers, zo blijkt uit het overzicht dat de VNG op de eigen website publiceert. Zoals naar mobiliteitsdata. Het ministerie van Infrastructuur en Waterstaat vroeg VNG Realisatie te onderzoeken welke rol gemeenten spelen in een nieuw op te zetten registratie van mobiliteitsdata. Doel van dit ‘digitaal stelsel mobiliteitsdata’ is onder meer het verbeteren van de verkeersveiligheid. Omdat gemeenten samen de grootste wegbeheerder zijn, is hun VNG Uitvoeringscongres 2023 De uitvoeringspraktijk staat centraal op het VNG Uitvoeringscongres, op 2 november in Den Haag. Thema is ‘Bouwen vanuit de praktijk’. In plenaire sessies en tijdens diverse workshops worden bouwstenen voor een effectieve uitvoering gepresenteerd. Aanmelden kan nog op: www.vnguitvoeringscongres.nl
beeld: ibestuur VNG Realisatie betrokkenheid bij dit stelsel van groot belang. De uitvoeringstoets bracht in kaart welke randvoorwaarden belangrijk zijn voor gemeenten, om aan te sluiten op en gebruik te maken van dit stelsel. Het ministerie nam de conclusies over en startte een traject met gemeenten en de VNG, om deze voorwaarden verder uit te werken. Gedacht moet worden aan voorwaarden zoals standaardisatie van gegevens, een eenduidige architectuur en het maken van afspraken over financiering en governance. Uitvoering vroegtijdig in beeld brengen Naast uitvoeringstoetsen op Nederlandse wetgeving doet VNG Realisatie ook analyses op Europese regelgeving, zodat de uitvoering hiervan vroegtijdig in beeld komt. Een voorbeeld is de analyse van de samenhang van voorgenomen Europese digitale wetgeving. Deze analyse leidde tot een aantal aanbevelingen, gericht aan het rijk en aan gemeenten. Zo wordt benadrukt dat bewustwording onder gemeenten vergroot moet worden, zodat zij beter zijn voorbereid op wat er aan Nummer 48, oktober 2023 Uitvoeringstoetsen zijn een effectief hulpmiddel om te zorgen dat wetten en beleid uitvoerbaar zijn Europese regels op hen afkomt. En wordt het rijk verzocht om de Europese wetten vanuit samenhang te benaderen en te zorgen voor integratie met nationale kaders, zoals de Werkagenda Waardengedreven Digitaliseren. Politiek krachtenveld Overigens worden de aanbevelingen van uitvoeringstoetsen niet altijd door het rijk overgenomen. Een voorbeeld is de uitvoeringstoets op de Wet gemeentelijke taak mogelijk maken asielopvangvoorzieningen (de zogenoemde Spreidingswet). Wortmann: “We formuleerden een aantal dringende adviezen om deze wet uitvoerbaar te maken. Toch legde het kabinet deze wet ongewijzigd voor aan de Kamer. Het laat zien dat we in een politiek krachtenveld opereren, waarin de uitvoerbaarheid helaas nog steeds op het spel kan staan.” Ducastel concludeert: “Beleid en uitvoering werken steeds vaker samen, maar we zijn er zeker nog niet. Het voorbeeld van de Spreidingswet laat zien hoe belangrijk het is om de uitvoering telkens weer op de kaart te zetten.” Meer informatie Alle uitvoeringstoetsen die de VNG op dit moment uitvoert en heeft uitgevoerd zijn te vinden op www.vng.nl/uitvoeringstoetsen 99
Vijf jaar overheidsbreed oefenen Ditigale weerbaarheid vereist breed blikveld “Cyberveiligheid is een vast onderdeel geworden van onze bedrijfsvoering. Maar we zijn er nog niet. Buitenshuis met onze partners, en binnen de overheid moeten we echt nog stappen zetten”, zegt Sjoerd Potters, burgemeester van gemeente De Bilt. n 2020 was Potters voorzitter van het crisisteam tijdens de Overheidsbrede Cyberoefening. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties organiseert deze oefening dit jaar voor de vijfde keer, op maandag 30 oktober. Als je kijkt naar de ontwikkeling die deze oefening de afgelopen vijf jaar doormaakte, dan zie je veel parallellen met hoe de overheid zich op het gebied van cyberveiligheid ontwikkelde, vertelt Suzie Kewal, coördinator van het team Informatieveiligheid bij BZK. Zij nam vijf jaar geleden het initiatief tot de Overheidsbrede Cyberoefening: “Steeds meer organisaties sluiten zich aan. De betrokkenheid bij dit onderwerp is toegenomen, het is onderwerp van gesprek op de bestuurstafels. Ook het besef dat alertheid te alle tijden nodig is, is er inmiddels.” I Groeiend netwerk Tijdens de Overheidsbrede Cyberoefening gaat een crisisteam aan de slag met een cyberuitdaging en kunnen deelne100 mers online meedoen. Daarnaast kunnen organisaties simultaan mee-oefenen. Ze krijgen dezelfde uitdaging die ze met hun eigen gevormde crisisteam aangaan. Vorig jaar werd deze mogelijkheid voor de eerste keer aangeboden en daar was meteen veel animo voor, vertelt Bill Kuipers, als programmamanager vanuit ICTU verantwoordelijk voor de organisatie van de oefening: “Er deden toen ruim 100 organisaties aan mee, meer dan we hadden verwacht. Voor deze editie hebben zich ook weer zo’n 100 organisaties opgegeven uit alle delen van de overheid.” De oefening staat niet op zichzelf, want het Overheidsbreed Cyber programma is de afgelopen jaren gegroeid tot een webinarprogramma, podcasts, masterclass en andere onderdelen. Kewal: “Diverse overheidsorganisaties verzorgen webinars over heel uiteenlopende onderwerpen, zowel technisch als bestuurlijk. Ik vind het heel mooi om te zien hoe dit netwerk de afgelopen vijf jaar is gegroeid.” Kennisdelen en samenwerken Dat de aandacht en de bewustwording rondom cyberveiligheid zijn gegroeid, ook op de bestuurstafels, kan Potters beamen: “Cyberveiligheid was vijf jaar geleden wel een gespreksonderwerp, maar het werd niet erg operationeel gemaakt. Nu is het een onderdeel van onze bedrijfsvoering en we zijn er wekelijks, soms dagelijks, mee bezig. Ik merk het ook bij mijn medebestuurders: de bewustwording dat we kwetsbaar zijn en dat we continu moeten werken aan onze digitale weerbaarheid. Dat is echt een groot verschil met vijf jaar geleden.” Hij noemt een voorbeeld uit de praktijk: “We hadden een aantal jaar geleden een datalek bij een camerasysteem dat we extern inhuurden. Toen stonden we er niet bij stil dat dat kon gebeuren, nu maken we hier met onze leveranciers aan de voorkant afspraken over.” Kewal ziet nog een andere ontwikkeling bij de overheid: er wordt veel meer samengewerkt en kennis gedeeld. “Overheidsorganisaties Nog onvoldoende duidelijk wie waarvoor verantwoordelijk is bij een grootschalige verstoring zijn zich er steeds meer van bewust dat ze van elkaar kunnen leren en dat het delen van informatie en kennis essentieel is. Je ziet een verschuiving van opereren in eilandjes naar samenwerken in de keten.” Oefen in de regio De overheid heeft dus grote stappen gezet, maar is er nog niet, zegt Potters.
ICTU Tijdens de oefening gaat een crisisteam aan de slag met een cyberuitdaging. “Binnen de overheid als geheel is het nog onvoldoende duidelijk wie waarvoor verantwoordelijk is bij een grootschalige verstoring. Wanneer wordt een lokale of regionale crisis nationaal en andersom? En wie doet dan wat? Daar moeten we binnen de overheid betere afspraken over maken. En dan bedoel ik niet het maken van een beleidsplan. Maar wel dat je elkaars telefoonnummer hebt en weet waar je elkaar tijdens een crisis op kunt aanspreken.” Ook zou de overheid veel meer moeten oefenen, niet alleen binnen de eigen organisatie, maar juist ook in de keten en de regio, stelt hij. “Want dan kom je erachter wat er beter kan. Wij deden vorig jaar een cyberoefening met de Veiligheidsregio. Op dezelfde manier waarop we een fysieke crisis oefenen. Ik zal eerlijk zijn: dat ging best moeizaam.” De gemeente leerde veel van de oefening. Nummer 48, oktober 2023 Bijvoorbeeld dat de mensen uit het veiligheidsdomein hun IT-collega’s moeten kennen, zodat ze elkaar beter begrijpen. En dat de structuren die in werking treden bij een fysieke crisis, ook bruikbaar zijn bij een cybercrisis. “Met zo’n structuur is onder meer duidelijk wanneer je moet op- en afschalen en zijn de rollen helder. Dat hebben we rondom digitale veiligheid niet en dat zou wel moeten. Want hoe je in de eerste uren van een crisis reageert, is cruciaal voor de verdere afhandeling.” Breder blikveld Concluderend: de overheid heeft een goede ontwikkeling ingezet, maar heeft nog wel een weg te gaan. Kewal: “Digitale weerbaarheid vraagt meer dan alleen informatieveiligheid. Een breder blikveld is nodig, waarbij zowel technologische ontwikkelingen, wetgeving en Meer informatie en aanmelden: www.weerbaredigitaleoverheid.nl De Overheidsbrede Cyberoefening: cyberoefening.weerbaredigitaleoverheid.nl LinkedIn: linkedin.com/company/ overheidsbreed-cyberprogramma/ 101 ethiek aan bod komen. Als we over vijf jaar terugkijken, dan hoop ik een overheid te zien die adequaat reageert en de vraagstukken rondom digitale weerbaarheid vanuit een multidisciplinaire en risicogebaseerde aanpak aanvliegt.” Dat bereik je onder meer door te oefenen. Komend jaar doet de gemeente De Bilt met alle gemeenten in de Veiligheidsregio een cyberoefening. Potters: “Ik vind dat elke veiligheidsregio dit zou moeten doen. Want alleen als je oefent, ben je voorbereid.”
Afscheidsinterview Hans de Vries nieuwe kabinet flink investeert in cybersecurity’ Door Pieter Verbeek Beeld Lex van Lieshout 102 ‘Ik hoop dat het
Van beveiligingsadviezen, 24 uurs monitoring van incidenten en kwetsbaarheden en dreigingen in kaart brengen. Het Nationaal Cyber Security Centrum (NCSC) waakt over onze cyberveiligheid. Dat moet ze binnenkort doen zonder Hans de Vries, die na negen jaar stopt als directeur. Hij heeft de cyberdreigingen in die tijd een vlucht zien nemen. Toch mist hij nog de urgentie bij veel bestuurders. En hij heeft advies voor het nieuwe kabinet. oen ik negen jaar geleden startte in deze rol had digitalisering vooral te maken met een applicatie waar een probleem in zat”, kijkt De Vries terug. Inmiddels praten we over de impact van digitalisering op verkiezingen, of over desinformatie, grote gelddiefstallen of zelfs het platleggen van een land en infrastructuur. Het gaat over landsgrenzen heen. Het is van iets technisch ook tot iets geopolitieks geworden.” “T Natuurlijk brengt digitalisering vooral ook veel kansen met zich mee, benadrukt De Vries. De wereld is echter in zo’n rap tempo gedigitaliseerd, dat onze afhankelijkheid ervan enorm is geworden, waarschuwt hij tegelijkertijd. “Daardoor nemen ook de digitale dreigingen toe. Boeven realiseren zich hoeveel geld ze hiermee kunnen verdienen, maar ook statelijke actoren realiseren zich hoe makkelijk ze desinformatie kunnen verspreiden of kunnen interrumperen. Was het ooit Gemiddelde script kiddie kan online makkelijk tools vinden voor een DDoS aanval nog een noviteit hoe beroepshacker Kevin Mitnick liet zien hoe je in een systeem inbreekt, nu kan de gemiddelde script kiddie online makkelijk de tools vinden voor een DDoS aanval. Die kun je gewoon per creditcard bestellen. Je hebt er niet eens veel kennis voor nodig.” Daarom moeten we ons nog meer realiseren hoe groot onze afhankelijkheid van digitalisering is, adviseert De Vries. “Daar moet je als bestuurder bijna dagelijks mee bezig zijn, en risicoNummer 48, oktober 2023 management toepassen. Dat is mijn boodschap. De bewustwording in de hoofden van vele bestuurders is nog te klein. Terwijl juist eigenaarschap bij bestuurders onmisbaar is. Digitale veiligheid moet chefsache worden, je moet het bij elk besluit dat je neemt laten meewegen. Cyberdreigingen zijn geen IT-dingetje dat je bij je CIO wegstopt. Ze hebben vergaande consequenties voor je organisatie als je er de verkeerde keuzes voor maakt.” Dat komt dus straks ook terug in de NIS2, de Network and Information Security directive, die eind 2024 ingaat. Door deze nieuwe wet moeten overheden en andere organisaties aan veel meer eisen voldoen op security gebied en worden overheden een ‘regieorganisatie’ die input moet leveren aan hun leveranciers. Daarin is óók persoonlijke aansprakelijkheid opgenomen. “Als je als bestuurder de nodige maatregelen niet hebt genomen, zoals risicomanagement, updaten van contracten of cyberoefeningen, ben je aansprakelijk bij een cybercrisis.” Fusie en verzelfstandiging De toename van cyberdreigingen heeft ook de nodige impact gehad op het NCSC zelf. In 2014 was het als GovCert nog een kleine organisatie met ruim vijftig medewerkers, die onder leiding van De Vries fuseerde met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Inmiddels werken 103
er ruim 280 mensen. Sinds 2019 is het NCSC weer een zelfstandige organisatie. “Het was een turbulente groei”, blikt De Vries terug. “Van een fusie, verzelfstandiging tot het opbouwen van de huidige opdrachtgever-opdrachtnemer-eigenaar relatie met het NCTV en het ministerie van Justitie en Veiligheid. De afgelopen negen jaar is een mooie rit geweest.” Een van de dingen waar hij het meest trots op is, is de samenwerking die het NCSC heeft opgezet met allerlei partners. “Ik heb altijd de verbindingen met andere organisaties gezocht, ook internationaal. Of het nu een zelfstandig bestuursorgaan is of een maatschappelijke stichting. Als overheid moet je nederig zijn. We kunnen cyberveiligheid alleen in gezamenlijkheid met partners in publiek, privaat en non-profit organiseren.” “Ik merk dat we nu behoorlijk met elkaar in de pas lopen en dat de Tweede Kamer zich bewust is van de urgentie van dit vraagstuk.” De komende jaren gaat het NCSC samen met het Digital Trust Center (DTC) en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) in één vernieuwde nationale cybersecurity organisatie. Dat centrum moet in samenwerking met publieke en private partners de digitale weerbaarheid van alle organisaties bevorderen, cyberincidenten en -crisis met een ontwrichtend karakter helpen te voorkomen en de impact ervan beperken. De naam van de vernieuwde organisatie is nog niet formeel bekend. Wetsaanpassing Ondanks dat cyberveiligheid steeds beter is georganiseerd liggen er nog genoeg uitdagingen. Een aandachtspunt dat De Vries graag nog meegeeft aan zijn opvolger, maar ook aan de collega-bestuurders, is hoe groot de afstand nog steeds is tussen beleid en uitvoering. “De politiek moet voordat ze beleid gaat maken eerst afstemmen met de uitvoering, anders gaat het fout. Wetgeving is een tijdrovend, nauwgezet proces. Daar moet je echt de tijd voor nemen met afstemming en publieke rondes, de hele mikmak. Een cyberdreiging is gewoon destructief, het probleem is acuut. Je moet er nu iets mee doen. En als de wet dan knelt, is er nog te weinig ruimte om er flexibel mee te kunnen omgaan. Wij liepen in de praktijk met een incident tegen de grenzen aan van wat je mag. Daar heb ik best wel veel tijd ingestoken en aandacht voor gevraagd, en met mij veel private partners.” Dat heeft geresulteerd in een wetsaanpassing afgelopen december. Zo mag het NCSC nu dreigingsinformatie delen met andere organisaties dan de overheid en vitale partijen. “De discussie van de wetgeving is voor mij grotendeels verleden 104 tijd. Ik merk dat we nu behoorlijk met elkaar in de pas lopen en dat de Tweede Kamer zich bewust is van de urgentie van dit vraagstuk.” De Vries hoopt dat het nieuwe kabinet straks cybersecurity prominent op de agenda zet en daar laat staan; en flink erin investeert. “De impact van die digitalisering is zo groot dat, als we dit verloochenen, de afstand tussen de dreiging en de maatregelen alleen nog maar groter wordt. Ik had destijds berekend dat het kabinet 300 miljoen euro zou moeten uitgeven aan cyberweerbaarheid. Die inzet is nog steeds nodig, denk ik. Het gaat echt om nationale veiligheid en om ons economisch verdienvermogen.” Single truth De unieke kracht van het NCSC is volgens De Vries dat ze, als een van de weinige organisaties, over alle verschillende sectoren heen kan kijken. Een voorbeeld daarvan zagen we eind 2021 toen er een ernstige kwetsbaarheid werd ontdekt in Apache Log4j, software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. “Daar ben ik nog steeds supertrots op. Op vrijdagmiddag constateerden we het probleem. Op zaterdag hebben we er actie op genomen en op zondag organiseerden we twee grote Webex meetings met 90 bedrijven en 300 organisaties die aan ons gelieerd zijn om te praten over wat Log4J is en hoe we dat gaan organiseren. De weken daarna hadden wij een GitHub gebouwd, die al snel wereldwijd gebruikt werd als de single truth over Log4J. Van Canada tot Brazilië werd dit als één repository gebruikt. Dan merk je hoe krachtig zo’n organisatie als NCSC kan zijn. Ik heb dan ook de mooiste baan. Toch is het nu tijd om die aan iemand anders te gunnen. Iedereen heeft een beperkte houdbaarheid.” Wat De Vries straks gaat doen weet hij nog niet. “Ik vind het cyberwereldje echt heel interessant. Of ik het op een andere manier binnen de overheid ga doen, of dat ik naar een nonprofit, een commerciële, of internationale organisatie ga, daar ben ik nog niet over uit. Op dit moment ben ik nog vol verantwoordelijk voor de organisatie. Ik zorg eerst voor een warme overdracht met mijn opvolger. En dat vraagt nu alle aandacht met de veranderingen die op ons afkomen: de vernieuwde organisatie, de komst van NIS2. Die nieuwe organisatie moet zichzelf straks bewijzen en de samenwerking tussen publieke en private partijen moet minstens net zo sterk zijn als nu. We moeten het vooral met elkaar doen. Cybersecurity is niet iets waar je op moet concurreren. Daarvoor is het te belangrijk.”
Doek Papier De emotionele waarde van papier E en wijdverbreid misverstand over papieren archieven overbrengen is dat digitaliseren beter, goedkoper en zelfs handiger voor het Nationaal Archief zou zijn dan fysiek overbrengen. Goedkoper niet; dat kan ik makkelijk voorrekenen. Handiger ook niet; we zetten de informatie net zo makkelijk in de kasten. Beter of slechter, dat moet worden bezien vanuit het perspectief van de burger, de onderzoeker, de wetenschapper die met duizenden per jaar onze studiezaal bezoeken. a, digitale archieven kúnnen een voordeel hebben. Mits ze naast gedigitaliseerd ook nader toegankelijk zijn gemaakt. Zodat je op zoekwoord kunt zoeken. Zodat je kriskras kunt zoeken. Bijvoorbeeld: het tonen van álle ministerraadnotulen waar het woordje drugsbeleid in voorkomt, zullen de meeste onderzoekers prefereren boven het doorlezen van alle notulen van de jaren zeventig, zoals dat nu moet in papieren archieven. J De praktijk is dat digitaliseren zónder nader toegankelijk maken weinig toegevoegde waarde heeft voor hen die de gangen van hun overheid willen nagaan. Dat heeft zelfs als nadeel dat je dagenlang achter een scherm zit in plaats van met een papieren dossier voor je neus. Afelonne Doek Algemeen rijksarchivaris elangrijker nog, veruit de meeste van onze bezoekers zijn op zoek zijn naar persoonsdossiers: rechtbankdossiers, AIVD-dossiers immigratiedossiers, enzovoort. Zij lezen een persoonlijke geschiedenis in een contactmoment tussen een burger en de overheid dat een papieren spoor heeft nagelaten. B En die papieren sporen betekenen veel. Nummer 48, oktober 2023 D Het ontroert me altijd weer om te zien wat het met mensen doet om zo’n papieren spoor aan te raken en daarmee de geschiedenis in de ogen te kijken. De verhalen die ze kennen uit boeken, uit familieverhalen, worden echt. Ze houden een afstandsverklaring in het handschrift van hun biologische moeder vast. Ze bladeren door in het geheim gedrukte pamfletten, en lezen over hun vader die in het geheim bijeenkomsten organiseerde waar ‘merdeka!’ werd geroepen. eze burgers doe je geen plezier door de archieven te digitaliseren met het oog op vervanging en vernietiging van het origineel. Bewaar het origineel. Hooguit daarnaast óók digitaliseren én bewerken voor toegankelijkheid. Voor grootschalig kwantitatief onderzoek, voor vergelijkend onderzoek, voor sleutelwoorden zoeken door een archief. Fysieke en gedigitaliseerde archieven hebben beide hun eigen merites. Maar het origineel wegdoen, zeker als het gaat om persoonsdossiers, zal ik nooit adviseren. Daarvoor heeft het een toegevoegde emotionele waarde die ertoe doet. uderwetse sentimenten? De overbrenging van papieren archieven zal in de nabije toekomst zijn voltooid. En er zullen in de toekomst veel meer digitale dan papieren sporen zijn. Ik ben benieuwd naar de beleving hiervan. Kijken de onderzoekers van de toekomst met net zoveel ontroering naar een digitaal geboren Worddocument als wij naar een fysiek getypt proces-verbaal? Roept het lettertype Times New Roman dan, net als een 17e eeuws handschrift, gevoelens van vervlogen tijden op? Wat denkt u? O 105
agenda/c o l o f o n Oktober 25 oktober November 2 november 7-9 november Congres security & overheid www.ibestuur.nl VNG Uitvoeringscongres 2023 www.vng.nl Smart City Expo World Congress www.smartcityexpo.com iBestuur magazine, oktober 2023 Onafhankelijke uitgave van Sijthoff Media Redactieadres iBestuur magazine Capital C, 4e etage Weesperplein 4A 1018 XA Amsterdam redactie@ibestuur.nl Redactie Arnoud van Gemeren (content & community director), Quita Hendrison (plv hoofdredacteur), Heleen Hupkens (content manager online) Ontwerp Blinkerd Vormgeving Hage Grafische Vormgeving Medewerkers Tanaquil Arduin, Pieter van den Brand, Erik Bouwer, Elja Daae, Afelonne Doek, Rineke van Houten, Sander Klous, Karina Meerman, Peter Olsthoorn, Chantal Richter, Cyriel van Rossum, Simon Trommel, Piek Visser-Knijff, Sophie in ‘t Veld, Pieter Verbeek, Marieke Vos, Els Wiegant Fotografie cover Hilbert Krane/De Beeldredaktie Druk Damen Drukkers Adverteren en media-advies 16 november 23 november ECP Jaarfestival 2023 www.ecp.nl Congres Digitale infrastructuur www.ibestuur.nl Marcel van der Meer: marcelvandermeer@ibestuur.nl, 06 23 16 88 72 Sandra de Vries: sandradevries@ibestuur.nl, 06 46 28 51 31 Abonnement Een iBestuur magazine-abonnement is gratis voor bestuurders, beslissers en beleidsmakers binnen de publieke sector die betrokken zijn of zich betrokken voelen bij de i-overheid. Een abonnement of online only-abonnement op iBestuur? mijn.ibestuur.nl/signup En ontvang elke week de iBestuur nieuwsbrief in uw inbox: ibestuur.nl/nieuwsbrief 106 Geïnteresseerden die niet tot die doelgroep behoren betalen 70 euro voor een jaarabonnement van vier nummers. iBestuur alleen digitaal ontvangen kan ook: een online only-abonnement kost 29 euro per jaar (vier edities). Abonneren kan via ibestuur.nl/service. iBestuur wordt mede mogelijk gemaakt door: Amazon Web Services, AnyLinQ, Blueriq, Capgemini, Centric, Deloitte, Microsoft, Salesforce, TCS, Thinkwise en door CIP, ICTU, VNG Realisatie, ministerie van Binnenlandse Zaken en Koninkrijksrelaties, ministerie van Justitie en Veiligheid Alle rechten voorbehouden. Behoudens de door de Auteurswet 1912 gestelde uitzonderingen, mag niets uit deze uitgave worden verveelvoudigd (waaronder begrepen het opslaan in een geautomatiseerd gegevensbestand) en/of openbaar gemaakt, zonder voor- afgaande schriftelijke toestemming van de uitgever. i estuur Onafhankelijk kwartaalmagazine voor de iOverheid. Nummer 48, jaargang 13, oktober 2023 m cyber solidarity act EU werkt aan pan-Europese cyberveiligheid digitalisering defensie Tweede worden heeft geen zin DGDO EVA HEIJBLOM ‘Minister voor digitalisering mét bevoegdheden en mandaat’
Blueriq voor de overheid Word jij ook blij als je écht persoonlijk geholpen wordt? Dienstverlening die snel en adequaat is, met menselijke maat. Met een dynamisch zaaksysteem maken we dit mogelijk. We zorgen dat je kunt aansluiten op de persoonlijke situatie van elke klant, zonder in te leveren op efficiëntie, veiligheid en compliance. En maken het mogelijk om je zaaksysteem snel en eenvoudig te updaten als dat nodig is door nieuwe wetten of regels. Zo heb jij meer tijd om te doen waar het echt om gaat: je klanten écht helpen. Benieuwd naar de mogelijkheden van een dynamisch zaaksysteem? Bekijk onze website of neem contact op met één van onze experts. www.blueriq.com/overheid Trots op onze samenwerking met o.a.: Make it personal
1 Online Touch