0

Onafhankelijk kwartaalmagazine voor de iOverheid NUMMER 51 JULI 2024 markt en overheid Softwarelicenties zijn securitykwestie digitale toekomst eu Hoe soeverein willen we zijn? theo van der plas (nationale politie) ‘Balans bewaken tussen veiligheid en vrijheid’ CONGRES ‘24 katern: i C

COLOFON CHIEF iBestuur magazine is een onafhankelijke uitgave van Sijthoff Media Redactieadres iBestuur magazine Capital C, 4e etage Weesperplein 4A 1018 XA Amsterdam redactie@ibestuur.nl Redactie Arnoud van Gemeren (content & community director), Heleen Hupkens (contentmanager), Marjolein van Trigt (redacteur), Sjoerd Hartholt (redacteur) Basisontwerp Bureau OMA Vormgeving Hage Grafische Vormgeving Medewerkers Nitesh Bharosa, Ot van Daalen, Afelonne Doek, Bert Hubert, Sander Klous, Piek Knijff, Peter Olsthoorn, Matthijs Punter, Arjan Spruijt, Claire Stolwijk, Ghislaine van der Veen, Sophie in ‘t Veld en Larissa Zegveld Fotografie cover Lex Draijer/De Beeldredaktie Drukkerij Damen Drukkers Adverteren en media-advies Marcel van der Meer: 06 23 16 88 72, marcelvandermeer@ibestuur.nl Partnermanagement Annemarie Post 06 53 63 38 29 annemariepost@ibestuur.nl Abonnement Een iBestuur magazine-abonnement is gratis voor bestuurders, beslissers en beleidsmakers binnen de publieke sector die betrokken zijn of zich betrokken voelen bij de i-overheid. Geïnteresseerden die niet tot die doelgroep behoren betalen 70 euro voor een jaarabonnement van vier nummers. iBestuur alleen digitaal ontvangen kan ook: een online only-abonnement kost 29 euro per jaar (vier edities). Abonneren kan via: ibestuur.nl/abonnement-ibestuur-magazine iBestuur wordt mede mogelijk gemaakt door: Atabix, Blueriq, Capgemini, Centric, Enable U, EY, Microsoft, Oracle, Red Hat, Salesforce, SAS, Tanium, TCS, TOPdesk en Visma Connect Ook werkt iBestuur samen met CIP, ICTU, VNG Realisatie, ministerie van Binnenlandse Zaken en Koninkrijksrelaties en RDDI Alle rechten voorbehouden. Behoudens de door de Auteurswet 1912 gestelde uitzonderingen, mag niets uit deze uitgave worden verveelvoudigd (waaronder begrepen het opslaan in een geautomatiseerd gegevensbestand) en/ of openbaar gemaakt, zonder voor- afgaande schriftelijke toestemming van de uitgever. iBestuur 51, juli 2024 3 Op zoek naar soevereiniteit In dit nummer van iBestuur kunnen we onder meer lezen over digitale soevereiniteit. Het artikel hierover, ‘Hoe soeverein willen we zijn?’ (pag. 52) begint met de zinnen: 'Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) laat deze maanden een strategische verkenning uitvoeren naar digitale soevereiniteit. Inzet is dat het rijk ‘volledige zeggenschap krijgt en behoudt over haar digitale gegevens, algoritmes, systemen en netwerken, ter ondersteuning van onze democratie, veiligheid en strategische autonomie’.' Zonder cynisch te willen zijn, mag je toch wel zeggen dat soevereiniteit een flink eind buiten je bereik ligt als je er een verkenning naar moet laten uitvoeren. De realiteit is dat we het in Europa hebben laten liggen. We hebben geen eigen Big Tech, geen eigen cloud industrie. Dan moet je het ook niet erg vinden, zoals de Eerste en Tweede Kamer, dat gegevens inzichtelijk zijn voor Microsoft en de Amerikaanse overheid. En al zou je het erg vinden, veel keuze is er niet – de SIDN kwam voor NL-domeinnaamregistratie ‘met pijn in het hart’ uit bij Amazon. Big Tech biedt ook voordelen, zoals prijsstelling en wereldwijde connectiviteit. En belangen op het gebied van economie en innovatie mogen ook worden meegewogen, want Nederland en Europa zijn geen eilanden. Laten we ons geen illusies maken: digitaal soeverein zijn we in Europa niet. We gaan er gewoon niet meer over. Nu, kort na de verkiezingen voor het Europese parlement, mogen we hopen dat de EU wat terrein terugwint. arnoud van gemeren  arnoudvangemeren@ ibestuur.nl

IN DIT NUMMER 10 16 INTERVIEW ‘Balans bewaken tussen veiligheid en vrijheid’ Theo van der Plas (Nationale Politie) DIGITALE TOEKOMST EU 16 54 36 Nederlandse politieke IT-experts in Brussel Deze politici gaan de komende jaren aan de slag Hoe soeverein willen we zijn? Vertrouwelijkheid, wendbaarheid, weerbaarheid OVERHEID IN TRANSITIE Naar één nationale agenda voor de digitale overheid? Denemarken als voorbeeld 10 DATA EN AI 44 84 Botsing tussen criminaliteitsbestrijding en privacy Balans zoeken tussen hardheid en mildheid Meer privacy met een datakluis? Eerste stap in nieuwe ontwikkeling 21 i C CONGRES ‘24 • Vooruitblik op het congres • Publieke waarden in digitalisering • Landelijke natuurmonitoring met AI: het kan! • Samenwerken aan maatschappelijke opgaven • De rol van de mens bij cyberveiligheid 4 iBestuur 51, juli 2024

44 THEMA MARKT EN OVERHEID 62 68 70 74 Inkopen kan efficiënter en innovatiever Wordt AI een gamechanger in de inkoopmarkt? Open standaarden uitvragen in aanbestedingen Het tempo moet omhoog Overheden moeten aan de bak met softwarelicenties ‘Het is een securitykwestie geworden’ Samen digitaal in de ondergrond Digitaal ecosysteem voor gegevensuitwisseling digitale zaken Overzicht actualiteiten in politiek Den Haag 6 columns Afelonne Doek 15, Piek Knijff 42, Sander Klous 67, Sophie in ’t Veld 86 varia Lezen, kijken & luisteren 94 kennispartners SAS 48, TOPdesk 50, Salesforce 52, TCS 76, Atabix 78, Blueriq 80, Centric 82, Capgemini 88, Microsoft 90 iBestuur 51, juli 2024 5 DIGITALE WEERBAARHEID 38 58 Toezicht op AI: hier zijn de bomen, dit is het bos Toezichthouders schetsen pragmatische aanpak Strijd tegen staatshackers: nijpende situatie Waarom gemeenten miljoenen tekortkomen 58

DIGITALE ZAKEN Wat is er deze maanden aan de orde in de Tweede Kamer? Een overzicht van de belangrijkste debatten, rapporten en Kamervragen over digitale zaken die in Den Haag aan de orde zijn. iBestuur kijkt drie maanden terug en vast even vooruit. Toezicht Kamer bezorgd over toezicht op AI en algoritmes ij het toezicht op algoritmes en de AI Act zijn diverse toezichthouders betrokken. Meerdere Kamerleden gaven tijdens een debat over de inzet van AI en data-ethiek in de commissie Digitale Zaken aan door de bomen het bos niet meer te zien. De staatssecretaris meende dat het wel goed zou komen. Ze ziet veel heil in het samenwerkingsplatform, dat onlangs nog een Algoritme- en AI-Kamer instelde voor het afstemmen van toezicht op AI, met de AP als regisseur. Maar op de vraag hoe de coördinatie verloopt met alle andere toezichthouders, ging ze niet in. Vanuit de Kamer werd er verder niet op doorgevraagd. iBestuur ging het de toezichthouders daarom zelf vragen. B LEES HET ARTIKEL OP PAGINA 38 Desinformatie Desinformatie aanpakken Het kabinet Rutte IV wilde maatregelen nemen om de verspreiding van desinformatie tegen te gaan. e minister van BZK beloofde de Tweede Kamer een Voortgangsbrief op te stellen waarin ingegaan wordt op ‘een verdere uitbreiding en verdieping van de Rijksbrede strategie voor de effectieve aanpak van desinformatie’. Het leek de minister alleen niet zo verstandig om de Algemene D Inlichtingen- en Veiligheidsdiensten (AIVD) complottheorieën te laten onderzoeken, zoals de Partij voor de Dieren en GroenLinks/ PvdA bedacht hadden. Dan zouden we volgens hem eerder moeten denken aan een onafhankelijke autoriteit om de onlineomgeving te monitoren. Dat zou echter weer een flinke inbreuk zijn op de persoonlijke levenssfeer van mensen, waarschuwde hij, en ook de vrijheid van meningsuiting beperken. Open Overheid Verplichte deelname aan algoritmeregister og te weinig overheidsorganisaties publiceren hun algoritmes in het algoritmeregister. Het is ook nog niet wettelijk verplicht, maar let op: dat duurt niet lang meer. In Den Haag wordt gewerkt aan een wettelijke verplichting, N 6 iBestuur 51, juli 2024 gekoppeld aan een soortgelijke registratieverplichting die is opgenomen in de onlangs door het Europees Parlement aangenomen AI-verordening. In 2025 moeten alle hoog- risico en impactvolle algoritmes in het register staan. Met een lijst van 10 tips en de inzet van een implementatieteam probeert het ministerie van BZK organisaties te bewegen om hun algoritmes te publiceren in het register. Ook hebben ze een implementatieteam ingericht dat kan helpen met de registratie. BEELD: SHUTTERSTOCK

Sociale media Digitale infrastructuur Van Facebook naar Mastodon? et Rijk overweegt te stoppen met het gebruik van Facebook Pages zolang onduidelijk is wat er met de persoonsgegevens van bezoekers van hun Facebookpagina gebeurt. Het heeft de Autoriteit Persoonsgegevens om advies gevraagd, nadat uit een privacy onderzoek van het ministerie van BZK zelf bleek dat er zeven hoge risico’s speelden voor de gegevensverwerking. Meta, de eigenaar van Facebook, lijkt vooralsnog niet bereid om die risico’s weg te nemen. Misschien wordt het tijd dat ze gaan zoeken naar alternatieven, zoals Mastodon, vinden communicatieprofessionals. H Digitale veiligheid Versterkt Security Operations Center-stelsel r wordt hard gewerkt aan het Versterkt Security Operations Center (SOC)stelsel. Maar liefst 33 organisaties maken gebruik van het portaal en de eerste drie gelanceerde diensten van het VSSR. Onder leiding van CIO-Rijk is een aantal tools ontwikkeld voor detectie van en reactie op ransomware, waaronder een checklist voor paraatheid en strategieën voor gegevensherstel. De inzet van Red Teaming om de veiligheid van kritieke functies te testen, is nu een vast organisatieonderdeel binnen CIO-Rijk. Alle departementen krijgen een Red Teaming testaanval te verwerken in 2024 of 2025. Ook zijn alle relevante rijksorganisaties en vitale aanbieders inmiddels aangesloten op het Nationaal Detectie Netwerk, een samenwerkingsverband voor het delen van dreigingsinformatie en kennis. E Sterker nationaal beleid nodig Nederland wil een knooppunt in de wereldwijde digitale infrastructuur zijn, maar binnenlandse weerstand en internationale concurrentie baren flinke zorgen. p 18 april jl. sprak de commissie DiZa met vertegenwoordigers van de sector, overheden en maatschappelijke organisaties over de ontwikkeling van de digitale infrastructuur. Er werden flink wat zorgen op tafel gelegd, waaronder de drukte op het net, het tekort aan beschikbare frequenties voor draadloze verbindingen en de grote hoeveelheid kabels en leidingen onder de grond. Ook klaagden partijen over de tegenwerking van lokale overheden bij bijvoorbeeld het plaatsen van mobiele masten of de bouw van nieuwe datacenters. Diverse partijen pleiten voor een sterker nationaal beleid ten koste van regionale belangenafwegingen. Ook ligt internationale concurrentie op de loer. Er zal geïnvesteerd moeten worden, zegt de sector, anders blijven we afhankelijk van buitenlandse techreuzen. Namens de VNG suggereerde Peter Snijders om de regelgeving aan te passen en zo randvoorwaarden te scheppen voor overheden om pilots uit te voeren met kleinere cloudaanbieders. Maar daar zijn volgens hem wel bestuurders met lef voor nodig, iBestuur 51, juli 2024 7 O BEELD: SHUTTERSTOCK BEELD: SHUTTERSTOCK

DIGITALE ZAKEN Toezicht Digitale identiteit Steviger toezicht voor gemeenten eel gemeentelijke websites voldoen nog niet aan de verplichte beveiligingseisen. Deze gemeenten krijgen mogelijk te maken met steviger toezicht op het naleven van wettelijk verplichte standaarden voor cybersecurity. Op initiatief van staatssecretaris Van Huffelen verkent het ministerie van BZK hoe dit toezicht kan worden ingericht. Gemeenten zijn samen verantwoordelijk voor ruim tienduizend websites, waarvan een groot deel in slechte staat verkeert. Volgens de nieuwste gegevens voldoet bijna driekwart van de websites niet aan verplichte beveiligingsstandaarden. V Eerste versie Nederlandse id-wallet op GitHub gepubliceerd Het ministerie van BZK heeft half april een eerste versie van de Nederlandse id-wallet op GitHub gepubliceerd. et gaat om een bètaversie waar nog veel aan moet gebeuren. De Nederlandse proefversie van de ‘identiteitswallet’ wordt open source ontwikkeld en data worden decentraal opgeslagen. De uitvoering ligt bij de ICT-Uitvoeringsorganisatie van het Rijk (ICTU). Naast de ontwikkeling van een eigen proef-wallet, wordt ook een raamwerk opgezet voor de gehele Nederlandse invulling van de Europese Digitale Identiteit. Dit raamwerk bestaat uit voorzieningen en afspraken H waarmee de wallet-concepten van publieke en private partijen aan de slag kunnen. Alle wallets moeten gevuld worden met gegevens uit overheidsregisters. Naast de Nederlandse proefversie van de wallet zijn nog meer id-wallets in aantocht of zelfs al in werking, waaronder bijvoorbeeld de Yivi-app. Digitale dienstverlening Het schiet niet op Ruim drie jaar na de Parlementaire Enquête Kinderopvangtoeslag (POK) is de ontwikkeling van een overheidsbrede loketfunctie nog altijd geen realiteit. taatssecretaris van Huffelen had verwacht dat er inmiddels al wel flinke stappen gezet zouden zijn in de ontwikkeling van een overheidsbrede loketfunctie. Het idee dat de burger bij elke dienstverleS 8 iBestuur 51, juli 2024 ner aan het juiste loket staat, is voorlopig echter nog toekomstmuziek. Ze zou graag zien dat het tempo omhoog gaat. Het nieuwe kabinet mag nu de duimschroeven gaan aandraaien bij de publieke dienstverleners.

OP DE POLITIEKE AGENDA Europese wetgeving Implementatie NIS2 e internetconsultatie van de cyberbeveiligingswet NIS2 is op 21 mei jl. van start gegaan. Deze loopt door tot 2 juli. Na de consultatieperiode worden alle reacties bekeken en wordt eventueel het wetsvoorstel aangepast. De daadwerkelijke implementatie van de Europese richtlijn komt waarschijnlijk pas in het tweede of derde kwartaal van 2025 rond. Dit meldde de bewindslieden van Justitie en Veiligheid en Klimaat en Energie eind mei in antwoord op Kamervragen. Hiermee wordt de door de EU gestelde deadline voor implementatie in nationale wetgeving flink overschreden. D Digitale soevereiniteit Plenair debat over uitbesteding ICT aan Big Tech ‘Digitalisering is fucking politiek’, zei Kim Sparrentak in mei bij de jaarlijkse lezing ’De staat van het internet’. De GroenLinks-politica gaat zich de komende jaren weer inzetten voor een digitaal autonoom Europa. In Nederland heeft Barbara Kathmann (GroenLinks/PvdA) het op de agenda van de Tweede Kamer weten te zetten. Het signaal dat het Shared Service Center ICT (SSC-ICT) van de Rijksoverheid wil overstappen naar een Microsoftomgeving was voor de voorzitter van de Commissie Digitale Zaken de druppel die de emmer deed overlopen. Eerder was er al veel politieke onrust ontstaan over de beslissing van SIDN om met AWS in zee te gaan. Met steun van NSC, D66, SP, CU, Volt, SGP, CDA en Denk wordt een plenair debat gepland over de uitbesteding van ICT aan Amerikaanse techbedrijven. visie op digitale soevereiniteit en de te ondernemen stappen om dit te bereiken. En daarbij gaat het om meer dan alleen de afhankelijkheid van Big Tech. Ook de afhankelijkheid van verouderde software en data wordt meegenomen in de verkenning. Politieke verantwoordelijkheid Afscheid van Alexandra van Huffelen Alexandra van Huffelen BEELD: MARIKE VAN PAGÉE Ook de nieuwe website waarop mensen alle praktische informatie over publieke dienstverlening in samenhang kunnen vinden, schiet niet op. De nieuwe website zou in het eerste kwartaal van 2024 live gaan, maar dat is niet gelukt. En wellicht komt het er ook niet van en wordt de bestaande www.overheid.nl de plek waar alles samen gaat komen. Barbara Kathmann Strategische verkenning Het ministerie van BZK voert deze maanden een ‘strategische verkenning’ uit naar digitale soevereiniteit. Het departement wil de verschillende initiatieven en het debat hierover stroomlijnen om uiteindelijk te komen tot een gemeenschappelijke Op het moment van sluiten hebben de coalitiepartijen de ministeries onderling verdeeld. Een minister van Digitale Zaken staat niet op het lijstje van het nieuwe kabinet, wel weer een staatssecretaris bij BZK. Terwijl de behoefte groeit aan meer centrale aansturing en een nationale agenda, wordt digitalisering weer over verschillende epartementen verdeeld. We nemen in ieder geval afscheid van een kleurrijke staatssecretaris die digitalisering goed op de agenda heeft gekregen in Den Haag. Niet voor niets werd ze door de lezers van iBestuur, Binnenlands Bestuur en AG Connect uitgeroepen tot ‘Politicus van het Jaar 2024’. LEES HET ARTIKEL OP PAGINA 36 iBestuur 51, juli 2024 9

INTERVIEW Voor Theo van der Plas, beleidsdirecteur Digitale Transformatie bij de politie, roept iedere nieuwe technologische ontwikkeling meteen twee vragen op. Wat kunnen criminelen hiermee? En wat kan de politie hiermee? TEKST: marjolein van trigt• BEELD: de beeldredaktie/lex draijer Digitaal directeur Theo van der Plas over politiewerk tussen techniek, innovatie en operatie ‘Balans bewaken tussen veiligheid en vrijheid’ elf beschrijft hij de digitale transformatie als anders werken en ander werk. De straatroof en de woninginbraak zijn niet verdwenen, maar er zijn andere vormen van misdaad bij gekomen, waaronder cybercriminaliteit en gedigitaliseerde criminaliteit, zoals WhatsApp-fraude. In de loop van de jaren zag hij het wezen van het vak veranderen. Agenten zijn niet meer alleen aangewezen op operationeel werk en intuïtie. Ze krijgen ondersteuning van steeds geavanceerdere systemen, met alle mogelijkheden en uitdagingen van dien. “Het werken met data is de bloedsomloop van de politie geworden,” zegt Van der Plas. “De samenleving verwacht van ons dat we slimmer zijn dan de Taghi’s van deze wereld. Als je al zijn communicatie in beslag neemt en je moet er wegwijs uit worden, dan praat je over terabytes. Daar heb je data science en AI voor nodig. Maar je moet het zo organiseren dat je de rechten van Z 10 iBestuur 51, juli 2024 de verdachte respecteert en je de goede dingen eruit haalt, op een eerlijke manier.” Blij met spelregels Van der Plas komt net van een congres over datagedreven werken op de Politieacademie. Met enige trots vertelt hij over de toonzetting van de workshops. Nieuwe technologieën, zoals AI, robotica en de inzet van sensoren kunnen de politie ondersteunen in haar werk, maar dat moet zeer zorgvuldig gebeuren. “Niet ‘we willen meer, ten koste van alles’, maar ‘we doen het als het kan, als het mag en onder een aantal voorwaarden’.” Hij zal het tijdens het gesprek een paar keer benadrukken: hij kan zich soms ergeren aan sommige spelregels, maar hij is toch blij dat hij in een land woont waar spelregels zíjn en niet bijvoorbeeld in China, waar je als burger machteloos bent tegenover de technologie die de staat inzet. “Voor ons is het zaak om de balans te bewa

“Telegram is letterlijk en figuurlijk dodelijk voor onze maatschappij. Natuurlijk is verbieden ingewikkeld, maar ik zie wel mogelijkheden.” iBestuur 51, juli 2024 11

INTERVIEW ken tussen veiligheid en vrijheid. Dat is een belangrijke opdracht, omdat onze legitimiteit hiermee samenhangt. De manier waarop we dingen doen is maatgevend voor het vertrouwen van de burger in ons. Dat geldt ook voor de manier waarop we met data omgaan.” Verzuipen in data De politie ‘verzuipt bijkans’ in de data en is genoodzaakt om daar op een andere manier mee om te gaan dan vijf jaar geleden. “De eisen van de maatschappij en de politiek, maar ook die van onszelf, zijn in een rap tempo omhooggegaan. Ik durf wel te stellen dat we dat in toenemende mate op ons netvlies hebben gekregen en hard aan het werk zijn om dat goed te doen.” Het landelijke algoritmeregister bevat één algoritme van de politie. Het gaat om CAS, het Criminaliteit Anticipatie Systeem, een zeven “Onze maatschappelijke opgave vraagt om ontwikkelruimte, zodat we de veiligheid kunnen blijven borgen” jaar oud systeem dat de verwachting van de hoeveelheid criminaliteit in een buurt weergeeft. De Algemene Rekenkamer waarschuwde in 2022 voor geringe controle op vooringenomenheid (bias) in het systeem. “Omdat onduidelijk is met welke data het model indertijd is getraind, moet je je afvragen of we dat dan nog wel moeten gebruiken,” zegt Van der Plas. Zo voldoen meerdere systemen die de politie hanteert mogelijk niet meer aan de eisen van de tijd. “Als die eisen nog niet zo scherp gesteld zijn, omdat er nog geen wet- en regelgeving is, moet je ook vanuit je eigen organisatie kijken wat er gelet op de taakstelling acceptabel is en wat niet. Daarom houden we ook zelf onze systemen kritisch tegen het licht.” 12 iBestuur 51, juli 2024 Proeftuinen Ondertussen worden de technologische mogelijkheden alleen maar groter. In het Nationaal Politielab AI (zie kader op pagina 14) buigen twintig promovendi zich over de technische, organisatorische, juridische, ethische en sociale aspecten van AI. Samen met wetenschappers en bedrijven wordt geëxperimenteerd in proeftuinen. “Je kunt AI niet van het schap in de supermarkt pakken. Je moet zelf weten hoe het werkt. Onze maatschappelijke opgave als politie vraagt om ontwikkelruimte, zodat we de veiligheid kunnen blijven borgen in een complexe, snel veranderende maatschappij. De vraag is niet of data moeten worden benut, maar hoe je dit op een ethisch verantwoorde manier doet. Het is geen ritselruimte om maar wat aan te rommelen.” Gezichtsherkenning Een beladen onderwerp in dat verband is de inzet van gezichtsherkenningstechnologie. Van der Plas: “We experimenteren met gezichtsherkenning in een laboratoriumomgeving, maar een aantal dingen zullen we ook in de openbare ruimte moeten uitproberen. Dat is die ontwikkelruimte waarover ik het heb. Er is discussie of de huidige Politiewet daartoe wel toereikend is. Dat is spannend. We moeten zorgen voor toezicht, zodat het geen schimmig traject wordt.” De politie heeft een eigen ‘inzetkader gezichtsherkenning’ opgesteld. De kritiek op dit inzetkader luidt onder meer dat het door de politie zelf is ontwikkeld, alsof de politie mag bepalen wat de politie mag doen met technologie. Van der Plas benadrukt dat het een eerste stap is, zodat er íets is in plaats van niets, en het is conform de afspraak met de minister van JenV. “We willen eerst kijken hoe het werkt. Het opschrijven is makkelijker dan het uitvoeren. Daarom gaan we een proefperiode in, zodat de operatie weet wat erbij komt kijken. Het inzetkader moet nog naast de Europese AI Act worden gelegd, wat tot aanpassingen kan leiden.” Er zijn situaties denkbaar waarin hij gezichtsherkenning geoorloofd vindt, zoals voor het opsporen van aanslagplegers of vermiste kinderen. “Een moordenaar waarde rond in

Theo van der Plas is sinds 2024 beleidsdirecteur Digitale Transformatie bij de politie. Hiervoor was hij onder meer pogrammadirecteur Digitalisering & Cybercrime, hoofd Operatiën, plaatsvervangend Politiechef van de Landelijke Eenheid en Diensthoofd Landelijke Informatieorganisatie. Het idee om iets voor de maatschappij te betekenen, trok hem al jong aan. ICT als techniek trok hem niet, maar wel de toepassingsmogelijkheden in het politiewerk. Hij ging naar de Politieacademie en volgde een master Politicologie en Bestuurskunde aan de VU. Nederland, we konden hem niet te pakken krijgen en hij dreigde nog een moord te plegen. Achteraf weten we dat hij in het openbaar vervoer zat. Ik weet zeker dat we hem sneller hadden gevonden als we gezichtsherkenning hadden kunnen inzetten.” In ethiektafels met ECP, ontwikkeld met de wetenschap, bedrijfsleven en de overheid, worden dergelijke casussen uitgediept. “Wellicht moet het toezicht op de inzet van gezichtsherkenning inderdaad ergens anders liggen dan bij de politie zelf. Maar dat de mogelijkheden er zijn, staat vast. Het gaat meer om de voorwaarden waaronder je het wilt doen, dan dat je vooraf zegt dat je het nooit moet doen. En ja, als je die voorwaarden niet goed kunt invullen, dan moet je het niet doen.” Aangiftes van cybercriminaliteit Kinderen die nu acht zijn en later bij de politie willen, zijn zich misschien beter bewust van wat dat óók inhoudt: boeven pakken die DDOS-aanvallen loslaten op hun vijanden in een computerspel, situaties trainen met een VR-bril op, of aangiftes opnemen van burgers die het slachtoffer zijn van cybercriminaliteit. Dat laatste is een nieuwigheid: tot voor kort kwam de politie daar niet voor langs. "Alles wat digitaal als criminaliteit werd bedreven, is door de politie lang niet als zodanig ervaren,” zegt Van der Plas hierover. "Een beroving op straat is zichtbaar, je centjes kwijtraken via helpdeskfraude niet. Fysiek is er niks gebeurd, maar digitaal natuurlijk heel veel. Het heeft cultureel wel eventjes geduurd voor het besef er was dat het net zo erg is.” iBestuur 51, juli 2024 13

INTERVIEW AI-toepassingen uit het Nationaal Politielab AI IGMA: heterdaadkracht vergroten AI-systeem IGMA berekent welke route een vluchtende crimineel waarschijnlijk zal nemen en stuurt de informatie rechtstreeks naar de navigatie van de beschikbare politievoertuigen in de buurt. CAR: relevante informatie bij de hand Bij een incident adviseert CAR (Context Afhankelijke Registratie) welke informatie relevant is voor de agent om te vragen. Zijn er bijvoorbeeld al meerdere meldingen van geluidsoverlast geweest op een adres, dan sorteert CAR die bovenaan. WEET: verbeteren van online aangiftes Het aantal aangiftes tegen webshops nam afgelopen jaar enorm toe. WEET (Webwinkel EvaluatiE Tool) beperkt het aantal onterechte aangiftes en zorgt dat meer webshops semiautomatisch kunnen worden onderzocht. Starlight: Europese krachtenbundeling Een Europees publiek-privaat samenwerkingsproject om digitale bedreigingen tegen te gaan, waaraan ongeveer 50 partners uit verschillende lidstaten deelnemen. “We zouden data graag wat rijker delen met andere partijen” Het blijft prioriteren, want het aandeel van fysieke vormen van misdaad is weliswaar sterk gedaald, maar niet weg. Los daarvan noemt Van der Plas de privacywetgeving als een bron van spanning. “We zouden data graag wat rijker delen met andere partijen. Het is toch gek dat als je er bij de ene bank uit wordt gezet omdat je fraude pleegt, je bij de volgende bank gewoon welkom bent omdat de privacy van de dader beschermd moet worden?” Verbod op het doorgeven van Telegram Blijer wordt hij van de Digital Services Act, die meer verantwoordelijkheid legt bij grote techbedrijven over de content die wordt aangeboden. Het doet hem goed dat het Europees Parlement het toezicht op de platformen aanscherpt. “Dat is veelbelovend. Wij zijn aan het dweilen met de kraan open, dus die kraan moet dicht.” Wat hem betreft komt er in Nederland een verbod op het doorgeven van 14 iBestuur 51, juli 2024 Telegram door de serviceproviders. “Telegram is letterlijk en figuurlijk dodelijk voor onze maatschappij. Alles wordt er verkocht en aangeboden. Ze zijn volstrekt niet voor rede vatbaar. Je moet je afvragen of je dat dan nog wel wilt laten bestaan in een land als Nederland. Natuurlijk is verbieden ingewikkeld, maar ik zie wel mogelijkheden.” Bijscholing Door de technologische ontwikkelingen verandert ook de samenstelling van de politie. “We worden straks veel meer ondersteund door deskundigen op het gebied van data science en AI. Maar ook de huidige 68.000 politiemensen moeten van hoog tot laag kennis hebben van de digitale mogelijkheden en bedreigingen.” Iedereen volgt een verplicht bijscholingsprogramma. Voor de teamchefs en de strategische top is er een aantal leiderschapsprogramma’s over de digitale transformatie. “We zijn nog lang niet bij het einde van de ontwikkeling van AI en alle technologie die hier nog achteraan komt. Maar je moet als politie niet alle mogelijkheden willen benutten. De digitale transformatie gaat ook over security, onze eigen veiligheid: wat mag je, wat kan je, wat wil je, en hoe is het gevaarlijk? Dat gaat over kennis van de delicten, maar ook over de vaardigheid om de tooling te gebruiken. Het is topsport en breedtesport tegelijk.”

COLUMN Beperkt openbaar Niet alle informatie die ontstaat bij rampen, zou voor betrokkenen en nabestaanden per definitie beperkt openbaar moeten blijven Er zijn van die momenten dat je nog precies weet waar je was, hoe het voelde. Zondagavond 4 oktober 1992, net na 18.30 uur. Ik zat in de metro in Amsterdam, ter hoogte van de Wibautstraat, en om mij heen zag ik plotseling totale paniek ontstaan. Er zou een vliegtuig neergestort zijn in Amsterdam Zuid-Oost, midden in de Bijlmer. Om mij heen mensen die niet wisten hoe het met hun familie of geliefden ging, wat er exact gebeurd was. Wat een impact. Voor heel veel mensen geldt diezelfde impact rondom de Bijlmervliegramp nog steeds, elke dag. Nog steeds weten veel mensen niet wat er precies is gebeurd en blijven vragen onbeantwoord. Zeker bij dit soort hele heftige gebeurtenissen komt het helaas voor dat niet op alle vragen een antwoord te geven is. Soms ontbreekt daarvoor de informatie. En soms is de informatie die er wel is niet zomaar toegankelijk. Juist daarom is het zo belangrijk om openbaarheid van overheidsinformatie, die er van dit soort gebeurtenissen bewaard blijft, goed af te wegen. En bij de bepalingen de factor tijd mee te nemen. Zaken die nu nog heel spannend of belangrijk zijn, kunnen later in de tijd een stuk minder spannend of belangrijk zijn. Het ‘waarom’ van het beperkt openbaar zijn van informatie verandert ook mettertijd. stuk ‘waar infor Het verdrag van Chicago heeft als doel de internationale luchtvaart te regelen. Het heeft ook een belangrijke functie bij vliegtuigongevallen. Het biedt bescherming aan betrokken personen om daadwerkelijk volledig Het doel vrijuit te kunnen spreken over al hun bevindingen rondom (de oorzaak van) een vliegtuigramp als deze. Dit maakt dat je écht kunt leren van een verschrikkelijke gebeurtenis zoals de Bijlmervliegramp. Dat is een groot goed. Niet alle informatie die ontstaat bij rampen, zou voor betrokkenen en nabestaanden per definitie beperkt openbaar moeten blijven. Het is belangrijk dit elke keer opnieuw af te wegen, juist ook met die factor tijd in het vizier. Is het nu echt nog steeds zo dat informatie die ruim dertig jaar geleden zo belangrijk was, nog steeds niet gedeeld kan worden? Of kunnen we hier samen, met de bril van nu, naar kijken en tegemoet komen aan de reële behoefte van een nabestaande aan informatie? Zodat deze zelf de beschikbare informatie kan lezen en beoordelen en daarmee misschien een antwoord kan vinden op een al zo lang bestaande vraag? Laten we onszelf deze vraag elke keer stellen! afelonne doek Algemeen rijksarchivaris iBestuur 51, juli 2024 15

DIGITALE TOEKOMST EU Deze Nederlandse politieke IT-experts gaan de komende jaren aan de slag in Brussel Een viertal Nederlandse politici met veel ervaring op IT-gebied lijkt ook de komende jaren aan de slag te mogen in Brussel, zo wordt duidelijk uit de uitslagen en de posities op de kandidatenlijsten. Een flinke hoeveelheid kennis van Europese IT-onderwerpen blijft daarmee behouden in het parlement. TEKST: sjoerd hartholt N ederland mag in Brussel 31 van de 720 Europese zetels vullen. Vier daarvan lijken naar politieke IT-experts te gaan: Jeroen Lenaers (CDA), Kim van Sparrentak (GroenLinks), Bart Groothuis (VVD) en Auke Zijlstra (PVV). De vier kunnen zich op basis van de uitslagen en hun positie op de kandidatenlijst zeer waarschijnlijk opmaken voor een nieuwe periode als Europarlementariër. De eerste drie waren in de afgelopen jaren al actief in Brussel. Voor Zijlstra geldt dat hij na een periode van vijf jaar afwezigheid weer terugkeert in het Europees Parlement. Belang IT-onderwerpen neemt toe Het belang van IT-onderwerpen in de Europese politiek neemt toe, ziet Reijer 16 iBestuur 51, juli 2024 Passchier, hoogleraar Digitalisering bij Universiteit Leiden en de Open Universiteit. Het is volgens hem cruciaal dat Europarlementariërs goed beslagen ten ijs komen als het gaat om IT-onderwerpen. “Niet iedere partij hoeft een absolute IT-specialist aan boord te hebben, maar kandidaten moeten wel een idee hebben van het grote belang van technologie en de betekenis ervan voor onze samenleving. Een zekere sensitiviteit voor de implicaties van technologie, voor de kansen van technologie en voor de risico’s die technologie met zich meebrengt voor de democratische rechtstaat is noodzakelijk. Je hebt eigenlijk IT’ers nodig met gevoel voor ethische en sociale kwesties. Dus niet per se specialisten, maar kandidaten die multidisciplinair georiënteerd zijn.” Hoewel kandidaten volgens hem geen bèta’s hoeven te zijn, is Passchier wel bezorgd als het gaat om het lage aantal kandidaten met werkervaring in de IT-wereld of politieke ervaring in IT-onderwerpen. Meerdere wetten De nieuwe Europarlementariërs krijgen de komende periode te maken met diverse ‘IT-wetgeving’. Zo wordt er in Brussel na de zomer onder meer verder gewerkt aan de AI-aansprakelijkheidsrichtlijn, waarmee bepaald wordt wie verantwoordelijk is voor schade veroorzaakt door AI. De richtlijn bouwt voort op de eerste uitgebreide regelgeving voor AI die in maart 2024 door het Europees Parlement is aangenomen. Ook gaat het parlement aan de slag met nieuwe regels om digitale verslaving aan te pakken. In december 2023

Kim van Sparrentak zet strijd tegen Amerikaanse techreuzen voort Kim van Sparrentak zorgde er mede voor dat in het huidige voorstel voor de Digital Markets Act een opt-in verplichting is opgenomen voor dataverzameling. BEELD: EVA PLEVIER werd aangedrongen op nieuwe regels na zorgen over de impact die sociale mediaplatforms hebben op de gezondheid van met name minderjarige gebruikers die oneindig blijven scrollen. Momenteel wordt geëvalueerd hoe groot de noodzaak is om regels te gaan stellen op dit terrein. Daarnaast wordt er onderzocht in hoeverre werknemers het recht kunnen krijgen om ‘offline’ te zijn. Daarmee wordt bedoeld: niet verplicht online bereikbaar hoeven te zijn voor werkgerelateerde activiteiten of communicatie door middel van digitale hulpmiddelen, zoals telefoonoproepen, e-mails of andere berichten. De commissie is inmiddels gestart met een verkenning naar mogelijke regelgeving. Het Europees Parlement riep de Europese Commissie in 2021 al op om hiervoor een wetsvoorstel te maken. e Europese verkiezingen in Nederland werden een nekaan-nekrace, waarbij de lijstcombinatie GroenLinks/PvdA de grootste werd. Dit leverde de partij acht zetels op en het is zeer aannemelijk dat de nummer 4, Kim van Sparrentak, er daarvan een krijgt. In de afgelopen jaren wist ze zich in Brussel te onderscheiden op IT-onderwerpen met belangrijke bijdragen aan Europese wetgeving voor de digitale wereld, waaronder de Digital Services Act en AI Act. Het leverde haar onder meer een nominatie op voor IT-politicus van het Jaar. Sinds juli 2019 is ze als lid van het Europees Parlement actief in de commissie Interne markt en consumentenbescherming. Van Sparrentak is schaduwrapporteur op de General Product Safety Regulation, waarmee de import van allerlei goederen via buitenlandse digitale platformen wordt gereguleerd. Bovendien zorgde ze er mede voor dat in het huidige voorstel voor de Digital Markets Act een opt-in verplichting is opgenomen voor dataverzameling en dat in die D Europese wet het online volgen van kinderen geheel verboden wordt. Ontzag Volgens dagblad Trouw, dat haar eind mei in een uitgebreid artikel portretteerde, wordt er in het Europees Parlement soms met groot ontzag over Kim van Sparrentak gesproken. “Was deze jonge vrouw er niet geweest, had het parlement dan ook met zulke grote voortvarendheid maatregelen kunnen nemen tegen de grootmachten van het internet? (…) Haar plannen om maatregelen te nemen tegen het verslavend ontwerp van smartphones zijn opgevallen, haar recht om niet gestoord te worden lijkt het te gaan schoppen tot wetgeving.” Haar partij GroenLinks meldt aan iBestuur dat ze wat betreft digitalisering en AI de aangewezen kandidaat is voor IT-onderwerpen in Brussel. “De afgelopen vijf jaar heeft zij in het Europees Parlement al een voortrekkersrol gehad op deze onderwerpen, en daarmee veel expertise en netwerk opgebouwd.” iBestuur 51, juli 2024 17

DIGITALE TOEKOMST EU Jeroen Lenaers verwacht dat de Richtlijn ter bestrijding van online kindermisbruik eind 2024 in stemming wordt gebracht. BEELD: JAN VAN DE VEL misbruik.” Lenaers is namens de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken in het Europees Parlement woordvoerder over deze nieuwe wetgeving. Afspraken maken Jeroen Lenaers wil kindermisbruik in de online wereld aanpakken oor het CDA is de voorlopige uitslag een flinke meevaller. De partij had vier zetels en raakte er maar eentje kwijt. Dat is een stuk beter dan verwacht werd na de teleurstellende Tweede Kamerverkiezingen. De uitslag betekent zeer waarschijnlijk dat Europarlementariër Jeroen Lenaers kan blijven zitten. Het CDA ziet in Lenaers de IT-expert van hun partij, zo gaf een woordvoerder aan. “Jeroen heeft tijdens zijn vorige mandaten veel ervaring opgedaan op het gebied van IT en cybersecurity. Zo was hij voorzitter van de Pegasus enquêtecommissie die onderzoek deed naar de Pega-software. De Pega-spyware werd in de EU en elders gebruikt V om oppositieleden, mensenrechtenactivisten, journalisten en advocaten te bespioneren. Daarnaast presenteerde Jeroen zijn rapport over de Richtlijn ter bestrijding van online kinder“Jeroen heeft tijdens zijn vorige mandaten veel ervaring opgedaan op het gebied van IT en cybersecurity” Lenaers wil zich in de komende periode opnieuw bezighouden met het bestrijden van kindermisbruik, zo vertelt hij op de website van het CDA in aanloop naar de verkiezingen. “Meer en meer verplaatst kindermisbruik zich naar de onlinewereld, onder meer door technologische ontwikkelingen en het feit dat kinderen vaker online zijn. Daarmee vervagen de landsgrenzen.” In het rapport van de richtlijn waar Lenaers aan werkt worden ook deepfakes en AI meegenomen. “Het bekijken van dit materiaal kan uiteindelijk ook leiden tot misbruik en dient daarom verboden te worden. Om te voorkomen dat delicten zich simpelweg van de ene naar de andere lidstaat verplaatsen, moeten we afspraken hebben op Europees niveau.” Aan het einde van 2024 wordt de richtlijn in stemming gebracht. Lenaers heeft er vertrouwen in dat er een akkoord uit volgt. 18 iBestuur 51, juli 2024

Security-expert Bart Groothuis blijft Europa wakker schudden over China oor de VVD verliepen de Europese verkiezingen teleurstellend. De partij raakte een zetel kwijt en hield er vier over. Maar dat IT-expert Bart Groothuis terugkeert lijkt nagenoeg zeker. Hij was jarenlang cybersecuritytopman bij het ministerie van Defensie en geldt als het gaat om IT-onderwerpen als één van de bekendste Nederlandse gezichten in Brussel. Hij probeerde Europa meermaals te behoeden voor fouten in het ontwerp van voorgestelde cybersecuritywetten, waaronder de NIS2. Groothuis werd op dit cybersecurity-onderwerp door het parlement als hoofdonderhandelaar aangewezen. In de tussentijd zocht hij vaak succesvol de media op om te vertellen over digitale dreigingen in Europa uit met name Rusland en China. Voor de IT-wereld was Groothuis de afgelopen jaren daarmee niet alleen regelmatig een luisterend oor, hij ging ook serieus aan de slag met Nederlandse zorgen over onder meer spionagesoftware. 'Wereldorde gaat eraan' Groothuis is al langer bezorgd over de positie in de wereldorde van Europa ten opzichte van onder meer China. Bij RTV Oost zei hij enkele dagen voor de verkiezingen dat de ‘wereldorde eraan gaat’ als Europa zichzelf niet kan bedruipen op V technologisch en militair vlak. “We zien China opkomen. De Chinezen concurreren oneerlijk, ze spioneren. Dat betekent dat “De Chinezen concurreren oneerlijk, ze spioneren” we zelf weer batterijen moeten maken. Zelf de waterstoftransitie mogelijk maken. Zelf zorgen dat we een kwantumcomputer hebben. We moeten veel meer zorgen dat we ons sterker innoveren.” Groothuis zou graag zien dat er de komende periode minder nieuwe wetgeving vanuit Europa komt die de digitale sector raakt. Ook hoopt hij op een versimpeling van bestaande wetgeving. Groothuis is bezorgd over de positie in de wereldorde van Europa ten opzichte van onder meer China. BEELD: JAN VAN DE VEL iBestuur 51, juli 2024 19

DIGITALE TOEKOMST EU Auke Zijlstra gaat het plan voor een Europese digitale euro vermoedelijk tegenwerken. BEELD: FRED MERVAUX Ervaren IT-man Auke Zijlstra keert na vijf jaar afwezigheid terug D e PVV werd weliswaar niet de grootste partij, maar zal met tevredenheid kijken naar de voorlopige uitslag van de Europese verkiezingen waarbij het van 1 naar 6 zetels groeide. De partij reageerde niet op herhaaldelijke verzoeken van Binnenlands Bestuur en iBestuur op de vraag wie de aangewezen IT-expert op de lijst is. Uit een eigen analyse van de lijst werd duidelijk dat de nummer 3 Auke Zijlstra de nodige ervaring heeft opgedaan met IT-onderwerpen. Dat deed hij onder meer als IT-projectmanager bij Tobacco en ambtenaar voor Binnenlandse Zaken, maar hij voerde ook jarenlang het woord op IT-onderwerpen namens de PVV in Europa. 20 iBestuur 51, juli 2024 Over Zijlstra’s ambitie en visie over de huidige Europese IT-onderwerpen is echter (nog) niet veel bekend. In het verkiezingsprogramma gaat het voornamelijk over het tegengaan van de asielinstroom en het verdedigen Over Zijlstra’s ambitie en visie over de huidige Europese IT-onderwerpen is (nog) niet veel bekend van de Nederlandse belangen in Europa, toch valt er een en ander op te maken over de plannen op IT-vlak. De partij schrijft onder meer dat het de Europese Unie in rap tempo ziet ontwikkelen tot geopolitieke unie, maar dat dit niet is wat de partij nastreeft. “Voor ons geen Europese superstaat”, aldus de partij. Ze willen wel samenwerken als het gaat om het veilig houden van het continent. Er lijkt dus ruimte voor samenwerking op het gebied van digitale veiligheid. “Het is van belang om ons te bewapenen tegen externe dreigingen, of deze nu uit China, Rusland of het Midden-Oosten komen. Zeker nu er een oorlog woedt op ons continent. De PVV steunt de strijd van Oekraïne tegen de Russische agressor”, schrijft de partij. De PVV vindt het verder van belang dat er zo min mogelijk Europese fiscale bemoeienis is. Het plan voor een Europese digitale euro, waar nog een Europees akkoord over moet worden bereikt, zal Zijlstra vermoedelijk gaan tegenwerken. “Tegen vergaande voorstellen, zoals het invoeren van de digitale euro zullen wij ons met hand en tand verzetten”, aldus de PVV.

CONGRES Vooruitblik op het iBestuur Congres 2024 Op woensdag 11 september 2024 organiseren we weer het jaarlijkse iBestuur Congres, waar bijna twintig overheidsen marktpartijen een inspirerend programma hebben samengesteld. Dit jaar op een nieuwe locatie, het nieuw verbouwde NBC Congrescentrum in Nieuwegein. erdieping is het leidende thema van dit iBestuur Congres. Verdieping van onderwerpen die essentieel zijn voor de toekomst van onze digitale samenleving. V We richten ons op verschillende thema’s. Allereerst het verbeteren van de dienstverlening, met als doel een veilige en inclusieve overheid te creëren die luistert naar haar burgers. Ook verdiepen we ons in de impact van AI en algoritmes op onze democratische waarden, en we onderzoeken hoe technologie kan bijdragen aan meer transparantie en eerlijkheid. We besteden aandacht aan de weerbaarheid van onze organisaties en samenleving tegen digitale bedreigingen en het bevorderen van brede welvaart door middel van open data en innovatieve technologieën. Met dit katern maken we u vast attent op een aantal concrete vraagstukken. Kijk op onze website voor een actueel overzicht van het programma. Nieuwsgierig geworden? Het iBestuur Congres 2024 nodigt u uit tot verdieping, zowel qua inhoud als met uw collega’s. Naast een gevarieerd programma met vooraanstaande sprekers uit verschillende sectoren, biedt het congres volop gelegenheid om in contact te komen met i-bestuurders uit de overheid, onderwijs en wetenschap en de IT-sector om kennis uit te wisselen, nieuwe inzichten op te doen en nieuwe contacten te leggen. Verzeker u van een plek op het congres en meld u aan via de website. We richten ons op bestuurders van de verschillende overheden en ook op de bestuurders van de toekomst, beleidsmakers met een focus op het i-domein, relevante private partners en wetenschap en onderwijs. We kijken ernaar uit u te verwelkomen op het iBestuur Congres 2024! Alet de Mol van Otterloo (projectleider) en Frits Bussemaker (programmamanager) www.ibestuurcongres.nl Het iBestuur Congres is een initiatief van: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties | Ministerie van Economische Zaken en Klimaat | Ministerie van Justitie en Veiligheid | Vereniging van Nederlandse Gemeenten | Interprovinciaal Overleg Het iBestuur Congres wordt mede mogelijk gemaakt door: Publieke partners: Forum Standaardisatie | ICTU | I-Partnerschap | Ministerie van IenW | Nationaal Archief Private partners: Capgemini | Centric | Google Cloud | IBM | KPN | Microsoft | Netcompany | Ordina (a Sopra Steria company) | Salesforce | SAS | TCS iBestuur 51, juli 2024 21

CONGRES De overheid is twintig jaar aan het digitaliseren geweest zonder dat daar politiek gelegitimeerde keuzes onder lagen. Maar technologie is niet neutraal, weten we inmiddels. De inzet ervan vraagt om een transparante afweging van publieke waarden. Mét burgers. TEKST: marieke vos Publieke waarden in digitalisering W outer Welling en Maarten van Zaane hebben op verschillende plekken in de overheid gewerkt, waar zij zich bezighielden en -houden met digitalisering in relatie tot publieke waarden. Welling is programmadirecteur van Digicampus en was daarvoor op het ministerie van BZK onder meer betrokken bij de totstandkoming van de Agenda Waardengedreven Digitaliseren. Hij werkte er samen met Van Zaane, tegenwoordig hoofd Overheidsincasso bij het Centraal Justitieel Incassobureau (CJIB). Ze wijzen op de vele visies die de afgelopen jaren verschenen over digitalisering bij de overheid. Het borgen van publieke waarden speelt daar een steeds 22 iBestuur 51, juli 2024 belangrijkere rol in. Welling: “Aan visies geen gebrek. De grote vraag is nu: hoe vertalen we al deze inzichten en uitgangspunten naar de praktijk van beleid en uitvoering?” Van Zaane: “In al deze visies gaat het om een digitale overheid die zoveel mogelijk waarde toevoegt voor de burger. Ik wilde die visie gaan realiseren en daarom stapte ik over naar de uitvoering. In het programma Clustering RijksIncasso werken we aan één inning voor de hele rijksoverheid. Met één overzicht met alle vorderingen en één betalingsregeling.” Digitalisering raakt publieke waarden Het huidige IT-landschap van de overheid is door chaos en willekeur gegroeid, zegt Welling. “Alle systemen die we gebruiken hebben een logische verklaring. Maar onder het geheel van de digitale overheid ligt geen expliciete keuze. Er is nooit een politieke afweging gemaakt, het stelsel is niet vanuit een set van waarden tot stand gekomen.” Dat komt mede doordat lang is gedacht dat digitalisering neutraal is. Door het bestaande werk te automatiseren zou de overheid efficiënter worden, maar verder zou er niets veranderen. Dat bleek een misvatting, die Welling uitlegt met het voorbeeld van de Berichtenbox, waar hij in het verleden als productmanager bij Logius aan werkte: “Het feit dat mensen een pdf kregen in plaats van een papieren brief, blijkt verschillende waarden te raken. Zoals

Maarten van Zaane: “Hoe systemen worden ontworpen heeft een enorme impact op beleid en uitvoering.” BEELD: BAS KIJZER efficiëntie en inclusiviteit. Voor de ene groep burgers is het makkelijker, terwijl een andere groep meer afstand tot de overheid ervaart nu er geen papieren post meer binnenkomt.” Van Zaane: “Het is niet zo dat het werk voorafgaand aan de digitalisering geen publieke waarden raakte, maar dat was impliciet. Het zat bijvoorbeeld in de manier waarop een ambtenaar ervoor koos om contact te hebben met burgers. Bij digitalisering moet je alles vooraf uitdenken en in code vastleggen en dat maakt de keuzes die je maakt expliciet.” “De vraag is hoe we alle inzichten en uitgangspunten naar de praktijk van beleid en uitvoering vertalen” Een transparante afweging Publieke waarden zijn heel divers. Van grondrechten tot waarden als efficientie. Hoe maak je daarin de juiste afweging? Welling zegt veel te hebben aan de weegschaal die de WRR in 2011 introduceerde in haar rapport over de iOverheid, met stuwende en verankerende factoren van waarden in digitalisering. Zoals het vergroten van efficiëntie en veiligheid (stuwend) en privacy en inclusie (verankerend). “Het gaat iBestuur 51, juli 2024 23 Wouter Welling: “We zouden veel meer centraal moeten kiezen voor een bepaalde architectuur, principes en standaarden.”

i C CONGRES ‘24 11 september 2024 | NBC, Nieuwegein Een dag vol verdieping en dé omgeving om te netwerken, kennis op te doen en bij te dragen aan een toegankelijke, begrijpelijke en mensgerichte overheid. Deelnemers worden uitgedaagd zich te verdiepen in de vraagstukken rondom de digitale transformatie van de overheid en hun bijdrage te leveren aan nieuwe inzichten. Meld je nu aan! de verdieping Meer informatie over deelname en aanmelden: www.ibestuurcongres.nl

CONGRES kortom over kansen en risico’s van IT. Zijn de risico’s het waard om de kansen te benutten? Ik denk dat als de overheid transparant zou zijn over de waardenafweging die ze maakt bij digitalisering, de maatschappij meer vertrouwen in de overheid krijgt.” Van Zaane noemt de vier rollen van de overheid, zoals verwoord in het rapport van de NSOB ‘Sedimentatie in sturing’. “De afweging welke publieke waarde leidend is, verschilt per rol van de overheid. Een rechtmatige overheid bijvoorbeeld handhaaft de wet, maar wil dat wel op een efficiënte manier doen. Dan zit je in de rol van de presterende overheid. De netwerkende overheid werkt samen met partners aan het behalen van resultaten, terwijl voor de responsieve overheid de interactie met de samenleving voorop staat.” Daar moet je als overheid constant een afweging in maken, waarbij het heel belangrijk is dat je transparant bent over gemaakte keuzes en de afwegingen die daaronder liggen, zeggen ze. Welling: “Dat we nu binnen de overheid het debat voeren over digitalisering in relatie tot publieke waarden, vind ik een teken dat we als digitale overheid volwassen worden.” Een medicijn tegen innovatietheater Nu de overheid vergaand digitaliseert, is IT dwingender geworden dan wetgeving, zegt Van Zaane: “Hoe systemen worden ontworpen heeft een enorme impact op beleid en uitvoering, want je kunt ze niet zomaar aanpassen als later iets anders nodig blijkt.” Publieke waarden zouden dus veel belangrijker moeten worden bij de keuzes in digitalisering, en dat heeft gevolgen voor de inrichting van het IT-landschap. Welling: “We zouden veel meer cen“Debat over digitalisering in relatie tot publieke waarden, vind ik een teken dat we als digitale overheid volwassen worden” gie, zegt Welling. “Duidelijke centrale afspraken en kaders die gaan over onder meer ontwerpprincipes, architectuur, privacy, veiligheid en gegevensbescherming, werken als een medicijn tegen innovatietheater. En ze voorkomen dat IT als een oplossing wordt gekozen voor een niet gedefinieerd probleem, zoals in het verleden vaak is gebeurd.” Met burgers traal moeten kiezen voor een bepaalde architectuur, principes en standaarden. Want als je het overal anders blijft doen, dan ben je niet efficiënt, wat ook een waarde is. En ook niet effectief, een andere waarde. Bij overheden die vooroplopen in digitalisering, zie je dat dit soort afspraken centraal wordt gemaakt en afgedwongen.” Van Zaane is het daarmee eens: “Het lijkt misschien tegenstrijdig om het centraal te regelen zodat je decentraal de ruimte hebt om op maatschappelijke vraagstukken te acteren. Maar zo werkt het wel. Kijk naar hoe we het op het gebied van financiën hebben geregeld binnen de overheid: daar hanteren we strenge kaders, waarbinnen veel ruimte is om te doen wat nodig is.” Binnen duidelijke kaders kan de overheid ook veilig experimenteren met nieuwe technoloTot slot willen ze benadrukken dat een goede afweging in publieke waarden bij digitalisering vooral met burgers moet worden gemaakt. “Als ambtenaar doe je allerlei aannames, die moet je toetsen,” zegt Van Zaane. Voor zijn programma gebeurt dat op verschillende manieren, om uiteindelijk te komen tot een dienstverlening die burgers begrijpen. Maar het gaat om meer dan het betrekken van burgers bij concrete projecten, zegt hij ook. “De overheid zou burgers ook kunnen vragen wat zij vinden van de inzet van bepaalde instrumenten. Zoals generatieve AI. In de politiek is het debat vaak gericht op de verschillen, terwijl als je het burgers vraagt ze vaak dezelfde dingen belangrijk vinden. Op die manier kun je erachter komen welke afwegingen burgers gemiddeld genomen maken in publieke waarden. Dat kan een interessant gesprek opleveren, waar je je inzet in digitalisering en ook wetgeving op kunt baseren.” Welling noemt in dit verband het systeem dat Taiwan gebruikt voor volksraadplegingen, de open source participatietool Polis. Dat systeem is gericht op het vinden van consensus in plaats van menings verschillen: “Digitalisering geeft ons naast uitdagingen op het vlak van publieke waarden, ook betere middelen om een volwassen publieke waarden afweging te maken.” iBestuur 51, juli 2024 25

CONGRES Nederland is ongekend ver in het ontwikkelen van kunstmatige intelligentie op beeldmateriaal vanuit de lucht voor het monitoren van natuurgebieden. De noordelijke provincies deden het voorwerk, de technologie is nu klaar voor landelijk gebruik. TEKST: karina meerman BEELD: provincie fryslân Landelijke natuurmonitoring H et pijpestrootje en de bochtige smele doen het goed op stikstofrijke grond. Waar deze gewassen welig tieren, is dus veel stikstof aanwezig in de bodem. In plaats van de laarzen aan te trekken en in het veld die gewassen in kaart te brengen, worden AI-modellen getraind die dit kunnen op basis van satellietbeelden, luchtfoto’s en weerdata. Deze ‘remote sensing’ levert sneller actuele gegevens op over de aanwezigheid van bepaalde soorten vegetatie en de staat van de natuur dan mogelijk is met veldwerk. Baanbrekende toepassing De provincies Fryslân, Groningen, Drenthe en Noord-Brabant werken samen met het Nederlandse bedrijf Spheer.ai 26 iBestuur 51, juli 2024 in natuurmonitoring met behulp van technologie die ook gebruikt wordt door generatieve AI als ChatGPT en Midjourney. Op Carto, het eigen platform van Spheer.ai, worden data geprepareerd zodat daarmee AI-modellen kunnen worden getraind. Spheer.ai kan dit sneller dan ieder ander en heeft minder data nodig. Ook kan hun model werken met oude beelden, waardoor historische informatie wordt ontsloten, die weer input is bij het berekenen van prognoses. Innovator Gerard Kema van de provincie Friesland is enorm enthousiast over de samenwerking en de resultaten tot zover. “Wat hier gebeurt is baanbrekend, ik heb dit in heel Europa nog niet zo gezien.” De samenwerking ontstond uit de vraag of AI geschikt is om de verplichte twaalfjaarlijkse Natura 2000-monitoring Babette Bakker: “Laten we de handen ineenslaan en interprovinciaal gaan samenwerken” te ondersteunen. Het antwoord is een volmondig ‘ja’. Het betekent echter wel iets voor de manier waarop mensen werken, want natuurmonitoring bevat nu nog veel handwerk. Henk Pieter Sterk is beleidsonderzoeker Natuurmonitoring bij de provincie Friesland en ouderwets geschoold in het vak. “Dat betekent het veld in, observeren, tellen en stipjes zetten op een kaart. Daar laten we dan

met AI: het kan! initiatieven en budgetten. Als er één ecosysteem is waarin alle relevante partijen samenwerken, kunnen we ook meer.” Behalve de provincies zijn dat onder andere ook RVO, IPO, Staatsbosbeheer, BIJ12 en de Nederlandse AI Coalitie. Bakker ziet veel meer mogelijkheden voor deze technologie, ook voor de BV Nederland. “We werken samen met marktpartijen in software, drones, robots en andere hardware. Dat is een verdienmodel. Deze technologie kan voor veel meer monitoring worden ingezet dan de verplichte Natura 2000-gebieden.” Aan tafel Luchtfoto van een stuk heide waar Pitrus, een grasachtige plant, groeit. Het AI-model (rechts) kan het Pitrus (in geel) heel goed herkennen. protocollen op los. Ik werk nog steeds op die manier, maar combineer het met nieuwe technieken. Ik noem het blended monitoring.” Volgens Sterk zijn provincies er klaar voor om in een groter samenwerkingsverband AI in te zetten op dit gebied. Hij zegt: “We horen van bestuurders dat ze prognoses willen en snellere resultaten. Onderzoekers vertellen ons dat ze zitten te popelen om gereedschap om dat voor elkaar te krijgen. Dat is niet eerder zo geweest. En nu kunnen we beide groepen geven wat ze willen.” Bias verwijderen Een ander belangrijk pluspunt van de AI-versie van monitoring is dat de menselijke bias uit de data is gehaald. Sterk: “Uit een recent onderzoek bleek dat drie verschillende veldonderzoekers met drie verschillende opgeleverde kaartresultaten kwamen, omdat ze op drie verschillende manieren keken. Nu kunnen we bestuurders consistente data bieden om beleid op te maken.” Kema vult aan dat de nieuwe manier van werken ook veel sneller actuele data oplevert en dat het bijsturen van beleid en/of het bijtrainen van AI-modellen daardoor ook veel sneller kan. “We krijgen op deze manier veel beter zicht op onze natuur.” Verdienmodel Babette Bakker is vanuit IPO de coördinator van de Dutch Societal Innovation Hub. “Nederland telt veel verschillende regionale initiatieven,” zegt ze. “Laten we de handen ineenslaan en interprovinciaal gaan samenwerken. Wij zijn al gesprekken aan het voeren over het bijeenbrengen van de verschillende Om het gesprek op de juiste manier vooruit te krijgen moeten er verschillende soorten mensen aan tafel zitten. Beleid en uitvoering, maar ook mensen met verstand van financiën, van methodieken en standaarden, en van de laatste ontwikkelingen op het gebied van innovatie. Dat kost tijd. Kema zegt: “Natuurverandering is iets van de lange adem. We praten hier niet over een projectje dat in een jaar af moet. En innovatieve oplossingen hebben ook gewoon tijd nodig.” Bakker vult aan: “Met deze technologie krijgen we meer feiten over de staat en ontwikkeling van de natuur. Daar is niet alleen technologische innovatie voor n odig, maar ook nieuwe manieren van samenwerken en van beleids- en besluitvorming op basis van deze gegevens.” Landelijke inzet Kema denkt dat de technologie klaar is voor een landelijke inzet van het maken van habitat- en vegetatiekaarten. “We zijn hiermee vee l beter in staat om natuur te monitoren, te beheren en te behouden. Dat de technologie werkt hebben we bewezen. Nu is het zaak in te zetten op strategische samenwerking en ontwikkeling. De tijd is er rijp voor.” iBestuur 51, juli 2024 27

CONGRES Samenwerken aan maatschappelijke opgaven Hoe kunnen markt en overheid effectiever samenwerken? iBestuur vroeg het de private partners van het iBestuur Congres. De rode draad in hun betogen: overheid en markt zouden veel meer een open dialoog moeten voeren over de kansen en risico’s van IT. Dan kan de overheid digitalisering succesvoller inzetten voor het oplossen van maatschappelijke vraagstukken. Digitaal ecosysteem “V oor succesvolle digitalisering moeten overheden een integraal onderdeel zijn van en een gelijkwaardige bijdrage leveren aan een digitaal ecosysteem. Een ecosysteem dat bestaat uit IT- en technologiepartners, startups en academische instellingen. Ik zie een toenemende samenwerking tussen overheden en IT-bedrijven, omdat technologie steeds meer mogelijkheden biedt om maatschappelijke vraagstukken aan te pakken. Die samenwerking zien we niet alleen in Nederland, maar wereldwijd. Ik noem vier gebieden waar technologie een meerwaarde kan bieden. Ten eerste in de zorg. Veel landen hebben te maken met een toenemende vraag naar ziekenhuiszorg als gevolg van de vergrijzing. Digitale gezondheidsmonitoringsystemen en elektronische medische dossiers kunnen gepersonaliseerde kwaliteitszorg buiten een ziekenhuisomgeving mogelijk maken, waardoor de druk op ziekenhuisfaciliteiten vermindert. Een tweede gebied is de klimaatveran28 iBestuur 51, juli 2024 Shalini Mathur Vice President & Business Head, International Public Services, Tata Consultancy Services sen in een vroeg stadium te waarschuwen voor bijvoorbeeld extreem weer. Op het gebied van energie kan technologie ervoor zorgen dat energie veel efficiënter wordt gebruikt. En tot slot kan technologie overheidsinstanties helpen hun taken effectiever uit te voeren. Intelligente systemen zorgen ervoor dat voordelen snel en accuraat worden geleverd. Artificiële Intelligentie (AI) speelt in al deze domeinen een steeds belangrijkere rol, enerzijds door het werk van werknemers gemakkelijker te maken en anderzijds door de dienstverlening aan burgers te verbeteren. We onderzoeken de toepassingen van AI in verschillende overheidsdomeinen, uiteraard met de noodzaak van ‘vangrails’ in het achterhoofd. dering. Technologie kan, bijvoorbeeld met behulp van sensoren, data verzamelen die wetenschappers betere inzichten geven en kan worden gebruikt om menIk werk samen met overheden over de hele wereld en ik merk dat de Nederlandse overheid erg open staat voor samenwerking. In marktconsultaties en dialogen doet de Nederlandse overheid graag kennis op en leert ze van de ervaringen en innovaties van IT-leveranciers.”

Proactief en in partnerschap “ A ls system integrator werkt KPN in partnerschap met andere IT-bedrijven en overheden, want alleen samen vind je antwoorden op complexe maatschappelijke vraagstukken. Wij komen bij veel verschillende overheden, van de zorg tot gemeenten. We zien dat ze veelal met dezelfde vraagstukken bezig zijn, maar dat niet altijd van elkaar weten. Dan voegt het waarde toe om best practices met elkaar te delen, want daarmee voorkom je dat iedereen het wiel opnieuw uitvindt. Zo kunnen we sneller met elkaar tot resultaten komen. Ook in samenwerking met andere IT-partners, die elk met hun eigen specialisatie bijdragen aan oplossingen. Wat nodig is voor een goede samenwerking, is wederzijds inzicht in elkaars doelen en bedrijfsvoering. Dat gaat verder dan dezelfde taal spreken. Omdat maatschappelijke vraagstukken vaak complex en veelomvattend zijn, is het aan te raden om ze in subdoelen uiteen te zetten, met een duidelijke scopeafbakening. Met heldere doelstellingen en een stappenplan hoe je deze wilt bereiken. Zo houd je de energie erin, blijven de doelen helder, boek je sneller progressie en zorg je ervoor dat alle partners verbonden blijven. Samenwerking in partnerschap gaat ook over het ondersteunen van de overheid bij het anticiperen op nieuwe wet- en regelgeving. Zoals eIDAS 2.0, die alle lidstaten verplicht om in uiterlijk 2026 voor alle burgers een digitale identiteit aan te bieden. Hiermee kunnen mensen veilig inloggen, zichzelf identificeren en een digitale handtekening zetten. Wij hebben hiervoor de Identity Wallet ontwikkeld, waar we op het iBestuur Congres meer over vertellen.” Minister voor Digitale Zaken “ H et vergroten van het vertrouwen van burgers in de overheid begint met een goede dienstverlening. Daarmee kunnen medewerkers hun werk beter doen, bijvoorbeeld doordat ze alle relevante informatie snel inzichtelijk hebben. Goede dienstverlening gaat ook over het helpen van burgers buiten kantooruren, bijvoorbeeld met self service op digitale kanalen. Waarmee je als burger zelf gegevens kunt aanpassen als die niet kloppen. De overheid is nu vooral aan het zenden, dat kan veel interactiever. Dit is allemaal mogelijk met huidige, innovatieve technologie. De overheid kan deze veel beter benutten als er een meer open samenwerking met de markt zou zijn. Die is er nu weinig, mede omdat de Nederlandse overheid krampachtig Jamila Ouna Directeur New Business Public bij KPN omgaat met het hele aanbestedingstraject. De aanbestedingswet biedt wel degelijk voldoende mogelijkheden om in dialoog te gaan met de markt. De ruimte om je door bedrijven te laten informeren en inspireren wordt nu vaak niet benut. De markt is daarentegen wel bereid om die samenwerking aan te gaan. Een volgend kabinet, met liefst een minister van Digitale Zaken, kan voor het functioneren van de overheid een goede zaak zijn. In het diverse landschap van aanbestedende diensten zijn het vooral de grote overheidsorganisaties die de IT-functie op de juiste plek belegd hebben. Voorbeelden daarvan zijn de Belastingdienst, het UWV en de Kamer van Koophandel. Daarentegen zijn er ook overheidsorganisaties die geen doorzettingsmacht hebben als het Marcel Swart Account Director Centrale Overheid bij Salesforce gaat om generieke IT-voorzieningen. Terwijl dat wel noodzakelijk is om de gewenste digitale transformatie door te voeren en daarmee de dienstverlening en betrouwbaarheid naar burgers en bedrijven te vergroten.” ZIE VERDER PAGINA 32 iBestuur 51, juli 2024 29

CONGRES De rol van de mens bij De mens wordt, met al z’n onvermijdelijke fouten, dikwijls aangewezen als de zwakke schakel in de cyberweerbaarheid van een organisatie. Moet je de mens weerbaarder maken of een zelfsturend systeem aan de knoppen zetten? De meningen verschillen. TEKST: tom reijner BEELD: shutterstock A ls een organisatie in de problemen komt door een cyberaanval, komen IT- specialisten meteen in actie. Liever zorgen we ervoor dat cyberaanvallen afgewend worden. Medewerkers worden vaak aangewezen als de probleemveroorzakers. Fouten maken is immers menselijk, maar bij een cyberaanval of datalek kan zoiets zeer grote gevolgen hebben. De rol van de mens binnen cybersecurity en weerbaarheid ligt daarom steeds meer onder een vergrootglas. Moet je de competenties van medewerkers versterken door (verplichte) bijscholing, of moet je de menselijke factor uitschakelen met de inzet van autonome systemen? Autonome systemen Voor Berry Vetjens, marktdirecteur ICT, Strategy and Policy bij TNO, is die vraag inmiddels eenvoudig te beantwoorden. Samen met collega-onderzoekers publiceerde hij vorig jaar oktober een position paper over de noodzaak van zelfhandelende en sturende systemen die de taken van de mens, bijvoorbeeld in een Security Operations Center van een organisatie, grotendeels kunnen overnemen, veelal op basis van kunstmatige intelligentie. Volgens hem hebben we, gezien alle dreigingen, geen 30 iBestuur 51, juli 2024 keus. “Kwaadwillende personen hebben AI-systemen volledig omarmd en vormen daarmee een enorme bedreiging. We moeten met hen de strijd aangaan, of we dat nu willen of niet.” Daarbij kampen we met een tekort aan cyber- en IT-experts, dat de sector echt parten speelt. Vetjens: “Dat is structureel. Niet alleen in Nederland, maar wereldwijd. Dat lost zich niet zomaar op, dus zul je moeten kijken hoe je deze cruciale processen minder afhankelijk maakt van mensen.” Gradaties Het beoogde systeem kan gevaren, zoals een grootschalige hackpoging, in een vroeg stadium detecteren. Vetjens vertelt hoe zo’n zelfdenkend systeem kan werken. “Je hebt hierin een aantal gradaties: je hebt het inschatten van gevaar en vervolgens de vraag wat we erraan gaan doen. Die detectie zou je, in het meest extreme geval, volledig kunnen overlaten aan een zelfdenkend en autonoom systeem. Het systeem bepaalt vervolgens wat de beste strategie is om de dreiging te neutraliseren. Maar je kan er ook voor kiezen om de menselijke factor bij deze stappen te behouden, wellicht in een soort toezichthoudende rol. Het is dan ook een beetje trial and error,” aldus de TNO-directeur. “We moeten stapsgewijs onderzoeken hoe we deze autonome systemen kunnen inzetten, wat we verantwoord vinden en

cyberveiligheid belangrijk dat medewerkers hiervan doordrongen zijn. Burgers en maatschappelijke organisaties verwachten dit ook van ons.” Voor Pieters is de mens de sterkste schakel. “De medewerkers maken de overheid. We hebben dus iedereen nodig om verdachte zaken, zoals het openen van phishing mails, te herkennen.” De basisopleiding is daarom ook verplicht. “Vrijblijvendheid werkt niet. Digitale weerbaarheid is zo belangrijk voor de organisatie dat dit aan de basis moet staan van elk proces dat je uitvoert.” Wettelijke beperkingen "Mensen hebben vaak geen enkel idee wat er aan de achterkant van het digitale domein gebeurt" wat de rol van de mens hierin is. Ik wil deze niet bij voorbaat uitvlakken.” Veilig gedrag In deze TNO-visie komt de mens naar voren als de complicerende factor. Daar denkt Bart Pieters, adviseur informatiebeveiliging en privacy op het ministerie van Binnenlandse Zaken, anders over. Hij gelooft in een positieve benadering. “Als je medewerkers op het hart drukt dat ze de goede dingen kunnen doen, gaan ze daar ook naar handelen. Dan geef je hen vertrouwen.” Tegelijk, erkent Pieters, hebben mensen vaak geen enkel idee wat er aan de achterkant van het digitale domein allemaal met hun data gebeurt. “Het is goed als we daar verandering in brengen.” Basisopleiding Binnen CIO Rijk tuigt hij, met collega’s, momenteel een basisopleiding digitale weerbaarheid op. Het stimuleren van veilig gedrag is de sleutel: “We werken hier met gevoelige gegevens. Het is Hij denkt dat AI-systemen goed kunnen helpen, maar tegelijkertijd is hij er ook van overtuigd dat je er nooit helemaal op kunt vertrouwen. AI-systemen zullen het dus niet zomaar overnemen. "Ten eerste is technologie vaak voorspelbaar. De aanvallende partij kan door trial and error proberen erdoorheen te komen, omdat het een aantal verdedigingspatronen herkent. En ten tweede loop je tegen een aantal wettelijke beperkingen aan over geautomatiseerde besluitvorming. Daar zitten nu eenmaal grenzen aan.” Daaraan gekoppeld heb je de ethische kant, zegt hij. “We weten dat algoritmen bias met zich mee kunnen brengen. Het zijn immers mensen, met al hun vooroordelen, die deze algoritmen voeden.” Vetjens pleit, tot slot, voor een maatschappelijk debat over cybersecurity en de inzet van AI. “Maar ik weet ook, realistisch gezien, dat dit ijdele hoop is. In het hoofdlijnenrakkoord van het nieuwe kabinet wordt AI nauwelijks genoemd, laat staan cyberveiligheid. Terwijl we echt alle zeilen bij moeten zetten. We hebben geen tijd te verliezen.” iBestuur 51, juli 2024 31

CONGRES VERVOLG VAN PAGINA 29 Mens en machine: het kan schouder aan schouder “ et aantal complexe, maatschappelijke vraagstukken maakt samenwerking tussen overheid en bedrijven eigenlijk gewoon noodzakelijk. De overheid kan dat echt niet alleen. Waar zij de oplossingen primair vanuit het gesprek en de regels zoeken, hebben bedrijven de middelen in huis om de oplossingen ook te genereren en te realiseren. Pak het dus samen op, zou je zeggen. H Edwin Fennema Business development manager bij de innovatie-afdeling van Centric In de praktijk blijft men echter vaak met de rug naar elkaar toe leven en hoopt men in stilte dat de ander zal worden zoals men zelf is. Beide culturen zijn echter heel anders opgegroeid. Waar overheden in een bedachtzaam tempo zo klein mogelijke stappen vooruit nemen, streven bedrijven naar precies het tegenovergestelde. Waar de bron van continuïteit voor bedrijven vooral financieel van aard is, zit dat bij een overheid in de maatschappelijke functie. Waar datagestuurd werken bij de overheid nog in de babyschoenen staat en AI wordt gevoeld als een bedreiging, ziet een ICT-bedrijf data en machines juist als volwassen medebestuurders en AI als een veelbelovend middel om complexiteit te doorgronden. Ik zou vanzelfsprekend heel graag zien dat overheden en bedrijven de enorme hoeveelheid complexe, maatschappelijke problemen samen aanpakken. De technologie van bedrijven en de verbindende kracht van overheden kunnen elkaar daarbij versterken. Niet door technologie van bedrijven als assistent neer te zetten (technologie als een ‘tool’), maar door intelligent met machines samen te werken om tot rationele oplossingen te komen – die toch breed gedragen kunnen zijn (technologie als een ‘partner’).” Focus op het ‘wat’ en draag samen de risico’s “ Ik heb lang bij de overheid gewerkt en heb in mijn loopbaan vaak ervaren wat er niet goed gaat in IT-projecten. Ik heb een sterke mening hoe je dit anders kunt aanvliegen. Vanuit de overheid én vanuit leveranciers. In het kort: er moet veel meer dialoog zijn tussen de markt en de overheid. Nu schrijft de overheid vaak volledig dichtgetimmerde aanbestedingen uit, met een focus op wat er moet gebeuren als het fout gaat. Het is beter om vooraf, in dialoog met leveranciers, te verkennen waar de uitdagingen en potentiële valkuilen zitten en hoe je deze efficiënt kunt aanpakken. Ook kunnen we als markt en overheid effectiever samenwerken als marktpartijen meer hun maatschappelijke verantwoordelijkheid nemen en I Britt Hoppenbrouwers Country managing partner bij Netcompany Nederland bewijzen dat ze het vertrouwen van de overheid waard zijn. Dit kan bijvoor32 iBestuur 51, juli 2024 beeld door het delen van risico’s en door als IT-leverancier ook zelf te investeren. Hierdoor kan de overheid op haar beurt meer focussen op het ‘wat’. Te vaak houdt de overheid zich nu bezig met het ‘hoe’. Soms wordt er zelf IT ontwikkeld, terwijl de expertise vaak in de markt te vinden is. Neem bijvoorbeeld de Europese ID-wallet. Wij leiden een consortium dat in opdracht van de Europese Commissie een framework voor ID-wallets bouwt, waar straks alle nationale ID-wallets gebruik van gaan maken. Dit is een project dat laat zien dat goede samenwerking met de markt essentieel is. Kortom: een betere samenwerking begint met meer dialoog tussen overheid en markt, waarbij we de bestemming aan de overheid overlaten en de reis aan de markt.” BEELD: ABBINK FOTOGRAFIE

Meer flexibiliteit en ruimte voor innovatie Marcell Schmidt “ E Managing director voor de Nederlandse overheid bij IBM en effectievere samenwerking tussen overheid en markt begint met meer flexibiliteit, aan beide kanten. Marktpartijen zouden proactiever met de overheid kunnen meedenken, over de mogelijkheden die IT biedt of over de voorbereiding op toekomstige risico’s. Neem de noodzaak om je data veilig te houden als met quantumtechnologie straks de huidige beveiliging wordt gekraakt. Daar kun je nu al op anticiperen, maar dat moet je dan wel meenemen bij de inkoop van je IT-infrastructuur en toepassingen. Bij IT-trajecten gaat het vaak om langlopende contracten, als je het nu niet meeneemt dan ben je straks te laat. Ik vind dat we dat soort zaken als markt moeten aanbieden, ook als de overheid daar zelf nog niet om vraagt. Meer flexibiliteit bij de overheid leidt ertoe dat innovatieve technologie beter wordt benut. De overheid hanteert strikte aanbestedingsregels en dat moet ook, vanuit wet- en regelgeving. Sneller en veiliger innoveren “G Het probleem is echter dat innovatie daarmee vaak wordt uitgesloten. Het zou daarom goed zijn als er meer ruimte komt voor advies en voor dialoog. Laten we als marktpartijen en overheid samen periodiek bij elkaar komen om kennis te delen over grote ontwikkelingen zoals AI of quantum computing. De meerwaarde van meer flexibiliteit en innovatie zie ik onder andere in de digitalisering van het contact tussen overheid en burgers. Het zou heel mooi zijn als het contact met burgers veel makkelijker wordt, waarbij het niet uitmaakt of je communiceert via brief, e-mail, chat, sociale media of op andere manieren. Nu zijn al deze communicatiemiddelen niet met elkaar verbonden en zijn veel werkprocessen binnen de overheid nog niet gedigitaliseerd. Als we dat wel voor elkaar krijgen, dan maken we een grote stap.” eneratieve AI is hot en iedereen wil het. Tegelijkertijd weten maar weinig organisaties wat precies de kansen en de risico’s zijn. Daar kan de overheid veel meer met de markt over praten. Marktpartijen hebben ervaring met de inzet van AI, in verschillende landen en sectoren. Zij kunnen best practices en valkuilen delen, waardoor de overheid sneller en veiliger kan innoveren. Dat biedt de overheid waardevolle inzichten: waar ging het mis, hoe kwam dat en hoe kan ik dat voorkomen? Hoe je deze technologie inzet binnen de kaders van de Europese AI-wetgeving is daar ook een onderdeel van. De ruimte om het gesprek hierover te voeren is er, dat staat los van de formele aanbestedingsprocedures. Wij doen dat bijvoorbeeld met de VNG en acht andere marktpartijen. Samen hebben wij een open gesprek over wat AI kan en welke mogelijkheden organisaties hebben om deze in te zetten. Heel veel factoren spelen een rol bij het succesvol inzetten van AI: de kennis en kunde in je organisatie, de kwaliteit van je data, de organisatiecultuur. De mens is een belangrijke factor die AI succesvol maakt. Daarom raden wij aan om eerst kleine projecten te doen. Vanuit daar kun je groeien. Zo helpen wij een middelgrote gemeente om meer inzicht te krijgen in de jeugdzorgproblematiek, waardoor de gemeente sneller kan ingrijpen. De gemeente kan haar geld nu doelmatiger inzetten en veel meer jongeren helpen. Als je het op deze manier aanpakt, dan is AI een hulpmidAndré van der Meer Adviseur Overheid bij SAS del bij het aangaan van maatschappelijke uitdagingen. Hoe je dat precies doet en waar je dan op moet letten, dat is iets waar overheid en markt veel meer het gesprek over kunnen voeren.” iBestuur 51, juli 2024 33

CONGRES Zuivere werkverdeling “ n de wereld van de fysieke infrastructuur is er een duidelijke werkverdeling tussen opdrachtgever en opdrachtnemer. Rijkswaterstaat heeft zelf geen mensen in dienst die wegen aanleggen, dat doen de wegenbouwbedrijven. Wat kunnen we hiervan leren? Als markt en overheid kunnen we effectiever samenwerken als onze werkverdeling zuiverder wordt. Waarin de overheid zich focust op goed opdrachtgeverschap en marktpartijen het werk uitvoeren. Natuurlijk heeft de overheid IT-expertise nodig, maar niet exact dezelfde als de markt. De overheid heeft behoefte aan mensen die de wensen vanuit de business kunnen vertalen naar de informatievoorziening. De markt heeft mensen nodig die software kunnen implementeren en systemen kunnen ontwerpen en beheren. Als I we ons daarop focussen, dan zijn we complementair aan elkaar, maken we optimaal gebruik van elkaars kracht, en vissen we bovendien niet in dezelfde vijver. Zeker in deze krappe arbeidsmarkt is dat erg belangrijk! IT-bedrijven kunnen proactiever meedenken met de overheid. Ook in het delen van ervaringen die zij opdoen bij andere overheden. Er is veel te leren van hoe andere overheden technologie toepassen en welke oplossingen zij kiezen. Een voorbeeld: door te werken met een architectuur in onderdelen, kun je veel sneller inspelen op veranderende behoeftes in de samenleving. Informatiesystemen worden dan als kleinere, losse onderdelen ontwikkeld. Die onderdelen kun je vrij snel vervangen en daarmee kun je beleid veel sneller uitvoeren. Op deze manier doe je geen jaren over het Educatie en inspiratie “O verheid en markt weten elkaar al goed te vinden om te sparren over nieuwe ontwikkelingen, is mijn ervaring. Twee voorbeelden vind ik interessant om te noemen. Ten eerste de hackaton die we samen met het Prinses Máxima Centrum organiseerden. Dat ging over de inzet van data-analyse en AI voor het onderzoek naar kinderoncologie. Er deden 300 mensen aan mee en in een dag tijd werden er heel interessante oplossingen bedacht voor verschillende vraagstukken. Zo breng je kennis bij elkaar van veel verschillende partijen, uit zowel de publieke en de private sector. Voor een groot deel gaat goede samenwerking om het elkaar ontmoeten en kennis delen, om educatie en inspiratie. Er is zoveel nieuwe technologie, het is best moeilijk om te zien waar de kan34 iBestuur 51, juli 2024 Bart Daniels Business Development Executive Public Sector bij Ordina (a Sopra Steria company) vervangen van een systeem, maar heb je een systeem in veel kortere tijd aangepast. Daarmee kun je de afstand tussen beleid en uitvoering enorm verkleinen. De huidige maatschappelijke uitdagingen vragen om een wendbare overheid.” sen en de risico’s liggen en waar je als overheid op wilt inzetten. Wij hadden een tijd terug een gezelschap uit de Nederlandse overheid op bezoek over onder meer cybersecurity. Er ligt een flinke uitdaging om onze samenleving, economie en infrastructuur te beschermen in deze tijden van stoenemende internationale spanningen. Juist op dit gebied kunnen markt en overheid goed samenwerken. De kennisuitwisseling die tijdens dat bezoek plaatsvond vind ik het tweede goede voorbeeld van samenwerking. Vanuit inkoop en leveranciersmanagement wordt het contact met de markt vaak rigide aangepakt. Er is meer mogelijk. Vooral op het vlak van cybersecurity, AI en datagedreven werken kan de overheid de markt veel meer vragen stellen. Bij deze technologie wil Erwin Angelier Leader Public Sector bij Google je een goede afweging maken tussen de voordelen en de risico’s. De basis voor die afweging is educatie en inspiratie en die doe je op in een partnerschap tussen overheid en markt.”

Gedeelde visie “W at nodig is, is een gedeelde visie op hoe je IT in kunt zetten voor het oplossen van maatschappelijke vraagstukken. We, overheid en markt, zijn namelijk met zijn allen op weg naar de superslimme samenleving, Society 5.0, waarbij technologische innovaties een steeds belangrijkere rol spelen voor het oplossen van maatschappelijke vraagstukken. Denk aan de leefbaarheid in steden of burgerparticipatie op basis van het ontwikkelen van datascenario’s voor het visualiseren van de impact van beleidsbeslissingen, waardoor meer draagvlak en effectiviteit kan worden gecreëerd. Het is van belang dat we bij de invulling hiervan menselijke waarden, normen en belangen niet uit het oog verliezen. Daarom is het raadzaam dat bij het ontwerpen en implementeren van dienstverlening bij zowel overheden als leveranciers continu aandacht is voor de menselijke maat, duurzaamheid en ethiek. Maar ik denk ook aan efficiënte werkplekken voor ambtenaren om hun werk te kunnen uitvoeren. Wij streven ernaar om samen met overheden essentiële vraagstukken te beantwoorden over veranderende (technologische) behoeften. Om te laten zien hoe we samen kunnen werken aan deze digitale transformatie. Laten we een gezamenlijke visie ontwikkelen over de vraag hoe IT- toepassingen als onder meer GenAI, IoT en Cloud, bij kunnen dragen aan het oplossen van de maatschappelijke opgaven. De complexiteit van IT-projecten bij de overheid neemt alleen maar toe, omdat IT steeds meer doorvlochten is in de werkwijze van organisaties. Een IT-project is al lang niet meer het Pablo Derksen Directeur Public bij Capgemini vervangen van een stukje technologie. Dit vraagt zowel van de overheid als van de markt om een aanpassing van skills. Skills die complementair zijn aan elkaar en elkaar versterken om projecten te doen laten slagen.” Samen werken aan verantwoorde AI “ A succesverhalen te delen, worden anderen gestimuleerd hetzelfde te doen. Meer begrip en bewustwording van de mogelijkheden van AI zullen leiden tot breder gebruik en een grotere benutting van het potentieel. Het is daarom belangrijk dat zowel de overheid als het bedrijfsleven elkaar in harmonie blijven uitdagen om innovatieve oplossingen te ontwikkelen met behulp van AI. Een dynamische wisselwerking tussen beide domeinen is essentieel. Investeren in onderwijs en training rondom AI is van groot belang om een stevig fundament te leggen voor toekomstige generaties en het potentieel van AI volledig te benutten. Internationale samenwerking speelt hierbij ook een belangrijke rol, zodat wereldwijde kennis geïntegreerd wordt en aan internationale standaarden voldaan kan worden. Op I heeft de potentie om niet alleen economische groei te stimuleren, maar ook om een cruciale rol te spelen bij het aanpakken van diverse maatschappelijke uitdagingen. Denk bijvoorbeeld aan kwesties als het asiel- en migratiebeleid en de huidige woningcrisis, die hoog op de agenda van het nieuwe kabinet staan. Zolang ethiek en inclusiviteit gewaarborgd worden, kunnen AI-toepassingen processen zoals asielaanvragen en woningbouwprojecten efficiënter en effectiever maken. Een andere uitdaging is het waarborgen van werkgelegenheid en economische stabiliteit te midden van technologische veranderingen. De overheid speelt een sleutelrol in het stimuleren van AI-gebruik om maatschappelijke problemen op te lossen. Door te experimenteren met AI-toepassingen en Jeffrey Tadros Director Government bij Microsoft deze manier creëren we gezamenlijk een omgeving waarin AI op een verantwoorde wijze bijdraagt aan economische groei en het oplossen van maatschappelijke vraagstukken." iBestuur 51, juli 2024 35 BEELD: MARNIX KLOOSTER

OVERHEID IN TRANSITIE PODIUM Naar één nationale agenda voor de digitale overheid? aarlijks ontvangt de Digital Hub Denmark zo’n 140 internationale delegaties van overheden en het bedrijfsleven die nieuwsgierig zijn naar het succes van de Deense GovTech-aanpak. In maart ging een Nederlandse delegatie op bezoek. Het initiatief van de studiereis kwam van de Staat van de Uitvoering: een programma dat gericht is op het analyseren en oplossen van knelpunten in de Nederlandse uitvoeringspraktijk. J Tijdlijn van Denemarken Samenwerking met de GovTech-markt speelde vanaf het begin een belangrijke rol in de ontwikkeling van de Deense digitale overheid. Mette Lindstrøm Lage, adjunct-directeur van DIGST, het Deense agentschap voor Digitalisering laat aan de hand van de tijdlijn van de Deense digitale overheid zien dat de opbouw van de digitale overheid van onze noorderburen heel gericht en stapsgewijs is geweest. Centrale coördinatie De nauwe samenwerking tussen de Deense nationale overheid, provincies (5) en gemeenten (98) startte in 2001. De samenwerking werd getypeerd als horizontaal, maar wel met een duidelijke centrale coördinatie en onder één nationale agenda voor de digitale overheid. Sinds december 2022 valt het DIGST in Denemarken onder het ministerie voor Digitalisering en Gendergelijkheid (daar36 iBestuur 51, juli 2024 voor viel de samenwerking onder het ministerie van Financiën). GovTech als partner Uniek is dat de IT-componenten waar de infrastructuur van de Deense digitale overheid op is gerealiseerd, zoals MitID – het Deense equivalent van DigiD – zowel publiek als privaat kunnen worden gebruikt. Verder valt op dat de Govtech-markt als partner wordt gezien, in plaats van als concurrent. Deense aanbieders van GovTech-oplossingen worden onder voorwaarden (zoals gebruiksrecht door de Deense overheid) zelfs gestimuleerd componenten bij andere (internationale) klanten aan te bieden. Hiermee zijn de kosten relatief laag en de kwaliteit hoog. Impuls voor meer gezamenlijkheid Waar staan we in het meer decentraal aangestuurde Nederland? De overtuiging dat meer gezamenlijkheid nodig is, werd onder deelnemers aan de studiereis reeds breed gedeeld, en deze werd met de opgedane Deense inzichten van een impuls voorzien. Langzamerhand worden ook in Nederland stappen gezet in de richting van een meer centrale sturing en coördinatie. Zo is er sinds 2022 een coördinerend bewindspersoon voor digitalisering met een eigen werkagenda. Ook de oproep voor een minister voor Digitale Zaken klinkt steeds luider. Daarnaast is er een interbestuurlijke datastrategie (IBDS) en worden gemeenten zich steeds meer bewust van het belang van het Common Ground-programma. Waar Nederland in voorop loopt Er zijn ook ontwikkelingen waar Nederland ten opzichte van Denemarken in voorop loopt, zoals de samenwerBij de opbouw van de digitale overheid in Denemarken werd horizontaal samengewerkt, maar wel met een duidelijke centrale coördinatie en onder één nationale agenda. Ook in Nederland worden ondertussen de noodzakelijke stappen gezet richting een meer centrale sturing en coördinatie ten aanzien van digitalisering. TEKST: arjan spruijt en nitesh bharosa • BEELD: bureau oma

Met MitID (‘mijn ID’) hebben Deense burgers één elektronische identiteit voor publieke én private diensten. Eén digitaal platform voor gezondheidsinformatie en elektronische patiëntendossiers: sundhed.dk. Deense ondernemers regelen al hun zaken op digitaal platform Virk.dk. Denemarken heeft één centraal online platform waar burgers gemakkelijk toegang hebben tot overheidsdiensten: borger.dk. king in zogeheten data-ecosystemen. Hierin werken partijen samen onder publiek-private afsprakenstelsels. In de Nederlandse context krijgt samenwerking in deze verbanden steeds meer vorm over de decentrale en sectorale assen. Ook kennisinstellingen worden intensief betrokken bij deze samenwerking. De kern van dergelijke samenwerkingsverbanden is dat via afspraken en voorzieningen data veilig, betrouwbaar en gecontroleerd kunnen worden uitgewisseld. Uitgangspunt hierbij is dat data bij de bron bewaard blijven en aldaar kunnen worden geraadpleegd, zonder dat derden hier met een businessmodel tussen komen. Het aantal voorbeelden van dergelijke samenwerkingsverbanden groeit, zoals het Federatief Datastelsel en meer sectoraal het Digitaal Stelsel Gebouwde Omgeving, het DMI-ecosysteem en Health RI. Mogelijke kostenbesparingen? Wat kunnen we door meer gezamenlijkheid bereiken? Naast betere dienstverlening aan burgers lijken ook kostenbesparingen gerealiseerd te kunnen worden. Een totaalbeeld van de IT-uitgaven van de rijksoverheid blijkt te ontbreken. Een vaak genoemde inschatting is dat de rijksoverheid 5,6 miljard per jaar aan IT uitgeeft. Na enig speurwerk, contact met enkele experts en de Algemene Rekenkamer, blijkt het niet mogelijk te zijn om een accurate inschatting van de kostenbesparing te maken. Op de vraag wat de Denen hebben bespaard over de jaren heen kwam het antwoord: “Veel, alleen op licenties al 30 procent”. Hoewel we dit getal niet kunnen verifiëren, rijst wel de vraag: zouden we dat ook in Nederland kunnen? Gedeelde drijfveer Mogelijke kostenbesparingen lijken niet de grootste drijfveer voor het versnellen van de digitale transformatie van de Nederlandse overheid. Anders dan in Denemarken, waar een gebrek aan financiële middelen, in combinatie met een verouderd en niet efficiënt IT-landschap, juist de aanleiding vormde voor de digitale strategie in 2001. Wel is het de vraag of men, met het vooruitzicht van het financiële ‘ravijnjaar’ voor gemeenten (2026) en de mogelijke bezuinigingen van 17 miljard van het nieuwe kabinet, een mogelijke miljoenenbesparingen naast zich neer kan leggen. Onze verwachting is dan ook dat de urgentie voor de businesscase van meer samenwerking op IT snel terrein zal winnen, met als drijfveren de mogelijkheid de dienstverlening te verbeteren alsook besparingen te realiseren. Arjan Spruijt is werkzaam bij het ministerie van IenW, bestuurslid bij FUTUR en bestuurslid Jong ECP. Nitesh Bharosa is hoogleraar GovTech aan de Technische Universiteit Delft en academisch directeur Digicampus. iBestuur 51, juli 2024 37

DIGITALE WEERBAARHEID Toezicht op AI Hier zijn de bomen, dit is het bos De Tweede Kamer maakt zich zorgen of het toezicht op AI niet te ingewikkeld is georganiseerd, maar volgens de betrokken toezicht houders wijst het zich in de praktijk wel uit. TEKST: marjolein van trigt I zit misschien niet in álle producten, maar wel in alle producten met een digitale component, grappen ze graag binnen de Rijksdienst Digitale Infrastructuur (RDI). In 2019 besloot het voormalige Agentschap Telecom om van AI één van de drie strategische speerpunten te maken. “Er bestaat niet meer zoiets als de digitale economie,” zegt Angeline van Dijk, inspecteur-generaal van de RDI. “Je hebt alleen de economie en daarbinnen is digitalisering het belangrijkste randvoorwaardelijke proces om dingen te realiseren. Dat gegeven vraagt om meer politiek besef.” Of het nu gaat om de medische sector of de glastuinbouw, werknemers krijgen met AI te maken. A Toezicht per sector Hoe hou je toezicht op een technologie waarvan de ontwikkeling zo snel gaat? Vanwege het veelomvattende karakter van AI neigt Nederland, net als de meeste Europese lidstaten, ernaar om het toezicht op de naleving van de AI Act per sector te organiseren. 38 iBestuur 51, juli 2024 Toezicht op AI en algoritmes is er natuurlijk ook nu al. Zo is de Autoriteit Persoonsgegevens (AP) sinds 2023 de coördinerend algoritmetoezichthouder. Hiervoor is een apart organisatieonderdeel opgericht: de directie Coördinatie Algoritmes (DCA). Hiernaast is er sinds oktober 2021 het Samenwerkingsplatform Digitale Toezichthouders (SDT). In dit platform werken de Autoriteit Consument & Markt (ACM), de Autoriteit Financiële Markten (AFM), de Autoriteit Persoonsgegevens (AP) en het Commissariaat voor de Media (CvdM) samen bij het toezicht op digitale diensten (zie kaders op pagina 40-41). Ook is AI een thema binnen de Inspectieraad, het overlegorgaan van alle Rijksinspecties. Onlangs verscheen het advies over het toezicht op naleving van de AI Act. Het werd ”Laten we in hemelsnaam niet denken dat je met één alomvattende partij het toezicht op AI kunt invullen”

opgesteld door de AP en de RDI, in opdracht van de ministeries van EZK en BZK. Bij de totstandkoming ervan werkten 20 rijksinspecties, colleges en markttoezichthouders samen in de werkgroep AI. Die werkgroep valt onder de vlag van de Inspectieraad en wordt sinds 2020 voorgezeten door de RDI, die ook het voorzitterschap van de Europese werkgroep over dit onderwerp voor haar rekening neemt. Het duizelde de Tweede Kamer, toen demissionair staatssecretaris Alexandra van Huffelen in april van dit jaar uitleg moest geven over het toezicht op algoritmes. Zien we straks door de bomen het bos nog wel, vroeg CDA-kamerlid Harmen Krul zich af. Volgens Van Dijk hoeven ze zich geen zorgen te maken. “Laten we in hemelsnaam niet denken dat je met één alomvattende partij het toezicht op AI kunt invullen. Het is juist ongelofelijk belangrijk dat er overal kennis ontstaat van hoe AI werkt en wat de risico’s zijn. Daarom leggen we het toezicht dáár neer waar de kennis van de sector al zit.” Angeline van Dijk: “We leggen het toezicht dáár neer waar de kennis van de sector al zit.” BEELD: RIJKSOVERHEID En dus luidt het advies dat er zo veel mogelijk sectoraal wordt belegd. Een financiële instelling die AI gebruikt, stapt in eerste instantie naar de AFM of DNB. Een producent van medische toepassingen waarin AI verwerkt zit, zoekt contact met de Inspectie Gezondheid en Jeugd. De AP is de overkoepelende toezichthouder voor nieuwe AI met een hoog risico en verboden AI. Er komt dus geen nieuw loket bíj. Tegelijkertijd wordt er gewerkt aan de opbouw van overkoepelende kennis. De RDI stelt zich volgens Van Dijk op als een medecoördinator op inhoudsniveau, die de andere toezichthouders waar nodig kan bijstaan. “Anders dan de AVG en NIS2 is de AI Act productregelgeving. Een AI-toepassing mag de markt op als het aan een aantal voorwaarden voldoet. Daarin moeten sommige toezichthouders nog een beetje meegroeien. Daarnaast gaat het om risico-gebaseerd toezicht: bij grote risico’s ben je strenger dan bij kleine. Maar dat is voor alle toezichthouders bekend terrein.” iBestuur 51, juli 2024 39

DIGITALE WEERBAARHEID Pragmatische aanpak Over de samenwerking is Angeline Van Dijk erg te spreken. “Er zit niet zo veel verschil in de perceptie van hoe we het moeten doen.” Met nog een klein jaar te gaan voordat de lidstaten het toezicht definitief vastleggen, vinden er ook in de Europese werkgroep interessante discussies plaats. De posities van Nederland en Spanje liggen volgens de inspecteur-generaal het verst uit elkaar. Spanje kiest voor een centralistische aanpak, met één toezichthouder. “Het centralistische model is makkelijker uit te leggen, maar onze aanpak is pragmatischer, omdat de inrichting van het toezicht goed aansluit op de wensen van het bedrijfsleven,” zegt Van Dijk. “De andere lidstaten zijn overigens zeer geïnteresseerd in the Dutch way.” Ondernemingen krijgen de tijd om aan de nieuwe wetgeving te voldoen. “Wij zeggen altijd: als we een boete opleggen, dan hebben wij gefaald, maar de onder toezichtgestelden ook,” zegt Van Dijk. “De verordening stelt een minimumniveau op van wat betrouwbare AI is. Bedrijven die zich verantwoord gedragen zullen niet veel last hebben van de AI Act, maar bedrijven die er een zooitje van maken hebben direct een probleem. Hiermee zorgt de verordening voor een level playing field in Europa voor verantwoord ondernemen. En standaarden stimuleren het bedrijfsleven, dat zagen we eerder bijvoorbeeld bij 5G.” “Er komt een enorme taak op ons af” Martijn Snoep, bestuursvoorzitter Autoriteit Consument en Markt (ACM) “Het toezicht op ondernemingen blijft altijd een samenwerking van veel verschillende soorten toezichthouders. Iedere organisatie neigt immers naar een soort bestuurlijk tribalisme. De taak van de top is om dat te bestrijden. Het is van belang dat er op verschillende niveaus wordt samengewerkt en dat er zeker in de topstructuur een informele verstandhouding ontstaat, waarin men elkaar kan bellen zodra er ergens een gevoel van wrijving ontstaat.” “We realiseren ons dat het toezicht op het pakket aan Europese digitale wetgeving, waaronder AI, voor de buitenwacht verwarrend kan zijn. Dit was de reden om in 2021 het Samenwerkingsplatform DigiMartijn Snoep: "We realiseren ons dat het toezicht op het pakket aan Europese digitale wetgeving voor de buitenwacht verwarrend kan zijn." tale Toezichthouders (SDT) op te richten. Daarin werken we op deelterreinen samen, om overlap of gaten in het toezicht op AI te voorkomen en om van elkaar te leren. Onder het SDT hangen kamers, waarin toezichthouders bij elkaar komen die direct betrokken zijn bij een onderwerp. Tot nu toe zijn we het ontzettend met elkaar eens over wat er moet gebeuren. Natuurlijk kunnen er in de toekomst tegenstrijdigheden ontstaan, bijvoorbeeld tussen het bevorderen van innovatie en concurrentie en het bewaken van privacy en de cyberveiligheid, maar tot nu toe komen we er altijd wel uit. AI is voor iedereen nieuw. Er komt een enorme taak op ons af. Iedereen is zich volledig bewust van het feit dat je dit niet alleen kan.” De RDI ontving onlangs een uitnodiging om aan te sluiten bij het SDT. Angeline van Dijk is binnen de Inspectieraad dossierhouder voor dit onderwerp en laat weten: “Ik ga graag in op de uitnodiging om te verkennen hoe de netwerksamenwerking rond het thema digitalisering en de governance van het toezicht daarop verder vorm kan krijgen.” 40 iBestuur 51, juli 2024

Aleid Wolfsen: “Ik denk dat het toezicht op AI snel duidelijk is als het operationeel wordt” “We vinden elkaar vrij gemakkelijk” Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens (AP) “AI is een vorm van automatisering en het toezicht erop moet zo veel mogelijk aansluiten bij bestaande mandaten. In hoofdlijnen komt ons gezamenlijk advies daarop neer. Alleen als het gaat om verboden AI, of AI met een hoog risico die nog niet onder het bestaand producttoezicht valt, komt de kern van het werk bij de AP te liggen, met uitzondering van AI voor de financiële sector en de kritieke infrastructuur. En samen met de RDI zijn wij de coördinerende toezichthouders. Ik denk dat het toezicht op AI snel duidelijk is als het operationeel wordt. In beginsel houd je contact met je eigen toezichthouder en als je niet weet waar je moet zijn, kun je altijd terecht bij de RDI of de AP. In de al bestaande overlegstructuren merken we het vrij snel als mensen toch verdwalen. Doordat de ACM een paar jaar geleden het initiatief heeft genomen om het SDT op te richten, staan alle partijen al met elkaar in verbinding en is er straks sprake van een uniforme normuitleg. Wij zijn voorzitter en coördinator van de AI-kamer van het SDT.” “Er zijn veel sessies al geweest met alle toezichthouders. We vinden elkaar gemakkelijk. Dat is heel plezierig. We hopen dat de buitenwereld daar straks ook plezier van heeft. Waar een verdedigbare balans moet worden gezocht tussen innovatie en de bescherming van grondrechten, zal dat onmiddellijk worden geagendeerd in de AI-Kamer, waar ook het College voor de Rechten van de Mens aan deelneemt. Samen kunnen we eerlijke weging maken en goede voorlichting geven aan de buitenwereld.” “Bij de introductie van de AVG hebben we met VNO-NCW een roadshow door Nederland georganiseerd om bedrijven actief uitleg te geven. Misschien is dat voor de AI Act ook een goed idee.” iBestuur 51, juli 2024 41

Blueriq voor de overheid Word jij ook blij als je écht persoonlijk geholpen wordt? Dienstverlening die snel en adequaat is, met menselijke maat. Met een dynamisch zaaksysteem maken we dit mogelijk. We zorgen dat je kunt aansluiten op de persoonlijke situatie van elke klant, zonder in te leveren op efficiëntie, veiligheid en compliance. En maken het mogelijk om je zaaksysteem snel en eenvoudig te updaten als dat nodig is door nieuwe wetten of regels. Zo heb jij meer tijd om te doen waar het echt om gaat: je klanten écht helpen. Benieuwd naar de mogelijkheden van een dynamisch zaaksysteem? Bekijk onze website of neem contact op met één van onze experts. www.blueriq.com/overheid Trots op onze samenwerking met o.a.: Make it personal

COLUMN Stille ramp Ethiek moet niet worden ingezet om iets te voorkomen, maar juist om iets te bewerkstelligen Er is binnen de overheid heel veel aandacht voor algoritmes, en dat gaat hand in hand met de hype rondom generatieve AI. Er wordt mee geëxperimenteerd: ‘Hoe zou het zijn als we hier een algoritme voor inzetten?’ Twinkelende ogen. Dat geëxperimenteer kun je nu niet meer doen zonder ‘iets’ aan ethiek te doen (of daarover te jabberwockyën), dat besef lijkt wel doorgedrongen. Dus het moet wel ‘verantwoord’. De IAMA staat goed op de kaart, wat op zich een goede start is voor het bredere bewustzijn van het mogelijke effect bij de inzet van algoritmes en aandacht daarvoor in de ontwikkeling. Laatst werd ik op een symposium aangekondigd als AI-ethicus. Dat heb ik plenair meteen rechtgezet. Die definitie is mij veel te beperkt. Maar angstaanjagend vind ik hem ook wel. AI-ethiek is voor mij hooguit onderdeel van data-ethiek. Ik hanteer nog altijd de definitie van data-ethiek die Floridi in 2016 neerlegde. Hij maakte heel zorgvuldig onderscheid tussen de ethiek van data (-verzameling, -gebruik, -deling en -verwerking), de ethiek van algoritmes en modellen (toepassing) en de professionele gebruiken die bij de omgang met data horen. De reflectie op data is het uitgangspunt, daarna volgt de toepassing. De focus op de ethiek van algoritmes en modellen gaat vaak gepaard met iets dat ik het ‘technisch perspectief’ op data-ethiek ben gaan noemen. In het ontwerpproces is men zich dan bewust van het gevaar dat er ongewenste vraagstukken in het ontwerp sluipen, denk aan biases in het algoritme of de schending van mensenrechten. Ethiek betekent dan dus het elimineren van fouten of het voorkomen van ellende, veelal via een technische insteek (tool of assessment). Eigenlijk concentreert die ethiek zich rondom het ‘No Harm-principle’. Niet mijn insteek; ethiek moet niet worden ingezet om iets te voorkomen, maar juist om iets te bewerkstelligen. Het gaat er om ergens naartoe te bewegen, in plaats van ergens vanaf. Mijn zorg is dat er een stille ramp aan het ontstaan is door deze focus. De fundamenten, de data, zijn vaak niet goed (kwaliteit) of niet op orde (management en architectuur). ‘Data is dood’, hoor ik Wouter van Aerle geregeld zeggen (en zijn post daarover op LinkedIn ging viral). Er is te weinig aandacht voor data als fundament en de reflectie daarop. Dus de focus op ‘fantastische oplossingen’ op ‘verantwoorde wijze’, is vragen om problemen. Kwestie van tijd. AI gaat dit probleem niet oplossen. AIethiek ook niet. piek knijff Data-ethicus bij Filosofie in actie iBestuur 51, juli 2024 43

DATA EN AI Bij fraude- en criminaliteitsbestrijding zwaait de pendule regelmatig tussen hardheid en mildheid. Met de Toeslagenaffaire is de roep om de menselijke maat en de aandacht voor gegevensbescherming sterker geworden. Ondertussen pleiten burgemeesters voor ruimere bevoegdheden bij de aanpak van drugs- en andere ondermijnende criminaliteit. TEKST: peter olsthoorn • BEELD: wingless De botsing tussen criminaliteitsbestrijding H 44 iBestuur 51, juli 2024 et woord ‘algoritme’ heeft een onheilspellende klank, hoewel het veelal gewoon selectiecriteria in fraudebestrijding met behulp van data omvat: mensen bepalen die, brengen die in de computer in, die vervolgens uit databestanden verdenkingen selecteert. Dan controleren – als het goed is – mensen de uitkomsten. Media leggen na het Toeslagenschandaal veel nadruk op privacyschendingen die zouden optreden in de opsporing. Zo kreeg de Dienst Uitvoering Onderwijs (DUO) flink wat negatieve publiciteit vanwege etnisch profileren bij fraudebestrijding. Van de bijna 10.000 studenten die DUO vanaf 2012 verdacht van fraude, had een onevenredig groot deel een migratieachtergrond. Minister Dijkgraaf moest door het stof. Echter, de schuld was ‘indirect’, namelijk de toepassing van het criterium ‘officieel uit huis wonend, maar dicht bij de ouders’. Studenten met een migratieachtergrond wonen relatief vaker dicht bij hun ouders. Dus kregen ze meer controle. Rechters van vlees en bloed steunen de onmenselijke gevolgen van de uitvoering van fraudewetten die de Tweede Kamer in 2006 en 2013 had aangenomen. Echter, fraudebestrijders worden door politiek verantwoordelijken geacht om stil hun veroordeling te ondergaan. Zorgvuldige omgang met persoonsgegevens We kennen een rijke geschiedenis van ontduiking van belastingheffing versus fraudebestrijding. Zo kwamen rond het jaar 28 de Friezen al in opstand tegen Romeinse belastinginners die akkers innamen en vrouwen en kinderen tot slaaf maakten om betalingen af te dwingen. Dit kostte 900 Romeinen het leven, vaak opgehangen aan bomen. Dat doen we gelukkig niet meer, maar de spanning tussen grondrechten als ‘veiligheid’ en ‘privacy’ blijft actueel. De ‘Bulgarenfraude’ in 2013 was aanleiding voor een harde fraudeaanpak, vandaag de dag wordt mildheid bepleit. In 2020 is het intensief toezicht stilgezet vanwege onvoldoende waarborgen en zorgvuldigheid in de omgang met persoonsgegevens. Maar de FIOD stuitte onlangs weer op een nieuwe georganiseerde fraude

en privacy met toeslagen waarbij persoonsgegevens van 2.000 Bulgaren zijn gebruikt voor registraties op een Nederlands adres en het aanvragen van burgerservicenummers. De Belastingdienst houdt zich op de vlakte: “Het stilleggen van het intensief toezicht brengt risico’s met zich mee, want de Dienst Toeslagen kan minder goed reageren op signalen van mogelijk misbruik of oneigenlijk gebruik; met name als gevolg van juridische beperkingen bij het delen van persoonsgegevens en het onderzoeken daarvan.” Het is zoeken naar evenwicht: “Belastingbetalers moeten erop kunnen vertrouwen dat met handhaving ook wordt tegengegaan dat toeslagen worden uitgekeerd aan burgers die daar geen recht op hebben; en adequaat en zorgvuldig optreden bij opzettelijk misbruik.” Angst voor toezichthouder Peter de Kock, professor Data science in Crime & Safety in Tilburg en oprichter van Pandora Intelligence dat AI-systemen voor opsporing maakt, vraagt ook begrip voor de ‘menselijke maat’: “We discrimineren aan de lopende band op grond van ons vooroordeel. Die ‘bias’ is nauwelijks te detecteren, laat staan eruit te krijgen. Vooroordelen in data en algoritmes zijn eenvoudiger te detecteren dan bij een mens. Vervolgens is het in elk geval veel makkelijker om die ‘bias’ eruit te filteren.” Hij vindt het wantrouwen tegenover AI - -toepassingen te ver gaan, maar ook de handhaving op basis van de AVG: “Een goede toezichthouder is intelligent, gaat het debat aan en is meelevend. De Autoriteit Persoonsgegevens (AP) zou beter moet duiden wat verschillende data-tendensen betekenen voor mensen en welke risico’s ze wel en niet » “We willen geen gezag vanuit angst en onkunde” Peter de Kock, hoogleraar iBestuur 51, juli 2024 45

DATA EN AI » opleveren. We willen geen gezag vanuit angst en onkunde. Onkunde bij de AP vind ik in principe geen bezwaar, maar het feit dat deze omslaat in angst en vergaande waarschuwingen en achtervolgingen van mogelijk AVG overtredende bedrijven, vind ik kwalijk.” Dat zegt De Kock in een boek met kritische vraaggesprekken over de AVG van juridisch bureau en uitgever Privacy Management Partners (PMP), dat deze maand uitkomt bij een expertbijeenkomst met iBestuur. In dit boek is Jolanda van Boven, als jurist werkzaam voor CoMensha, bestrijder van mensenhandel, het felst op de interpretatie en uitvoering van de AVG: “Er is een geur omheen ontstaan van ontzettende strengheid, bevestigd door de houding van de toezichthouder die hoge boetes kan opleggen. Professionals en gemeenten delen geen informatie, omdat de AVG het zou verbieden, terwijl bewustwording en gezamenlijke bestrijding louter staan of vallen met het delen van gegevens en kennis.” aanpak van drugs- en andere ondermijnende criminaliteit. De Rotterdamse burgemeester Abutaleb sprak tot de gemeenteraad: “We hebben politieke steun nodig om de privacywet te wijzigen. Met als doel dat degene die beschermd moet worden door de wet, absoluut beschermd wordt, en dat degene die we moeten oppakken, opgepakt wordt.” Op 14 mei jl. stuurden Sharon Dijksma, Femke Halsema en Jan van Zanen, burgemeesters van respectievelijk Utrecht, Amsterdam en Den Haag, namens de Riec, VNG, veiligheidsoverleggen en het OM een brief aan de Eerste Kamer: 'Het kunnen delen van informatie is essentieel, omdat wij gezamenlijk voor een grote uitdaging staan in de aanpak van georganiseerde ondermijnende criminaliteit. Met de WGS wordt eindelijk een stevige juridische basis gelegd om informatie te kunnen delen met partners in diverse samenwerkingsverbanden.' “Met de WGS wordt een stevige juridische basis gelegd om informatie te kunnen delen met partners in diverse samenwerkingsverbanden” VNG, politie, regioburgemeesters, veiligheidsoverleggen en het Openbaar Ministerie Deze angst wordt ook aangewakkerd door de media die de ‘privacyschandalen’ maar al te graag publiceren, denken de hoogleraren. Noodkreten van burgemeesters De gespannen relatie tussen privacybeschermers en opsporing in brede zin, etaleert zich momenteel het meest in de Wet Gegevensbescherming Samenwerkingsverbanden (WGS) die de Eerste Kamer op 11 juni jl. behandelde. De AP is mordicus tegen het huidige wetsvoorstel, dat in de Tweede Kamer een ruime meerderheid haalde. Burgemeesters pleitten in het nieuws regelmatig voor ruimere bevoegdheden bij de 46 iBestuur 51, juli 2024 Burgemeester Theo Weterings van Tilburg eist namens de politie-eenheid Zeeland-West-Brabant meer middelen tegen drugscriminaliteit. Volgens de woordvoerster gaat het ook om ruimere voorwaarden om persoonsgegevens te delen. Tilburg onderschrijft van harte het pleidooi van Strategisch Beraad Ondermijning: ‘Het SBO slaakt een noodkreet: de huidige situatie is onwerkbaar. Waardevolle privacywaarborgen mogen geen onevenredig remmend effect hebben op criminaliteitsbestrijding. Forceer een doorbraak: bij ernstige vormen van criminaliteit moeten we het maatschappelijk belang van veiligheid ook zwaar kunnen wegen.’

Voorzichtigheid Ard van der Tuuk (PvdA), burgemeester van de Groningse gemeente Westerkwartier en lid van de VNG-Commissie Bestuur en Veiligheid, bevestigt het spanningsveld tussen opsporing en privacy: “Ik ervaar een grote voorzichtigheid in gesprekken met politie en hulpverleningsinstanties die de identificeerbaarheid van personen willen vermijden. Dan raden ze soms om wie het gaat en spreken ze enkel de voornaam uit. Mijn medewerkers vinden dat onwenselijk, want die willen problemen concreet oplossen.” Dit speelt in misdaadbestrijding zoals ondermijning, vaak drugsteelt en handel, maar net zozeer in de hulpverlening, soms in combinatie met het traceren van jongeren die op het verkeerde pad (dreigen te) belanden. “Veelal heb je dan van doen met de GGZ, maar die trekt zich zelfs terug uit overlegstructuren uit angst voor privacyschending. Zodra we met de bekende problemen met een verwarde persoon te maken hebben, stuiten we op een muur met onze pogingen om noodzakelijke persoonsgegevens te krijgen.” Dit staat het oplossen van problemen in de weg. En, zegt Van der Tuuk, die angst en alle voorzorg vergen veel tijd, nog los van de inhoudelijke kwesties. Convenanten en protocollen werken wel, maar het zijn in feite lapmiddelen. “Ik hoop dat de WGS daarin een oplossing biedt, want het is wel een ernstig probleem. Onder die wet kunnen gemeenten en instanties structureel hun werk beter uitvoeren, zoals nu vaak alleen in urgente kwesties mogelijk is. Als het acuut is, als de nood aan de man is, dan kunnen samenwerking en uitwisseling ineens wel. Dan moet je snel voorkomen dat er slachtoffers vallen…” “Als het acuut is, als de nood aan de man is, dan kunnen samenwerking en uitwisseling ineens wel” Ard van der Tuuk, burgemeester iBestuur 51, juli 2024 47

KENNISPARTNER SAS AI als betrouwbaar instrument Bij SAS merken we dat onze klanten enthousiast zijn over het potentieel van AI, maar tegelijkertijd terughoudend zijn in het gebruik ervan. Er worden terecht vragen gesteld over het verantwoord en ethisch gebruik van AI. Wij ontwikkelden een Trustworthy AI Life Cycle workflow, die de aanbevelingen van het Amerikaanse National Institute of Standards and Technology (NIST) makkelijker toepasbaar maakt voor organisaties. oor de opkomst van Generatieve AI is de belangstelling voor en de inzet van AI exponentieel gegroeid. Zo stond AI centraal tijdens het Gartner Data & Analytics Summit afgelopen mei in Londen. Tijdens het summit werden ook onderwerpen aangehaald als betrouwbaarheid (van modellen en data), ethiek, bedrijfsrisico’s, AI model-governance en de impact op de bedrijfsvoering. Dit is niet verrassend gezien de turbulentie en complexiteit van het AI-landschap. In een betrouwbaar AI-landschap zijn de volgende gebieden van belang: • Overview: AI governance, strategie en inzet. •Operatie: standaard operationele procedures, ondersteunende infrastructuur. • Compliance: performance en risicomanagement. • Cultuur: ethische systemen, normen en toepassingen. Vertaald naar de technologie raakt dit aan bijvoorbeeld datamanagement, risico en detectie van bias, mitigatie van risico’s, privacy en security. Betrouwbare en verantwoorde inzet Overheidsorganisaties staan onder toenemende druk als het gaat om het D verantwoord en ethisch gebruik van AI-modellen. Aan de ene kant vanwege vervelende fouten uit het verleden, waarbij onbetrouwbare data, niet-transparante modellen en willekeur in uitleg van de resultaten het vertrouwen in de overheid aanzienlijk hebben aangetast. Aan de andere kant door nieuwe regels, voorschriften en wetgeving. Zo heeft het Europees Parlement in maart ingestemd met de Artificial Intelligence Act, die binnen twee jaar volledig operationeel moet zijn. Deze wet reguleert de ontwikkeling en het gebruik van AI, met als doel de burger te beschermen tegen de risico’s van het gebruik van AI-systemen. Dit omvat het opstellen van richtlijnen voor de transparantie van modellen en gebruikte data. Bovendien stimuleert de wet innovatie en het gebruik van AI. AI en innovatie Het stimuleren van innovatie is belangrijk, maar bij regulering en innovatie moet altijd de balans worden gezocht tussen verantwoord gebruik en vooruitgang. De invoering van de AI Act weerspiegelt niet alleen de voortdurende evolutie van technologie, maar ook de groeiende bewustwording van de noodzaak om menselijke waarden en ethiek te integreren in onze digitale ontwikkeling. Het is daarom belangrijk om, liefst geautomatiseerd, inzicht te krijgen in model indicatoren zoals nauwkeurigheid, eerlijkheid en model drift, dat aangeeft hoe de prestaties van het model afnemen naarmate de omstandigheden veranderen. De indicatoren moeten details bevatten over de governance, zoals wanneer het model voor het laatst Het is belangrijk om, liefst geautomatiseerd, inzicht te krijgen in modelindicatoren zoals nauwkeurigheid, eerlijkheid en model drift 48 iBestuur 51, juli 2024

t in overheidsorganisaties work geïntroduceerd. Dit is een waardevol hulpmiddel geworden voor organisaties om betrouwbare en verantwoorde AI te ontwikkelen en te beheren zolang er nog geen officiële regelgeving bestaat. SAS heeft een Trustworthy AI Life Cycle workflow ontwikkeld, die de aanbevelingen van het NIST makkelijker toepasbaar maakt voor organisaties door: • individuele rollen en verwachtingen te definiëren. • benodigde documentatie te verzamelen. • factoren te benoemen waar rekening mee moet worden gehouden. • automatisering in te zetten om adoptie te vergemakkelijken. Met de workflow kunnen organisaties hun afwegingen over de impact van AI-systemen op mensen vastleggen, en garanderen dat het model eerlijk is en hun processen geen schade veroorzaken. is gewijzigd, wie eraan heeft bijgedragen en wie verantwoordelijk is voor het model. Dit helpt organisaties om direct te reageren op afwijkende modelprestaties. Het beoogde gebruik blijft in beeld en toepassingen die buiten de scope vallen, of eventuele beperkingen, worden vroegtijdig geïdentificeerd. Deze elementen zijn cruciaal voor het realiseren van transparantie en het uitvoeren van model audits, wat hoogstwaarschijnlijk ook een vereiste wordt voor gereguleerde bedrijfsactiviteiten. Trustworthy AI Life Cycle workflow In 2023 heeft het Amerikaanse National Institute of Standards and Technology (NIST) een AI Risk Management Frame Meer lezen van SAS, scan de QR-code: iBestuur 51, juli 2024 49

KENNISPARTNER TOPDESK Met clouddiensten, datagericht werken en nieuwe ontwikkelingen als generatieve AI groeit de vraag bij lokale overheden naar diensten bij marktpartijen, zoals softwareleveranciers. De relatie tussen markt en overheid is dan ook sterk aan het veranderen, signaleert Ozan Altuntas, Business Unit Director bij TOPdesk. an oudsher vertrouwden overheden vooral op hun interne systemen en processen om hun dienstverlening te beheren. Veel hulp en expertise werd er niet gevraagd van externe partners. De steeds complexer wordende samenleving, met burgers die meer eisen stellen, maar ook de behoeften van interne medewerkers, vragen om meer flexibiliteit. Er wordt meer transparantie gevraagd en ook meer samenwerking tussen verschillende overheidsinstellingen en -lagen. Daarbij is de rol van de markt veranderd, stelt Altuntas. “Je kunt de markt meer inzetten om die samenwerking met andere gemeenten en overheidsinstellingen vorm te geven. De markt kan een verbindende rol spelen, zij zitten al bij verschillende overheidsinstellingen. Zij kunnen die samenwerking alleen maar verder helpen.” Nieuwe relatie Daarvoor moet de huidige relatie tussen markt en overheid wel veranderen, gaat Altuntas verder. “Wat je momenteel ziet, is dat beide specifieke rollen en verantwoordelijkheden hebben: de overheid is verantwoordelijk voor het welzijn van de samenleving, de markt neigt iets meer richting groei versus de overheid V Markt en overheid: samen werken aan een betere dienstverlening die vooral wat kleiner probeert te blijven. Er bestaan verkeerde beelden van elkaar, waardoor de synergie niet altijd makkelijk is. Maar ook marktpartijen zijn op de achtergrond natuurlijk verantwoordelijk voor het welzijn van de samenleving. Hier horen we elkaar dan ook te vinden.” De coronatijd heeft de overheid onder druk gezet, ziet Altuntas. De overheid moest leren snel te schakelen tijdens de pandemie. Door samen te werken met de markt wordt het mogelijk om tot een flexibeler ICT-landschap te komen dat sneller kan inspelen op maatschappelijke opgaven en beter de regie op gegevens faciliteert. “Sinds corona zoeken markt en overheid elkaar veel meer op. Er is echt een andere dynamiek aan het ontstaan, onder meer door organisaties zoals de Vereniging Nederlandse Gemeenten (VNG), iBestuur en NLdigital. Uiteraard ook vanuit TOPdesk. De synergie tussen markt en overheid is echt verbeterd en hier ben ik wel blij mee.” Gezamenlijk strijdplan Altuntas ziet dan ook kansen voor groei en verbetering in de nieuwe relatie, bijvoorbeeld als het gaat om innovatie. “Door meer samen te werken kun je binnen de overheid en de markt innovatie stimuleren, wat weer zorgt voor een meer efficiënte dienstverlening. Je verbetert de kwaliteit van je dienstverlening, omdat je dankzij de nauwe samenwerking met de markt niet meer vastgeroest zit in oude methodes en mee kan gaan met de tijd. Dat kan uiteindelijk 50 iBestuur 51, juli 2024

Ozan Altuntas: “Wij willen bruggen bouwen tussen markt en overheid. Er moet over en weer meer kruisbestuiving ontstaan van kennis en best practices.” ook weer leiden tot lagere kosten. Daarnaast zijn processen bij overheden vaak vergelijkbaar, de markt kan helpen om het wiel niet telkens opnieuw uit te vinden.” Hiervoor moet de samenwerking een vaste vorm krijgen. “Uiteindelijk wil je als markt en overheid een gezamenlijk strijdplan hebben. Je steekt de koppen bij elkaar om te bepalen wat nodig is om die samenwerking te bevorderen en een unieke dynamiek te creëren die leidt tot betere dienstverlening richting medewerkers, burgers en ondernemers. Uiteindelijk leidt dat weer tot een beter welzijn van de samenleving.” “Er bestaan verkeerde beelden van elkaar, waardoor synergie niet altijd makkelijk is” Kruisbestuiving TOPdesk heeft als missie om de komende jaren een bijdrage te leveren aan een betere dienstverlening voor lokale overheidsinstellingen en hoopt hiermee de samenwerking te bevorderen. Het bedrijf werkt al samen met meer dan 300 lokale overheidsinstellingen, van gemeenten en veiligheidsregio's tot provincies en waterschappen. Dit is ongeveer 78 procent van alle overheidsinstellingen. Hiermee is TOPdesk al 25 jaar marktleider binnen het overheidssegment. Altuntas: “Wij willen bruggen bouwen tussen de markt en de overheid. Er moet over en weer meer kruisbestuiving ontstaan van kennis en best practices.” TOPdesk werkt daarom nauw samen met partners zoals NLdigital, VNG en iBestuur. “Die zorgen ervoor dat de wederzijdse kennisdeling vorm krijgt. Deze partners delen hun toekomstvisie met ons en wij proberen daar een bijdrage aan te leveren. Laten we samen de kruisbestuiving bevorderen! Daarvoor moeten we vanuit de markt en de overheid elkaar wel de nodige ruimte geven. De onderlinge relatie is heel belangrijk, je moet elkaar iets gunnen zonder dat er oneerlijke concurrentie ontstaat. Liefst zou ik de term ’leveranciers’ achterwege willen laten, we zijn partners.”  Eens sparren met Ozan Altuntas? Mail naar o.altuntas@topdesk.nl.  Lees meer van TOPdesk: iBestuur 51, juli 2024 51 BEELD: JOZEF MICIC

KENNISPARTNER SALESFORCE Veiligheid en vertrouwen cruciaal in het uitdagende maar beloftevolle AI-landschap AI is in opmars en biedt bedrijven tal van kansen om sneller en productiever te werken en sterkere relaties met hun klanten te bouwen. Tegelijkertijd brengt het ook een hoop vragen en zorgen met zich mee. Organisaties zullen een grote verantwoordelijkheid moeten nemen en deze veelbelovende technologie met zorgvuldigheid moeten verkennen en inzetten. ecent onderzoek in opdracht van Salesforce laat zien dat ruim de helft van de Nederlanders niet goed op de hoogte is van de wet- en regelgeving rond AI. Over het gebruik van AI is nog veel discussie gaande en de onwetendheid van gebruikers vormt soms een risico. De output van AI is tenslotte gegenereerd op basis van data en ingevoerde kennis – geen menselijk gevoel of inzicht. Juist dit benadrukt de behoefte aan een aanpak waarbij ethiek, veiligheid en menselijke controle voorop staan. R Waarom menselijke controle bij het gebruik van AI cruciaal is Het behouden van menselijke controle bij AI-ontwikkeling en -gebruik is essentieel. Mensen kunnen ethische afwegingen maken en morele beslissingen nemen, iets wat AI (nog) niet kan. Dit zorgt ervoor dat beslissingen of acties genomen op basis van AI-toepassingen, voldoen aan onze normen en waarden. De menselijke touch is vooral in organisaties zoals in de publieke sector, van zeer groot belang om op de juiste, meest ethische wijze om te kunnen gaan met AI als hulpsysteem. AI zou eerlijk, transparant, privacybewust en verantwoordelijk moeten worden ontworpen en gebruikt, zodat wordt gewaarborgd dat het bijdraagt aan het welzijn van individuen en gemeenschappen, zonder ongewenste negatieve gevolgen. AI als hulpmiddel voor de publieke sector AI speelt op dit moment al een belangrijke rol in de publieke sector door de dienstverlening en efficiëntie van processen te verbeteren. AI kan bijvoorbeeld grote hoeveelheden data analyseren om trends te identificeren die belangrijk zijn voor stadsplanning, zoals verkeersstromen, woningbehoeften of afvalbeheer. Ook kan AI routinetaken binnen burgerzaken automatiseren, zoals het verwerken van vergunningsaanvragen of administratieve procedures. Bij alle processen is menselijke (eind) controle onmisbaar, omdat er met gevoelige informatie wordt gewerkt. Alleen dan kan AI worden ingezet als effectief hulpmiddel voor menselijke vooruitgang en welzijn binnen de taken van de publieke sector. Salesforce’s Einstein Trust Layer ayer rSalesforce's Einstein Trust Layer is ontworpen om vertrouwen op te bouwen in AI-technologieën door een framework dat ethische en menselijke overwegingen centraal stelt. Dit framework is bedoeld om AI-systemen te begeleiden naar een mensen-centrische benadering, waarbij de focus ligt op het verbeteren van menselijke besluitvorming en het waarborgen van ethische en veilige implementaties van AI. Het is een veilige AI-architectuur, volledig geïntegreerd in het Salesforce-platform met optimale toepassing, voor gestroomlijnde privacy- en databescherming. van egreerd voor 52 iBestuur 51, juli 2024

Paula Goldman (Salesforce): “De komst van GenAI heeft zorgen rondom AI in korte tijd flink vergroot.” van AI-toepassingen, waarbij de menselijke touch en ethische, menselijke overwegingen centraal worden gesteld. Door een toepassing zoals Einstein Trust Layer in te zetten, wordt een sterke basis gelegd voor verantwoord en veilig AI-gebruik. AI kan zo worden gebruikt waar het voor bedoeld is: als ondersteunend en optimaliserend, slim hulpmiddel. Conclusie Veiligheid voorop Bescherming tegen misbruik en manipulatie van data vormt een belangrijke basis voor het veilig gebruik van AI. Dit betekent dat er sterke beveiligingsmaatregelen nodig zijn zoals data-encryptie, authenticatie en toegangscontrole, om integriteit en vertrouwelijkheid te waarborgen. Dit vergt menselijk inzicht, menselijke eindcontrole en duidelijke protocollen om de veiligheid van AI-toepassingen te waarborgen zodat AI processen en werkwijzen kan versterken. Bezorgdheid over AI groeit – zorg voor een sterke basis AI biedt organisaties dus de kans om efficiënter te werken en taken nauwkeuriger uit te voeren. Toch ontbreekt er nog vaak een duidelijk kader voor verantwoord gebruik, wat leidt tot zorgen over misbruik en onbedoelde effecten. Paula Goldman, Chief Ethical and Human Use Officer bij Salesforce, zegt: "Zorgen over AI zijn niet nieuw, maar met de opkomst van generatieve AI zijn ze snel gegroeid." Ze benadrukt het belang van een mensgerichte benadering bij AI-ontwikkeling en -gebruik, waarbij ethiek en menselijke controle centraal staan. Hiertoe moeten duidelijke kaders worden gesteld met ondersteuning van toepassingen die daarbij helpen. Salesforce Einstein Trust Layer is speciaal ontworpen om gebruikers te helpen bij verantwoord gebruik De opkomst van AI biedt kansen, maar roept ook belangrijke vragen op over ethiek, veiligheid en menselijke (eind) controle. Een verantwoorde aanpak van AI is daarom essentieel om zowel de voordelen ervan te benutten en tegelijkertijd de risico's te minimaliseren. Samenwerking tussen bedrijven, overheden en andere belanghebbenden is nodig om standaarden en wetgeving te ontwikkelen die zorgen voor veilig en ethisch gebruik van AI. Toepassingen die AI-gebruikers ondersteunen, zoals Salesforce Einstein Trust Layer, bieden een basis voor verantwoord en veilig gebruik en het opzetten van processen, waarin AI slimme inzichten kan geven en productiviteit en efficiëntie kan verhogen. lees meer  Bent u klaar om veilig met AI te werken? Lees meer over Salesforce en haar toepassingen. iBestuur 51, juli 2024 53 BEELD: SALESFORCE

DIGITALE TOEKOMST EU Hoe soeverein Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties laat deze maanden een strategische verkenning uitvoeren naar digitale soevereiniteit. Inzet is dat het rijk ‘volledige zeggenschap krijgt en behoudt over haar digitale gegevens, algoritmes, systemen en netwerken, ter ondersteuning van onze democratie, veiligheid en strategische autonomie’. Hoe soeverein kunnen we zijn en wat is dat ons waard? iBestuur vroeg het aan experts. Wat is soevereiniteit ons waard? Soeverein is een duur woord, en het klinkt lekker. Iedereen zou het graag willen zijn, maar zoiets komt met kosten en ongemak. Het is daarom nuttig het begrip op te splitsen om te kijken wat we echt bedoelen, en wat het ons waard is. ertrouwelijkheid is vaak het eerste wat in ons opkomt. Wie kan er allemaal meelezen met onze communicatie en bestanden? En gaan ze dat verkopen? Of aan hun AI voeren? De Eerste en Tweede Kamer hebben recent besloten dat het geen probleem is dat hun gegevens inzichtelijk zijn voor Microsoft en de Amerikaanse overheid. Het Rijkscloudbeleid eist dat er voor zo’n besluit een zorgvuldige risicoanalyse gemaakt moet worden. Helaas vallen veel stukken van de overheid niet onder dit beleid. Daarom is zo’n risicoafweging niet (publiek) beschikbaar voor het parlement. Het zou wel leuk zijn om die te lezen. Of daar staat in ‘we vinden het niet erg 54 iBestuur 51, juli 2024 V dat Amerikanen toegang hebben’, of er staat ‘we denken dat ze het wel kunnen, maar het niet doen’. Beide zouden er op papier nogal vreemd uitzien, dus ik ben benieuwd.Overigens is vertrouwelijkheid spannender voor een parlement dan voor een groenteboer, dus lang niet voor iedereen is dit praktisch gezien het belangrijkste aspect van soevereiniteit. Wendbaarheid Een ander aspect is wendbaarheid; kan ik mijn eigen keuzes nog maken? Als je een laadpaalinfrastructuur geheel betrekt van een groot bedrijf in een land ver weg, dan moet je praten als brugman om ze daar rekening te laten houden met je lokale behoeftes. Als je dynamisch wilt beprijzen, afhankelijk van locatie, zal er maatwerk moeten komen. Maar als je afhankelijk bent, en ook duidelijk is dat je geen kant op kan, dan is de kans klein dat er naar je geluisterd wordt. Als je je eigen industrie had gehad, was je daar een veel belangrijkere gesprekspartner, want je bent een grote en nabije markt voor ze. En die hebben dan vermoedelijk ook meer zin om samen met jou te innoveren. Weerbaarheid Een derde factor is of je je spullen nog zelf kunt repareren als ze stuk zijn, bijvoorbeeld als er paniek, chaos of oorlog is in de wereld. Hoe weerbaar ben je nog? Recent werd de grootste telefoonmaatschappij van Oekraïne geheel kapot gehackt door de Russen. Twee dagen later was Kyivstar weer in de lucht. Het bedrijf wist samen met de overheid en de lokale computerbeveiligingsindustrie de vernietigde infrastructuur te Als je totaal afhankelijk bent is de kans klein dat er naar je geluisterd wordt herstellen. Als dit in Nederland gebeurt moeten we een ticket openen bij onze support partners, die vanuit Azië werken, met de vraag of ze eens kunnen kijken wat er aan de hand is. Als we onze partner tenminste nog kunnen

willen we zijn? Zijn we het bedrijfsleven vergeten? Strategische autonomie staat prominent op de politieke agenda, van energie tot grondstoffen en de beschikbaarheid van microchips. Ook op digitaal vlak is het een thema, met wetgeving en investeringen. Maar in de hele discussie lijkt het bedrijfsleven de grote afwezige. bereiken, want misschien is die verbinding ook wel stuk. En wie weet heeft het land in kwestie wel zulke nauwe banden met Rusland dat het wat koddig is een vriend van Rusland te vragen ons te redden van Russische hackers. En nog los daarvan, heeft je partner ver weg wel prioriteit voor je als het op meer plekken crisis is? Afsluitend, om goed te kunnen beslissen over soevereiniteit is het dus noodzakelijk deze drie aspecten los te beschouwen. Want vertrouwelijkheid, wendbaarheid en weerbaarheid vergen allemaal andere afwegingen en oplossingen. aar zijn Nederlandse en Europese bedrijven als het gaat om de ontwikkeling van nieuwe IT-standaarden? Waarom kiezen bedrijven en masse voor het onderbrengen van hun data bij Amerikaanse Big Tech? En waarom lijkt niemand problemen te hebben met het feit dat data uit Chinese producten relatief onbeschermd toegankelijk zijn voor Chinese staatsbedrijven? Afhankelijkheid gaat niet alleen over of een leverancier buiten Europa zit. Het gaat ook over de vraag welke controle er is over het gebruik van gevoelige bedrijfsdata. En welke invloed er is op toekomstige ontwikkelingen zoals voorspelbaar onderhoud en autonome productie. Verdienvermogen Bert Hubert is cybersecurityondernemer, voormalig toezichthouder bij de AIVD en wetenschapper. De soevereiniteitsvraag gaat verder dan de leveringszekerheidsvraag. Het gaat ook over toekomstig verdienvermogen en hoe veilig met data en digitale technologie om te gaan. Overheden en bedrijven zouden dat zelf in handen moeten houden. Het toekomstige » iBestuur 51, juli 2024 55 W BEELD: SHUTTERSTOCK

DIGITALE TOEKOMST EU » verdienvermogen en de autonomie om zelf keuzes te maken verdient voor bedrijven een prominenter plaats op de agenda. Zeggenschap Bedrijven ondergaan marktwerking, het is in hun belang om internationaal concurrerend te zijn. Dus kiezen multinationals zoals Unilever en Pepsi Cola voor de bestaande Big Tech-partijen, die hen mondiaal relatief eenvoudig digitaal kunnen verbinden. De keerzijde is dat dit leidt tot beperkte zeggenschap over gevoelige data of cyberveiligheid, maar ook tot vendor lock-in. Dat dit een kostenplaatje met zich meebrengt lijkt bedrijven niet te deren. Het is zelfs zo dat ze voor de meeste digitale technologielagen afhankelijk zijn van enkele niet-Europese partijen. Concurerend marktaanbod Toen de Stichting Internet Domeinregistratie (SIDN) de registratie van alle NL-domeinen in de ‘cloud’ wilde onderbrengen, kwam men bij Amazon uit. Men moest – naar eigen zeggen met pijn in het hart – toegeven dat er geen Europees alternatief was. Dat toont aan dat we keuzes moeten maken. Europese initiatieven zoals Gaia-X of IPCEI Cloud zullen alleen succesvolle alternatieven worden als deze zich kunnen doorvertalen naar een concurrerend marktaanbod. Er zal meer betrokkenheid nodig zijn van de IT-industrie om daar te komen. Digitalisering raakt de samenleving steeds meer. Als we niets doen gaat Big Tech ons leven steeds meer bepalen. Het is van groot belang daar iets tegenover te stellen en de overheid 56 iBestuur 51, juli 2024 Europese initiatieven worden alleen succesvol als deze zich kunnen doorvertalen naar een concurrerend marktaanbod vervult daarin een sleutelrol. Bijvoorbeeld via het doorbreken van marktmonopolies, het stimuleren van nieuwe innovaties en het bieden van een juridisch raamwerk. De overheid kan dit niet alleen. Er moet ook gekeken worden naar gerechtvaardigde bedrijfsbelangen. We kunnen niet van hen verwachten dat ze uit zichzelf inzetten op digitaal soevereine oplossingen, zolang die niet op grote schaal aanwezig zijn. Het zou goed zijn als de overheid in dit stadium naast haar regulerende rol ook een stimulerende rol vervult. Met daarbij een duidelijk doel voor ogen: Nederlandse en Europese IT-partijen die een concurrerend marktaanbod kunnen bieden. Matthijs Punter, senior onderzoeker op het gebied van Data Ecosystemen bij TNO. Claire Stolwijk, Principal Consultant bij Strategie & Beleid bij TNO. BEELD: ERIC DE VRIES

Investeren in een alternatieve infrastructuur Hoe soeverein kan een land zijn als het in feite grotendeels afhankelijk is van technologie uit andere landen? En nog belangrijker: wat moet de respons zijn als een land die afhankelijkheid wil beperken? oevereiniteit gaat over het waarborgen van een bepaalde mate van zelfbeschikking. In de context van landen, betekent dat onder meer dat je zelf de regels binnen je territorium bepaalt, en dat je die zelf handhaaft. En daarmee samenhangend: het betekent dat je een bepaalde mate van zeggenschap hebt over de infrastructuur binnen je territorium. Door digitalisering zijn bij zo’n ogenschijnlijk eenvoudige handeling als het sturen van één bericht talloze bedrijven betrokken. S Microkosmos Neem alleen al de router waarover een deel van die communicatie waarschijnlijk loopt. Die router bestaat uit allerlei chips, waarvan delen gemaakt zijn in Nederland, China en Taiwan. Het bestaat uit software uit verschillende landen, deels open source, en kan waarschijnlijk op afstand worden geadministreerd via servers die mogelijk in de cloud staan van Amerikaanse techbedrijven. Een router is een microkosmos van de globalisering die de digitale wereld de afgelopen decennia heeft doorgemaakt. In zo’n klein ding zitten al talloze afhankelijkheden, van zowel bedrijven als landen. En naarmate de infrastructuur van landen steeds digitaler werd, hebben landen die afhankelijkheid dus ook binnengehaald in hun eigen territoir. Eén oplossing om de afhankelijkheid te beperken is om technologie uit bepaalde landen te weren. Een overheid kan bijvoorbeeld besluiten om de routers van Huawei niet in de kern van haar communicatienetwerken te plaatsen, omdat ze niet zeker weet of die routers een geheim lijntje hebben met de Chinese dienst. Vertrouwen Er zijn twee bezwaren die kleven aan die oplossing. Ten eerste is het gebouwd op de veronderstelling dat we technologie uit sommige landen wél kunnen vertrouwen. Maar die veronderstelling is zeker niet altijd terecht, de routers van Amerikaanse bedrijven kunnen zomaar een lijntje hebben met hun geheime dienst. Ten tweede moeten we ons afvragen of we hardware überhaupt kunnen vertrouwen. Doen chips wat ze zeggen te doen? Software en hardware zijn bovendien moeilijk te beveiligen. Alle technologie is in meer of mindere mate een zwarte doos. Een veel aantrekkelijker antwoord ligt in het bouwen van een alternatieve infrastructuur die werkt rond de aanname dat technologie niet goed te vertrouwen is. Dat betekent: het investeren in open source hardware en open source software, om zo een ecosysteem te ontwikkelen dat digitale soevereiniteit in een geglobaliseerde wereld mogelijk maakt. Dat zal niet makkelijk zijn. Ons huidige ecosysteem, met al zijn afhankelijkheid van Amerikaanse techbedrijven en Chinese hardware, is niet optimaal, maar iedereen gebruikt het. Sterker nog: zoveel mensen gebruiken het, dat alleen al aan licentiekosten op zijn minst tientallen miljoenen euro’s per jaar richting het buitenland stromen Regering, investeer in open source hardware en open source software (het precieze getal is helaas ook na enig zoeken niet te achterhalen). Maar daar ligt tegelijkertijd ook de oplossing: investeer die euro’s in een ecosysteem dat Nederland écht digitaal soeverein maakt. Het zou een mooi speerpunt zijn voor de nieuwe regering. Ot van Daalen, advocaat op het gebied van privacy, security en mensenrechten en assistent-professor bij het Instituut voor Informatierecht van de Universiteit van Amsterdam. iBestuur 51, juli 2024 57 BEELD: NADINE VAN DEN BERG

DIGITALE WEERBAARHEID Strijd tegen staatshackers Waarom gemeenten miljoenen tekortkomen Gemeenten komen door de geopolitieke spanningen steeds meer in beeld bij hackers, maar ze missen het geld om passende maatregelen te nemen. Met name de G4 hebben met hun risicoprofiel een grote uitdaging. Security-experts van de gemeente Den Haag schetsen de nijpende situatie. “Als je weet wat er momenteel op ons afkomt zou je echt geen oog meer dichtdoen.” TEKST: sjoerd hartholt • BEELD: shutterstock/bureau oma edere gemeente heeft te maken met digitale dreigingen, maar de grootste gemeenten met hun internationale havens, vliegvelden en regeringsgebouwen zijn steeds meer een internationaal doelwit voor criminelen en staatshackers. De cybersecurity uitdaging die erbij hoort kost vele miljoenen. De Vereniging van Nederlandse gemeenten (VNG) vroeg daarom in april aan de Tweede Kamer om structureel ten minste 30 tot 50 miljoen euro extra voor I 58 iBestuur 51, juli 2024 het versterken van digitale veiligheid, maar een ‘ja’ lijkt onzeker: in het Hoofdlijnenakkoord gaat het vooral over bezuinigen. Den Haag is bij uitstek een gemeente waar staatshackers het op gemunt hebben, leggen security-experts van de gemeente uit. De ministeries en vele grote internationale organisaties, ambassades, en het Koninklijk huis geven de gemeente een ‘uniek dreigingsprofiel’. Wie een gemeente hackt kan bijvoor

beeld bruggen of sluizen bedienen, met alle gevolgen van dien. Jeroen Schipper, als CISO verantwoordelijk voor de cybersecurity van de gemeentelijke organisatie, noemt zijn taak dan ook ‘enorm interessant’. Steeds specialistischer Aangezien Den Haag zich in het middelpunt van de geopolitiek bevindt, ervaart de gemeente direct consequenties op momenten dat er op het wereldtoneel iets gaande is, zoals nu in Oekraïne en Israël, vertelt Schipper. “Dat uit zich door grootschalige aanvallen die steeds specialistischer van aard worden.” Den Haag wil zich zo goed mogelijk wapenen tegen deze toenemende dreigingen, maar extra inspanningen zijn grotendeels afhankelijk van geld. Natuurlijk, een zak geld is niet altijd het antwoord op alles, maar het is wel hard nodig. Er zijn gewoon meer securityprofessionals nodig. En de organisatie voorzien van hoogwaardige tooling voor de beveiliging van operationele technologie, waaronder beweegbare bruggen, verkeersinstallaties en gemalen, vergt ook een flinke investering. Operational Technology (OT) is volgens Schipper voor lokale overheden van toenemend belang. Naast technische maatregelen zijn er ook experts nodig. “Cybersecurity wordt vaak als een specialisme gezien, maar OT geldt weer als een specialisme binnen cybersecurity. Voordat je geld gaat uitgeven aan maatregelen om OT te beschermen, heb je ook de mensen nodig die ermee kunnen omgaan en met leveranciers om de tafel gaan.” Het valt nog niet mee om deze geschikte mensen te vinden. “De gemeente is daarom enkele jaren geleden begonnen met het zelf opleiden van security specialisten op gebied van OT.” Digitaal Veilig Den Haag De gemeente lanceerde ook het programma Digitaal Veilig Den Haag, dat de stad als geheel digitaal weerbaarder moet maken. Daan Rijnders is programmaleider. Hij richt zich niet op de gemeentelijke organisatie, maar op de rest van stad. “Mijn verantwoordelijkheid voor security van de stad is natuurlijk niet zo ‘hard’ als die van mijn collega Jeroen,” legt hij uit. “Mijn rol is meer een aanjagende, informele rol richting bedrijven en organisaties in onze stad.” Rijnders focust zich bijvoorbeeld op de lokale vitale processen en het risicoprofiel van de stad Den Haag. “We werken aan allerlei typen activiteiten in de stad op het terrein van cybersecurity. We stimuleren onderlinge samenwerking en zoeken ook andere gemeenten op. Niet alleen de gemeentelijke organisatie, maar de gehele samenleving moet weerbaarder worden voor de digitale Jeroen Schipper: “Als een land ergens wil binnenkomen, dan lukt dat gewoon.” iBestuur 51, juli 2024 59

DIGITALE WEERBAARHEID dreiging van criminele en statelijke actoren en IT die per ongeluk uitvalt. Dat vereist van alle overheidslagen actie en wij als gemeenten kunnen daar een leidende rol in pakken,” aldus Rijnders. NIS2 heeft grote impact Daan Rijnders: “Het bundelen van krachten leidt ertoe dat je je beter kunt bewapenen” De actieve houding van Den Haag is hard nodig. Er verandert momenteel veel op gebied van wetgeving voor cybersecurity. De naderende komst van de NIS2 heeft grote impact. “Met name de zorgplicht, waarbij je verplicht bent om diverse maatregelen te nemen, geldt als een forse taak,” aldus Schipper. “De meldplicht die er nu aankomt, is vergelijkbaar met hoe dit geregeld is in de AVG. In plaats van toezicht achteraf, krijg je nu vooraf waarschuwingen. Positief aan de NIS2 is dat wij collectief op landelijk niveau op securitygebied zullen verbeteren.” Toch is 100 procent compliant zijn aan alle regelgeving volgens Schipper praktisch gezien niet haalbaar. “Geen enkele organisatie kan dit. Gemeente Den Haag, een gemeente met honderden applicaties, dus ook niet. Je zal altijd op basis van risicomanagement moeten kiezen waar de focus op ligt. Wij als gemeente hebben meerdere processen die van groot belang zijn, zoals de regelingen voor toeslagen en het uitgeven van rijbewijzen en paspoorten. Dit is dienstverlening die altijd in de lucht moet zijn, daar richten we een extra 60 iBestuur 51, juli 2024 laag in voor beveiliging, naast alle generieke maatregelen die we voor de hele organisatie nemen.” Ook voor Rijnders is de NIS2 een grote uitdaging. Momenteel brengt hij diverse organisaties samen en bouwt hij aan community’s rondom securitythema’s. Bijvoorbeeld over lokaal vitale processen. “Deelnemers zijn continu in gesprek over security en hoe er beter kan worden samengewerkt. Ze leren zoveel mogelijk van elkaar. Maar uiteindelijk is iedere organisatie zelf verantwoordelijk voor de eigen digitale veiligheid. De NIS2 verandert dit niet. Het bundelen van krachten leidt er wel toe dat je je beter kunt bewapenen. De tegenstander hoeft anders maar één succesvolle aanval uit te voeren om in de hele stad effect te hebben.” Phishing dankzij AI naar hoger niveau Een crisisoefening organiseren is een populaire maatregel. Dit is volgens Schipper ook nog relatief goedkoop uit te voeren in een welwillende organisatie. Maar vooral het bestrijden van phishing wordt een dure aangelegenheid de komende tijd. “Bedrijven testen nu hun personeel vaak met nep phisingmails, maar dat is in mijn ogen van de zotte. Je gaat er niks mee bereiken. De komst van AI heeft namelijk een enorme impact. Phisingmails die met AI gegenereerd worden zijn tegen

woordig zó goed dat niemand ze meer van echt kan onderscheiden.” Volgens Schipper is de mens niet de zwakste schakel, maar de laatste verdedigingslinie. “Wanneer iemand binnen gemeente Den Haag een phisinghmail ontvangt, hebben de security-maatregelen eigenlijk al gefaald.” In enkele seconden in het netwerk Voorheen kregen criminelen bij een succesvolle poging een mailtje met daarin de logingegevens van het slachtoffer, maar de tijden zijn veranderd. Ook bij phishing is tegenwoordig alles geautomatiseerd. Als iemand in een phishingmail trapt wordt er door de crimineel automatisch ingelogd en automatisch een backdoor geplaatst, vertelt hij. “Statelijke actoren hebben zoveel capaciteit en middelen, daar kun je je niet tegen wapenen. Ze zitten in luttele seconden in je netwerk. Als een land ergens wil binnenkomen, dan lukt dat gewoon. Je mag al van geluk spreken als een aanval wordt gedetecteerd.” Doelwitten worden tegenwoordig continu gescand door criminelen. Een kwetsbaarheid van een specifiek systeem is direct bekend en wordt meteen uitgebuit, legt Schipper uit. “En het lukt ons niet om iets binnen een minuut te patchen. Je moet hier dus specifieke maatregelen tegen nemen.” Meestal zijn gemeenten voor patches echter afhankelijk van hun leveranciers. “Gemeenten zijn vaak dankbaar als er snel een patch wordt aangeleverd, maar eigenlijk zou dat de standaard moeten zijn.” Wat als er geen geld komt? Nu de formerende partijen hebben afgesproken om flink te bezuinigen op de overheid, kan een extra financiering voor gemeenten wel eens moeilijk worden. Schipper blijft daarover neutraal. “Als er geen financiering komt, wordt er simpelweg een bepaald risico geaccepteerd. Ik kan uiteraard een businesscase maken en de eventuele impact schetsen waarin wordt uitgelegd wat er gebeurt als bestaande risico’s niet worden aangepakt. Uiteindelijk is het een kwestie van risicomanagement.” Voor de gemeente Den Haag is dit niet nieuw. “We zijn heel bewust bezig met hoe we effectief en efficiënt de beschikbare middelen kunnen inzetten. Dat betekent bijvoorbeeld dat je niet voor alle honderden applicaties de hoogste maatregelen neemt, maar de belangrijkste selecteert.” De wetenschap dat er ergens op aarde een leger aan hackers het zwaar gemunt heeft op zijn gemeente, leidt bij Schipper nog niet tot slapeloze nachten. “Een eigenschap van CISO’s is dat ze totaal niet gestrest moeten zijn, maar als je weet wat er momenteel op ons afkomt, dan zou je echt geen oog meer dichtdoen.” iBestuur 51, juli 2024 61

MARKT EN OVERHEID THEMA Inkopen kan efficiënter Overheidsorganisaties oriënteren zich op de mogelijkheden die AI kan bieden om hun inkoopprocessen efficiënter, innovatiever en inzichtelijker te maken. Ook zou men graag zien dat meer kleinere aanbieders en startups toegang krijgen tot ‘de overheidsmarkt’. Voorzichtigheid lijkt vooralsnog geboden, de data zijn er nog niet aan toe. TEKST: heleen hupkens • BEELD: shutterstock r wordt wel gefilosofeerd over de vraag of met behulp van AI het inkoopproces volledig automatisch ingericht zou kunnen worden. Voor eenvoudige opdrachten kan dat straks ook, denkt Fredo Schotanus, hoogleraar Publieke Inkoop bij de Universiteit Utrecht. “Het is een ontwikkelingsproces, net als bij zelfrijdende auto’s. Eerst moet je een beetje blijven assisteren, daarna kun je langzaam de snelheid opvoeren. Een rondje Amsterdam met een zelfrijdende auto zou ik nu nog niet aandurven, maar over tien jaar misschien wel.” E Gamechanger AI wordt volgens Schotanus een gamechanger in de inkoopmarkt. “Het gaat ongetwijfeld niet alle problemen oplossen, maar het zou wel een flinke bijdrage kunnen leveren aan Beheer contracten met LLM’s De eerste toepassing is er al: Een LLM die in de gaten houdt wanneer bepaalde contracten af gaan lopen en automatisch een workflow opstart en de onderhandeling instapt om te zorgen dat de verlenging op tijd rond is. Een zeer geavanceerde toepassing waarmee volgens Erik Vermeulen EY al enige ervaring heeft opgedaan. 62 iBestuur 51, juli 2024 het toegankelijker maken van het overheidsinkopen.” Het inkoopproces bij de overheid is vaak complex en juridisch van aard, stelt hij. Daar kom je als kleinere of onervaren aanbieder niet zomaar tussen. “Je praat de taal niet, je hebt geen juristen in dienst, je hebt geen bidmanager of een heel team dat een offerte voor je schrijft. Dus sta je met 2-0 achter ten opzichte van de grote ervaren bedrijven van deze wereld.” De verdere ontwikkeling van LLM’s (Large Language Models) gaat inkopers en bedrijven helpen volgens hem. “Taal is heel belangrijk in aanbesteding en inkoop in de publieke sector. We willen immers zoveel mogelijk op papier vastleggen om een eerlijke keuze voor een leverancier te kunnen maken en om achteraf problemen te voorkomen. Hoe je het contract krijgt, wat er in het contract staat, aan welke eisen je moet voldoen, het is allemaal taal. En die LLM-modellen zijn ondertussen vaak al beter in taal dan dat wij dat zijn. Taalmodellen kunnen dus helpen bij het opstellen van toegankelijke aanbestedingsstukken en het schrijven van offertes.” Betrouwbare dataset Met AI zou volgens Schotanus een kennisplatform gebouwd kunnen worden dat meer zekerheid biedt aan partijen. “Stop bijvoorbeeld alle Nederlandse jurisprudentie over aanbestedingen, alle klachten, alle uitspraken van de commissie van aanbestedings

en innovatiever Wordt AI een gamechanger in de inkoopmarkt? experts in één database, dan heb je al een interessante dataset. Dat kan al veel basale juridische vragen beantwoorden van inkopers en potentiële aanbieders,” aldus Schotanus. Met behulp van een database met eigen offertes en eerdere aanbestedingen kun je als aanbieder ook al simuleren hoe bepaalde aanbestedingen uit kunnen pakken. “Als start up, maar ook als ervaren ondernemer, kun je dan op allerlei manieren interacties aangaan met zo’n AI om je stukken beter te maken. Bijvoorbeeld door de AI te vragen om een nieuwe offerte fictief te beoordelen op basis van de aanbestedingsstukken en tips te geven voor verbetering.” Menselijke verificatie Erik Vermeulen, Associate Partner Technology Consulting bij EY, erkent dat de drempel hiermee misschien wat lager wordt, maar ziet het niet gebeuren dat kleinere bedrijven of startups dan juist meer kansen krijgen. “Misschien dat je met een LLM dan een mooie aanbieding kunt doen, maar je zult uiteindelijk ook de kwaliteiten in huis moeten hebben om te leveren wat er in de aanbieding staat. iBestuur 51, juli 2024 63

MARKT EN OVERHEID Fredo Schotanus: “AI kan een flinke bijdrage leveren aan het toegankelijker maken van het overheids inkopen” En als het gaat om juridische drempels, is het maar zeer de vraag of dit méér speelt bij startups. Een startup die haar marktaandeel wil vergroten gaat vaak sneller akkoord met de inkoopvoorwaarden dan grote gevestigde partijen.” Menselijke verificatie blijft dus nodig. Schotanus: “Juist omdat het steeds lastiger wordt om te kunnen identificeren wat AI gegenereerd is en wat echt is, ontkomen we er niet aan om mensen meer uit te nodigen om langs te komen. Je hebt gebruikgemaakt van een LLM? Prima. Kom dan nu maar uitleggen dat je dit ook daadwerkelijk gaat doen. Dus het verifiëren, dat wordt een belangrijk component van de beoordeling.” Processen slimmer inrichten Bijna ieder onderdeel van het inkoopproces zou met AI in principe slimmer ingericht kunnen worden. “Voor de één zal de businesscase op de meer kennisintensieve processen liggen met complexe contracten in een internationale dimensie. Voor de ander zal het meer op het volume liggen met meer klassiekere AI-toepassingen,” zegt Vermeulen. Echter, voor het goed toepassen van AI is een goede data-infrastructuur noodzakelijk. “Als je niet Chatbot Europese aanbestedingen Bij Europese aanbestedingen wordt altijd een uitgebreide Q&A-ronde georganiseerd. Leveranciers kunnen vragen stellen en de overheid geeft een antwoord op die vraag. “Dat kost vaak veel tijd,” zegt Schotanus. ”Veel makkelijker is een soort van chatbot. Hiermee kun je vermoedelijk al 30 tot 40 procent van al die vragen direct afvangen, waardoor een bedrijf niet meer lang hoeft te wachten op een relatief simpele vraag.” 64 iBestuur 51, juli 2024 al je contracten goed gestructureerd hebt op contractwaarde, op metadata, wanneer ze aflopen en dat soort zaken, kan je er ook geen algoritme of een machine learning op loslaten.” Het op orde brengen van data is echter een arbeidsintensief proces. Een LLM kan wellicht helpen om daar een slag op te maken. “Maar als de basis slecht is, dan lopen de algoritmes tegen dezelfde grenzen van de menselijke taal aan als mensen. Je kunt geen wonderen verrichten.” Geen gezamenlijke visie “Ja, tijd- en kostenbesparingen en vooral meer inzicht in inkoopprocessen, is het wenkend perspectief dat ik inkoopafdelingen ook wel voorhoudt,” bevestigt strategisch adviseur Justin de Jager van Solventis. “Maar dat veronderstelt inderdaad dat je kunt beschikken over kwalitatief hoogwaardige data. En juist dat vraagt om vergaande standaardisatie en flinke investeringen.” De Jager werkte tot voor kort als portfoliomanager digitalisering Rijksinkoop bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Volgens hem gaat AI gaat hier voorlopig geen gamechanger worden. Het ontbreekt de rijksoverheid aan een gezaBEELD: PIETER MAGIELSEN

menlijke visie op de digitale inrichting van inkoopprocessen, legt hij uit. Dat heeft vooral te maken met het feit dat het inkoopproces opgeknipt is in drie zogenoemde ‘domeinen’, verdeeld over drie ministeries met ieder eigen stelsels: het aanbestedingsdomein zit bij EZK, het inkoopdomein bij BZK en het financiële domein bij Financiën. Pas als de winnaar van een aanbesteding bekend is, neemt het inkoopdomein het over van het aanbestedingsdomein. BZK gaat dan over ‘de order tot aan de factuur’. Daarna pakt het financiële domein het over. Dit heeft er ook toe geleid dat binnen de domeinen verschillende definities van data bestaan en bijvoorbeeld ook andere opvattingen over het openbaar maken van data. Standaardisatie Binnen het inkoopdomein vindt wel de nodige standaardisatie plaats. Zo werkte De Jager mee aan het beleid dat heeft geleid tot de implementatie van Peppol, een internationale open standaard voor de digitale uitwisseling van inkoopgegevens, zoals facturen en orders. Deze standaard introduceert de rijksoverheid als grote inkoper momenteel ook bij andere overheden, waterschappen, administratiekantoren, accountants en bedrijven. “Maar eigenlijk moet je het hele inkoopproces, van aanbesteding tot facturering tot uitbetaling, als één traject organiseren. Wil de rijksoverheid de voordelen van technologie maximaal kunnen benutten, zal er toch echt aan een ontschotting van de domeinen gewerkt moeten worden. Dat vereist dat ambtenaren van verschillende domeinen nauw met elkaar in verbinding staan.” Maar ja, polderen zit in onze genen. En dat werkt niet bij digitalisering, constateert De Jager. “Digitalisering gedijt bij het maken van binaire keuzes. Kies je voor open standaarden of niet? Ga je met Digipoort aan de slag of niet? Te vaak nog is er bij de overheid iemand Erik Vermeulen: “Als je niet al inkoopdata goed gestructureerd hebt, kan je er ook geen algoritme of een machine learning op loslaten” iBestuur 51, juli 2024 65

MARKT EN OVERHEID Justin de Jager: “Op basis van analyses kan de overheid scherper aanbesteden of lopende contracten beter uitnutten” die het toch net even iets anders wil doen en waar dan te weinig tegenwicht aan wordt geboden. Dan worden doorgaans kostbare fouten gemaakt. Mijn advies? ‘Keep it simple’, houd je aan de geldende beleidskaders.” Data-analyses Kwalitatief hoogwaardige data bieden mogelijkheden voor nauwkeurige analyses en geautomatiseerd rapporteren, bijvoorbeeld via dashboards. De Jager wijst op de mogelijkheid om op basis van de analyses scherper aan te besteden of lopende contracten beter uit te nutten. “Maar je wilt ook weten hoe je het als overheid doet als het gaat om maatschappelijk verantwoord ondernemen, denk aan milieu (CO2 -uitstoot) of social return. Zodat je tijdig bij kunt sturen en niet achteraf moet constateren dat je weinig klimaatbewust hebt ingekocht. Je hebt hierover immers verantwoording af te leggen. De maatschappelijke impact wordt uiteindelijk bereikt door wat je doet, niet door te rapporteren over wat je hebt gedaan.” Ook zou je eens kunnen onderzoeken welke bedrijven ‘buiten de boot vallen’ van publieke aanbestedingen, dus die nog niet in het reguliere netwerk van de overheid zitten. Daar liggen ook kansen om innovatieve bedrijven aan te trekken. De potentie is groot Schotanus noemt het een gamechanger, ook Vermeulen en De Jager denken dat het potentieel van AI in inkoopprocessen groot is. Vermeulen: “Maar eerst moet er geïnvesteerd worden in de data-volwassenheid, in data governance en AI-volwassenheid. En dat gaan we dan terugzien in de productiviteitscurve. En die gaat komen, absoluut.” En beleidsmakers moeten in hun achterhoofd houden dat digitalisering een multipliereffect heeft, waarschuwt De Jager. “Als je het digitale inkoopproces goed inricht, dan is ‘the sky the limit’. Maar als je dit verkeerd inricht, dan krijgen we een geldverslindend, gefragmenteerd IT-landschap dat inkoopprocessen ingewikkelder maakt in plaats van eenvoudiger.” Beoordelen van offertes Uit onderzoek van de Universiteit Utrecht blijkt dat een LLM als ChatGPT al een bruikbaar hulpmiddel kan zijn voor het beoordelen van korte offertes in een inkoop- of aanbestedingstraject. Het gaat dan bijvoorbeeld om de controle of menselijke beoordelaars geen punten zijn vergeten. Het onderzoek onder leiding van Fredo Schotanus bestond uit een vergelijking van beoordelingen door een LLM met menselijke beoordelingen van offertes. De LLM was er al beter in dan mensen. 66 iBestuur 51, juli 2024 BEELD: REMON SCHEINHARDT

COLUMN Indruk maken De nieuwste release van ChatGPT al gezien? Dan is de kans groot dat u net als velen zwaar onder de indruk bent van de soepele interactie met de mens die dit multimodale AI-model nu onder de knie heeft. De sciencefiction uit de bekende film ‘Her’ van Spike Jonzo is nu zomaar op elke telefoon beschikbaar. Het succes van innovaties hangt vaak vooral af van een mooie buitenkant Even terug naar de allereerste release van ChatGPT, eind 2022. CEO Sam Altman gaf toen in een tweet een bijsluiter waarin hij waarschuwde voor zijn eigen product: “ChatGPT is incredibly limited, but good enough at some things to create a misleading impression of greatness. It’s a mistake to be relying on it for anything important right now. (…).” Ook anderhalf jaar later zijn de modellen nog zeker niet foutloos. De menselijke interactie van de laatste release is vooral indrukwekkend om te ervaren, hoewel ook zeker niet perfect. Het enthousiasme onder gebruikers is er echter niet minder om. Ook mo men voo ook ond Wat leert dit ons? Allereerst bevestigt het dat de adoptie van nieuwe tools vooral afhangt van de vraag of mensen deze makkelijk, leuk en nuttig vinden. Of het onder de motorkap allemaal wel klopt, maakt nauwelijks uit. Vanuit de historie weten we dat het succes van veel innovaties niet afhangt van de schoonheid aan de binnenkant, maar vooral van een mooie buitenkant. Het wapengekletter dat AI-giganten het afgelopen jaar lieten zien – met indrukwekkende demo’s – getuigt daar ook van. Wa het afha mak ond De waarschuwing van Altman blijkt daarbij lastig. Als mens zijn we gewend dat computers kloppen (de rekenmachine maakt geen fouten). Bij het werk van mensen gaan we daar doordachter mee om. We monitoren het werk van een stagiair wat nadrukkelijker dan het werk van een collega die we al jaren kennen. We delen mensen in op basis van hun kennis, kunde en ervaring. De een vraag je om juridisch advies, de ander om een financiële rapportage. Nu de toon van AI zo menselijk aanvoelt brengt dat, naast allerlei risico’s (die vaak uitgebreid worden beschreven), ook de mogelijkheid om hetzelfde te doen in onze interactie met AI. Als we met AI omgaan alsof het een persoon is, dan kunnen we de ene AI andere kwaliteiten toedichten dan de andere. Misschien moeten we ze zelfs namen geven, net als personen, en onszelf zo via een omweg de kritische blik op AI aanleren die we standaard bij mensen al hebben. Dit is overigens geen toekomstvast advies, want er wordt ook met man en macht gewerkt aan de betrouwbaarheid van de modellen. Als die betrouwbaarheid van AI-modellen net zo hoog wordt als die van een rekenmachine, dan kan mijn advies de prullenbak weer in. sander klous Hoogleraar AI & Audit bij de UvA, Partner bij KPMG en voorzitter van Stichting PrivacyFirst iBestuur 51, juli 2024 67

MARKT EN OVERHEID PODIUM THEMA In steeds meer ICT-aanbestedingen van de overheid worden open standaarden meegenomen. Het gaat dus een stuk beter, maar het tempo moet omhoog vindt Larissa Zegveld, voorzitter Forum Standaardisatie. TEKST: larissa zegveld • BEELD: shutterstock n de Monitor Open Standaarden meet Forum Standaardisatie jaarlijks of overheidsorganisaties de open standaarden van de ‘pas toe of leg uit’- lijst meenemen in hun ICT-aanbestedingen. Ik ben blij met de groep die 100 procent voldoet. En met het feit dat het aantal relevante standaarden per aanbesteding toeneemt. Helaas zien we ook dat in de 69 onderzochte aanbestedingen van de 813 standaarden die van toepassing zijn op de betreffende aanbestedingen, er maar 408 uitgevraagd worden. Dat is maar 50 procent. Hoe komt dat? Burgers moeten er van uit kunnen gaan dat hun communicatie met de overheid veilig en betrouwbaar is. Open standaarden dragen bij aan een veiliger internet, toegankelijke overheidsinformatie, hoge kwaliteit van data en goede gegevensuitwisseling tussen overheidsorganisaties onderling én met burgers en ondernemers. Met de verdergaande digitalisering is het belang om open standaarden toe te passen in de publieke sector toegenomen. Informatieveiligheid: je kunt er niet meer om heen! De toepassing van open standaarden is een van de voorwaarden voor goede publieke dienstverlening. Interoperabiliteit Organisaties stappen over naar nieuwe, tweede en derde generatie systemen. Dat is vaak een ingewikkeld proces. Het is nog lastiger als iedereen op zijn eigen manier de ICT inricht, zijn eigen systemen gebruikt voor gegevensuitwisseling en computers niet dezelfde taal spreken. Interoperabiliteit is 68 iBestuur 51, juli 2024 I Open standaarden uitvragen in aanbestedingen Het tempo moet omhoog van het grootste belang. Dat bereik je makkelijker door het gebruik van open standaarden. Bovendien worden we zo minder afhankelijk van één leverancier. Hulpmiddelen Hoe moeilijk kan het zijn om open standaarden uit te vragen in je aanbestedingen? Dat denk ik weleens. Toch zien we in de Monitor dat bij de Rijksoverheid de standaarden voor gegevensuitwisseling maar in 30 procent wordt uitgevraagd. Voor de standaarden voor Als we zo doorgaan duurt het nog tot 2046 voor het percentage echt omhoog gaat

veiligheid is dat 50 procent. In de gesprekken die wij voeren merken we regelmatig dat de bekendheid met de standaarden en de hulpmiddelen van Forum Standaardisatie (de Beslisboom en de Handreiking) nog niet erg groot is. Het gebruik van open standaarden is nog bij een te beperkt aantal contactpersonen bekend en nog niet echt doorgevoerd naar alle betrokkenen binnen de organisatie. Daarbij lijkt het ontbreken van één verantwoordelijke persoon een belangrijke oorzaak te zijn. Ook horen we nogal eens ‘ik wist niet dat we er zo (goed/slecht) voor stonden’. Een te beperkt beeld van de staat van de eigen informatiehuishouding dus, dat kan echt niet meer in deze tijd! Urgentie Als we in dit tempo doorgaan duurt het nog tot 2046 voor het percentage echt omhoog gaat. Het wordt tijd dat op veel meer plekken de urgentie van het gebruik van open standaarden doordringt. ‘Spread the word’: Stel een plan van aanpak op en maak iemand hier verantwoordelijk voor binnen de organisatie. Forum voor Standaardisatie kan en wil daar zeker bij helpen! Nog even een tip… Uit de monitor blijkt dat de generieke overheidsbrede voorzieningen hoog scoren op gebruik van open standaarden. Dit pleit voor meer toepassing en gebruik van deze bouwstenen; immers wat elders goed is uitgevonden, kun je hergebruiken. Goede voorbeelden In verzamelbrief Digitalisering van maart 2024 wordt ook de Monitor Open Standaarden 2023 aangeboden. Ik onderschrijf de conclusie dat de adoptie langzaam de goede kant op gaat, maar het tempo kan echt wel omhoog. Begin dus vandaag met de volledig uitvragen van de bestaande open standaarden. Het kan, dat laat een aantal organisaties zien. Ga eens langs bij bijvoorbeeld de Sociale Verzekeringsbank (SVB), de Rijksdienst voor het Wegverkeer (RDW) en de Veiligheidsregio Utrecht om te zien hoe zij dat aanpakken. Of vraag de gemeenten Hengelo, Den Bosch en Velsen naar hun manier van werken. Goed voorbeeld doet volgen, toch? Larissa Zegveld is voorzitter Forum Standaardisatie en algemeen directeur van stichting Kennisnet. iBestuur 51, juli 2024 69

MARKT EN OVERHEID THEMA Overheden moeten aan de bak met Softwarelicenties kosten de overheid vele miljoenen, maar discussie over geld is volgens Olivier van der Post, senior beleidsmedewerker CIO Rijk, achterhaald. Softwarelicenties zijn nu een veiligheidskwestie. En er moet nog ontzettend veel gebeuren. TEKST: sjoerd hartholt • BEELD: shutterstock D e miljardenclaim die Oracle bij de rijksoverheid indiende in 2017 voor illegaal gebruik van softwarelicenties werd in de media breed uitgedragen. Hoewel hij het voornamelijk vanaf de zijlijn meemaakte, ligt de verontwaardiging erover bij Van der Post nog vers in het geheugen. Hij was destijds adviseur IT Asset Management bij het ministerie van Justitie en Veiligheid (JenV). De soep werd echter niet zo heet gegeten als opgediend, en uiteindelijk troffen de partijen een schikking van enkele miljoenen. “Het hoofdstuk Oracle is nu afgesloten. Bij JenV is er tevredenheid over de oplossing,” aldus Van der Post. Met één klik alles van Huawei in beeld Als het gaat over softwarelicenties wordt door de buitenwacht vooral op de portemonnee gelet, stelt hij. Daar ergert hij zich nog weleens aan. Het goed in kaart brengen van alle software en hardware is volgens hem van groot belang. “Met de huidige digitale dreigingen, zoals staatshackers, moet je met één klik op de knop alle componenten van bijvoorbeeld Huawei of Kaspersky kunnen vinden. Als er kwetsbaarheden in veelgebruikte software zijn, wil je meteen weten waar deze zich bevinden. Dat overzicht is er nu nog lang niet bij de overheid.” Zijn grootste uitdaging bij CIO Rijk is het harmoniseren van de omgang met informatie over ICT-middelen, aangezien de departementen vaak verschillende tools gebruiken om al hun ICT-middelen, inclusief licenties, Zo’n 20 procent van alle rijksambtenaren werkt voor meerdere ministeries en heeft vaak meerdere licenties voor dezelfde programma’s 70 iBestuur 51, juli 2024

softwarelicenties ‘Het is een securitykwestie geworden’ in kaart te brengen. Van der Post werkte daarom een visiedocument uit dat voor de gehele Rijksoverheid geldt. Dubbele licenties “Ik zie het als een stip aan de horizon waar alle departementen beleidsmatig met softwarelicenties op termijn naartoe moeten”, aldus Van der Post. “Iets verplichten werkt vaak niet in overheidsland; in dit document schetsen we daarom stappen die departementen kunnen nemen om zich in hun eigen tempo goed voor te bereiden op nieuwe ontwikkelingen.” Het laatste gaan ze wat hem betreft nog liever vandaag oppakken dan morgen. Het Rijk heeft een gigantische hoeveelheid softwarelicenties. Veel ervan worden niet gebruikt, beaamt hij. “Er is veel laaghangend fruit. We weten bijvoorbeeld niet hoeveel ambtenaren momenteel een ‘dubbel’ account hebben met meerdere softwarelicenties voor één programma. Wie bijvoorbeeld voor JenV werkt, krijgt een account met een eigen e-mailbox en applicaties.” Volgens zijn schatting werkt zo’n 20 procent van alle rijksambtenaren echter voor meerdere ministeries, met meerdere licenties voor dezelfde programma’s. “Dit kun je oplossen met nieuwe manieren van inloggen en identiteitsmanagement.” Overheid meer ‘in control’ Hoeveel er te veel wordt betaald voor ‘dubbele’ licenties weet hij niet. Bovendien is de discussie over de kosten ook achterhaald, vindt hij. “Sinds het ‘Oracle-conflict’ is de overheid veel meer ‘in control’ als het gaat om het beheersen van de kosten voor softwarelicenties. Er wordt weliswaar betaald voor meer licenties dan in gebruik, maar daarvoor zijn goede redenen. Ze zijn bijvoorbeeld in grote hoeveelheden aangekocht, voor soms een fractie van wat een nieuwe licentie kost." Het Rijk heeft daarnaast afgedwongen dat restanten van licenties kunnen worden overgedragen naar andere overheidsorganisaties. “Wanneer licenties nodig zijn, kloppen we nu aan bij de IT-servicedesk en niet meer bij de leverancier. Zo kan er binnen de overheid makkelijk, snel en voordelig geschoven worden met licenties. Dat geeft flexibiliteit en minder kosten.” Van der Post vult aan dat softwarelicenties weliswaar duur kunnen zijn, iBestuur 51, juli 2024 71

MARKT EN OVERHEID maar tegelijkertijd ook een enorme waarde vertegenwoordigen voor bedrijfsprocessen. “Niet elke uitgegeven euro is per se een weggegooide euro.” Cybersecurity Toch is er nog steeds winst te behalen met meer inzicht in ICT-middelen, benadrukt de beleidsmederker bij CIO Rijk. “Tijdens de Oracle-discussie waren de kosten de drijver om meer controle te krijgen. Maar als je op dat niveau de discussie blijft voeren, krijg je ook oplossingen van dat niveau. Dan stapt er een politicus op of er wordt een zaak aangespannen tegen een leverancier, terwijl de problemen dieper liggen.” Meer grip op de enorme hoeveelheid aan IT-assets is ook nodig vanuit het oogpunt van veiligheid én omdat voorkomen moet worden dat de IT van de overheid uitvalt. Want volgens Van der Post is dit van levensbelang voor de verzameling verouderde overheidssystemen. “Het lifecyclemanagement is niet op orde. We werken met verouderde programmatuur. Nu gaat de overheid er vaak nog vanuit dat de leverancier wel zorgt voor updates en patches, maar wanneer een Java-pakket geen updates krijgt of een IT-leverancier failliet gaat, dan werkt de software gewoon niet meer.” Harmonisering Het grote probleem is dat er geen of weinig geharmoniseerd inzicht is in wat de overheid in huis heeft aan ICT, vertelt Van der Post. Er moet binnen de overheid gezamenlijk worden nagedacht over manieren om dit te verkrijgen, vindt hij. “Harmonisering van de informatie over ICT-middelen was bij het Rijk tot nu toe altijd lastig, juist omdat ieder departement zijn eigen werkwijze heeft. Het is nu zaak om alles op één lijn te krijgen. Zodat we centraal beleid kunnen maken en toepassen met dezelfde tools.” Een voorbeeld? “Neem de ontwikkeling van kwantumcomputers, die in handen van cybercriminelen een bedreiging vormen. Het is zaak om alle cryptografie van de overheid goed in kaart te brengen. Dat moeten we niet tweehonderd keer opnieuw doen.” Stap één is volgens hem weten wáár deze cryptografie in de organisatie is. “En zo liggen er nog veel meer uitdagingen op gebied van internet en identiteit voor de overheid.” NIS2 staat voor de deur Maar de tijd dringt. Niet alleen omdat er vele buitenlandse staatshackers aan de digitale sloten van Den Haag morrelen, ook omdat het Rijk in een situatie zit waarin het door wetten ‘gedwongen’ wordt om alle software tot in detail in kaart te brengen. “NIS2 bonkt op de 72 iBestuur 51, juli 2024

deur. Wanneer deze van kracht is, valt geen overzicht hebben niet uit te leggen.” Van der Post wijst ook op de bijkomende verantwoordelijkheid om securitydata gestandaardiseerd met de hele informatieketen uit te wisselen. “Alleen op je eigen afdeling zitten gaat niet meer. Er is inzicht nodig over alle partijen waarmee je gegevens uitwisselt, dus ook alle toeleveranciers.” Te weinig capaciteit Zonder geharmoniseerd inzicht is de kans dat de overheid op tijd aan cybersecurity-wetgeving voldoet nihil, vreest Van der Post. Bovendien ontbreekt het aan mankracht om deze enorme klus uit te voeren. “Dat is ook de reden dat we met CIO Rijk voor een visie hebben gekozen en niet voor hard beleid. Zo kan iedere organisatie in zijn eigen tempo toch kleine stappen maken in de juiste richting.” Gemiste kans Het visiedocument zorgt er ook voor dat ambtenaren naar hun bestuur kunnen stappen met een verzoek om investeringen. Als dit gebeurt, verwacht Van der Post een grote impact. “Al in 2016 was ik hier mee bezig voor JenV. Toen was al duidelijk dat het op een dag noodzakelijk was om alle software en hardware van de overheid in kaart te brengen. Vanuit kostenoogpunt zijn destijds andere keuzes gemaakt. Een enorme gemiste kans, blijkt nu.” “Wanneer NIS2 van kracht is, valt geen overzicht hebben niet uit te leggen” Dat digitale dreigingen zo heftig zouden worden, is bovendien ook al lang geleden voorspeld. “Uitgezonderd de komst van kwantumcomputers hadden we dat wel verwacht. Inmiddels staan we met onze rug tegen de muur. Ik baal ervan dat we nu moeten ‘puinruimen’, tegelijkertijd geeft het ook nieuwe energie om vanaf nu te voorkomen dat we in de toekomst opnieuw gaan zwalken.” Van regen naar zonneschijn Uiteindelijk is het wat Van der Post betreft zaak om als overheid niet langer reactief, maar proactief te worden met betrekking tot nieuwe ontwikkelingen op cybersecurity-gebied. Hij blijft ondanks de enorme uitdaging optimistisch over de toekomst. “We zitten midden in deze omslag, vanuit de regen hebben we nu een de kans om in de zonneschijn terecht te komen. Tijd dus om in beweging te komen!” iBestuur 51, juli 2024 73

MARKT EN OVERHEID PODIUM THEMA Samen digitaal in de ondergrond Digitaal ecosysteem voor efficiëntere gegevensuitwisseling Partijen die werkzaam zijn in de ondergrond staan voor flinke uitdagingen. Kabels, leidingen, boomwortels, waterberging, ondergrondse afvalcontainers en andere functies vechten om een plek in de bodem. Als deze werkzaamheden afzonderlijk worden uitgevoerd, veroorzaakt dat veel drukte in de ondergrond. Met als resultaat enorme hinder voor de omgeving, financiële tegenvallers, een vergrote kans op graafschade en een gemiste kans voor een goede ondergrondse ordening. TEKST: ghislaine van der veen • BEELD: centrum ondergronds bouwen (cob) “D e grootste waarde van de samenwerking is het netwerk dat is ontstaan tussen de verschillende bedrijven,” zegt Derk-Jan Raven, kwaliteitscoördinator en convenantmanager bij de gemeente Rotterdam. “Inmiddels zijn we overgaan tot de tweede fase van het convenant Rotterdam, waarbij korte termijn doelen zich richten op assetvervanging en lange termijn doelen op energietransitie en klimaatadaptatie.” Digitaal ecosysteem Afgelopen november gaf het ministerie van Infrastructuur en Waterstaat de opdracht aan het Centrum Ondergronds Bouwen (COB) om door te gaan met fase twee van het project Samen Digitaal. Het COB-netwerk werkt aan een digitaal ecosysteem waarbij partijen ieder vanuit hun eigen tools op ieder moment de beschikbare informatie over de ondergrond kunnen raadplegen en ontsluiten. In fase één van Samen Digitaal, onderzocht het Convenant Rotterdam of de FAIR-principes (Findable, Accessible, Interoperable & Reusable) zich leenden voor het ontwikkelen 74 iBestuur 51, juli 2024 van een duurzame werkwijze om slimmer data te delen. Door het toepassen van deze principes wordt het mogelijk om verschillende databronnen aan elkaar te koppelen. Het doel van efficiëntere gegevensuitwisseling is de onderhoudswerkzaamheden beter te kunnen plannen, zegt Roy van der Knaap, Coördinator Samenwerkingsverbanden bij Evides. Door het toepassen van de FAIR-principes blijven de deelnemende partijen federatief en autonoom over hun eigen IT-omgeving, maar zijn ze wel in staat om de samenwerking tot stand te brengen. “Het Grenzeloos Datalandschap faciliteert de gegevensuitwisseling tussen verschillende bronsystemen.” GDL fungeert als een onafhankelijke partij. Dat is belangrijk, meent Bart Wijnen, Convenant manager bij Stedin”: “Er moet een gezamenlijk totaalbeeld gecreëerd worden waarbij de afstemming tussen verschillende partijen cruciaal is.” Real-time datasets Met behulp van een metadata tussenlaag en een connector kunnen de real-time datasets (de planningsdata) van de deelnemers ingezien worden binnen het eigen systeem. Deze

Convenant Rotterdam manier van samenwerken heeft in een pilot (2020-2021) al tastbare resultaten opgeleverd, waarbij werkzaamheden van Evides, gemeente Rotterdam en Hoogheemraadschap Schieland succesvol werden gecombineerd. Samen Digitaal-community Rudi Zoet, projectleider van Samen Digitaal bij het Centrum Ondergronds Bouwen (COB) heeft de ‘Samen Digitaal-community’ opgericht, specifiek gericht op het uitwisselen van plandata voor werken in de ondergrond. “Doel is om een digitaal ecosysteem te creëren waarin assetbeheersystemen, samenwerkingsapplicaties en databronnen met elkaar in verbinding worden gebracht,” vertelt Zoet. Rotterdam fungeert als pilot, waarbij de focus ligt op het opschalen van het project naar een landelijke toepassing. Hiervoor hebben we ook een link gelegd met de CityDeal Openbare Ruimte en de stichting Mijn Aansluiting.” De uitdaging is ervoor te zorgen dat het bij de start niet meteen te complex wordt neergezet, meent Zoet. “Allereerst willen we op een laagdrempelige wijze plandata met elkaar uitwisselen. In de toekomst kunnen andeOpschalen In de toekomst zal het succes van dit initiatief niet alleen worden gemeten aan de hand van technologische implementatie, maar ook aan de mate waarin het een verandering teweegbrengt in houding en cultuur bij organisaties. Het COB streeft naar een efficiëntere en duurzamere samenwerking in communities. In het SidO-project gaat het daarbij om de inrichting van de ondergrond. Het GDL werkt ondertussen, ingegeven door de dataspace-initiatieven vanuit Europa, aan een generieke en herhaalbare manier van data delen die gebruikt kan worden binnen de verschillende communities. Ghislaine van der Veen is communicatieadviseur bij Grenzeloos Datalandschap iBestuur 51, juli 2024 75 re gebruikstoepassingen en bijbehorende gegevens worden toegevoegd, maar dit vergt vergaande afspraken en kaders op landelijk niveau. Het Grenzeloos Datalandschap is voor ons een belangrijk factor in het realiseren van gestandaardiseerde gegevensuitwisseling.” Eind 2015 sloten Rotterdam, Evides en Stedin het Convenant Rotterdam voor onderhoudsprojecten voor riolering, kabels en leidingen. Doel: hinder beperken en kosten reduceren. De organisaties hebben zich onlangs aangesloten bij het SidO-project ‘Samen digitaal in de ondergrond’, waarbij ze samen met Grenzeloos Datalandschap werken aan een effectieve en vooral efficiënte oplossing voor data-uitwisseling om de werkzaamheden in de ondergrond beter te plannen.  Bekijk voor meer informatie de website van ‘Samen digitaal in de ondergrond’

KENNISPARTNER TCS nu al plaatsvindt aast het versterken van de cyberbeveiligingsaanvallen zelf, is te verwachten dat kwantumcomputers binnenkort de sterkste cryptografische algoritmen van klassieke computers kunnen kraken, vooral wanneer ze gecombineerd worden met de leer- en gegevensanalysemogelijkheden van AI. Hoewel veel Europese organisaties nog bezig zijn om dit nieuwe tijdperk van cyberbeveiliging onder de knie te krijgen, maken sommige cybercriminelen al gebruik van de technologie met een ‘Nu stelen, later decoderen’-aanpak (SNDL). Versleutelde informatie wordt nu verzameld met de ambitie om die straks te kunnen ontcijferen met behulp van kwantumtechnologieën. Denk aan gevoelige bedrijfsinformatie of gezondheids- en financiële gegevens van mensen. Onopgemerkt cybercrime Het verontrustende aan SNDL is dat deze strategie al wordt toegepast, maar onopgemerkt blijft omdat cybercriminelen de gestolen gegevens nog niet gebruiken. Hierdoor weten organisaties en personen vaak niet dat hun gegevens zijn gestolen. En als ze het wel weten geeft het feit dat de gegevens versleuteld zijn hen een vals gevoel van veiligheid. Naar verwachting blijven de gestolen gegevens echter niet voor altijd versleuteld. Om deze vaak onopgemerkte en dus ondergerapporteerde cybermisdaden in de juiste context te plaatsen, hebN Met de komst van kwantumtechnologie worden cyberaanvallen steeds geavanceerder. Is uw organisatie al kwantumgereed? Cybercriminelen zijn al voorbereid en werken aan deze toekomst; Europese organisaties moeten hetzelfde doen. ben Europese organisaties vorig jaar gezamenlijk het hoofd geboden aan tienduizenden cyberaanvallen. En het aantal aanvallen blijft stijgen: in 2023 heeft ongeveer de helft van alle bedrijven in Duitsland, Frankrijk, Nederland, Spanje en België te maken gekregen met een cyberaanval. Als we bedenken dat onopgemerkte cyberaanvallen vaak niet worden meegenomen in de statistieken, vallen de cijfers waarschijnlijk nog hoger uit. Klaar zijn voor kwantum is meer dan voorbereid zijn op nieuwe innovaties en cyberbeveiligingspraktijken. Het betekent dat Europese organisaties voorbereid moeten zijn op een Hoe kwantumcyber mogelijk SNDL-scenario en dat de beveiliging nu aangepast moet worden aan de toekomstige wereld van kwantumcybercriminaliteit. Hoe kwantumveilig te worden? Kwantumbeveiliging is een proces dat planning en voorbereiding vereist. Vroeg beginnen is de boodschap. Nu kwantumalgoritmen, zoals Grover en Shor, al in staat zijn om een aantal van de meest gebruikte cryptografische algoritmen van organisaties te breken, kunnen bedrijven door een inventarisatie hun zwakste toepassingen of systemen met een hoger risico prioriteren voor transformatie. Zodra een risicobeoordeling is uitgevoerd kunnen concrete maatregelen genomen worden om de organisatie te beschermen tegen aanvallen door mogelijk kwetsbare algoritmen te vervangen door kwantumveilige algoritmen. Cryptografische wendbaarheid noemen we dit. Het betekent dat organisaties zowel traditionele als kwantumveilige algoritmen kunnen gebruiken, zodat ze sneller kunnen migreren naar nieuwe cryptografische algoritmen en alternaDe beveiliging moet nu aangepast worden aan de toekomstige wereld van kwantumcybercriminaliteit 76 iBestuur 51, juli 2024

r criminaliteit daire locatie bewaren. Ten tweede met begeleiding bij de overstap op een hybride aanpak tussen kwantum- en klassieke cybersuites. Veel cloudaanbieders, waaronder TCS, zijn al bezig met het implementeren van post-kwantum cryptografie-algoritmen om hun clouddiensten te beveiligen en zijn goed gepositioneerd om klanten bij deze overgang te helpen. Post-kwantum cryptografiebibliotheken zijn ook beschikbaar bij bepaalde cloudaanbieders. Deze bieden een reeks kwantumveilige algoritmen waarmee cloudbedrijven kunnen experimenteren en die in hun systemen kunnen worden geïntegreerd. Bovendien voeren veel cloudaanbieders proeven uit met de distributie van kwantumsleutels, waarbij een protocol wordt gebruikt dat is gebaseerd op kwantummechanica om cryptografiesleutels veilig over te dragen. Dit zorgt op zijn beurt voor veilige communicatie in een wereld die wordt aangedreven door de kwantumdynamica. Flexibiliteit en aanpassingsvermogen tieve algoritmen kunnen gebruiken als er kwetsbaarheden worden ontdekt in een kwantumveilig algoritme. Organisaties kunnen zich ook voorbereiden door cryptografische logica los te koppelen van organisatielogica in toepassingen om de beveiliging van belangrijke activiteiten te verbeteren. Zodra algoritmen kwantumveilig zijn gemaakt is het zaak te onderzoeken of bepaalde veiligheidsgrenzen al zijn doorbroken door criminelen die de gegevens op een later moment willen ontsleutelen. Planning is hierbij essentieel, aangezien dit een situatie is waarin je je moet voorbereiden op een eventuele crisis. Het eerste wat je moet doen is ervoor zorgen dat je softwarearchitectuur veilig is geback-upt op een veilige locatie van een tweede partij, zoals een cloudprovider. De rol van de cloud Clouddiensten kunnen organisaties op twee manieren helpen bij de overgang naar kwantumparaatheid. Ten eerste door digitale back-upmogelijkheden in het geval van een kwantuminbreuk te bieden, waarbij organisaties gegevens idealiter op een cloudgebaseerde secun Ganesh Subramanya Global Head, Data Security and OT & IoT Security Practice, TCS Uiteindelijk loont het om prioriteit te geven aan aanpassingsvermogen en wendbaarheid. Beginnen met inventariseren, je bewust worden van de zwakke plekken in je IT-architectuur vanuit een kwantumstandpunt, geeft al waardevolle inzichten in toekomstige risico's. Hiernaast is het essentieel om aanpassingen door te voeren om kwantumgereed, kwantumveilig en wendbaar genoeg te zijn voor een SNDL-situatie, in een wereld waarin een kwantumrevolutie onvermijdelijk is. iBestuur 51, juli 2024 77 BEELD: BUREAU OMA

KENNISPARTNER ATABIX Woo-verzoeken: snellere Woo-verzoeken kunnen in hun omvang en complexiteit behoorlijk belastend zijn voor overheidsinstanties. Een pilot, uitgevoerd door Atabix in samenwerking met de werkgroep Open Overheid en het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI), heeft een formulier opgeleverd dat de efficiëntie van afhandeling moet verhogen door de uitvraag beter te structureren. n een Woo-verzoek gaat soms enorm veel tijd zitten. Wanneer de aanvraag breed gedefinieerd is, kan het gaan om duizenden beleidsdocumenten verspreid over meerdere afdelingen of departementen, over meerdere jaren heen, met meer dan 100 gigabyte aan data. Ambtenaren zijn dan uren bezig met het doorspitten van deze documenten en moeten daarbij uiterst consistent te werk gaan om te bepalen wat wel en niet relevant is. I Verspreide brondata In Nederland regelt de Wet open overheid (Woo) sinds 2022 de openbaarheid van bestuur door openbaarmaking van informatie door de Nederlandse overheid. De wet garandeert eenieder de mogelijkheid om informatie over een bestuurlijke aangelegenheid op te vragen bij ieder Nederlands bestuursorgaan, zoals een ministerie, provincie of gemeente. Een van de grootste uitdagingen bij de afhandeling van Woo-verzoeken is de gefragmenteerde en vaak ongeïndexeerde staat van overheidsgegevens. Paul Hage, COO van Atabix, werkt samen met werkgroep Open Overheid aan een Paul Hage: “Hoe beter de kwaliteit is van een aanvraag, hoe groter de kans dat een Woo-verzoek succesvol wordt afgerond” 78 iBestuur 51, juli 2024

e afhandeling slim en generiek Woo-formulier. Hij beschrijft de situatie als volgt: “Er is geen enkele databron waar je simpelweg een zoekopdracht uitvoert en alle relevante informatie over een onderwerp vindt. Informatie is verspreid over verschillende systemen en fysieke locaties. Dit maakt het moeilijk om snel en accuraat te reageren op verzoeken.” Deze structuurproblemen worden verder gecompliceerd door een gebrek aan bewustzijn over waar en hoe de benodigde informatie te vinden is. Beginnen bij het begin Het begint allemaal bij het invullen van het Woo-verzoek. Vaak worden deze verzoeken door de aanvrager zó breed geformuleerd, dat het geven van een nauwkeurig antwoord lastig is. Bovendien, als alle data niet op één centrale plek staan, kan het vinden van de benodigde informatie een tijdrovende taak zijn. Om deze uitdagingen aan te pakken, zette Atabix in samenwerking met de werkgroep Open Overheid binnen het RDDI een pilot op om een generiek formulier te ontwikkelen voor het indienen van Woo-verzoeken. “Dit formulier helpt de aanvrager om zijn Woo-verzoek te verrijken door een aantal slimme vragen te stellen, waardoor je tijdens de door slimmere uitvraag afhandeling van het Woo-verzoek sneller tot de juiste informatie komt.” legt Hage uit. “Hoe beter de kwaliteit is van een aanvraag, hoe groter de kans dat een Woo-verzoek succesvol wordt afgerond.” Gestructureerd tot een uitvraag komen Door slimme vragen te stellen in het Woo-formulier zoals ‘Waarom heeft u deze informatie nodig?’, ‘Weet u al welk departement de informatie heeft?’ en ‘Naar wat voor documenten bent u op zoek?’, is er direct duidelijk om welke informatie wordt gevraagd en kan de aanvraag direct worden doorgestuurd naar de juiste persoon, afdeling of departement. Deze aanpak vergemakkelijkt niet alleen het werk van overheidsmedewerkers, maar verbetert ook de kwaliteit van de service naar burgers. Door de juiste balans te vinden en alleen relevante vragen te stellen, kan het proces efficiënter en effectiever worden gemaakt: “Het doel is dat de aanvrager in één keer de informatie krijgt waar hij naar op zoek is. Als je gaat sturen of overvolledig wilt zijn, vertroebelt dit juist de aanvraag,” verklaart Hage. Verfijning van aanvraag en afhandeling Uiteindelijk willen we de lessen die wij in deze pilot opdoen vrijgeven voor de overheidsmarkt. Maar het formulier is slechts het begin wat betreft Hage: “Dezelfde winst die we proberen te bereiken met een gestructureerde uitvraag, kun je ook bereiken bij de afwikkeling van het Woo-verzoek.” Hierbij zijn twee belangrijke verbeteringen te onderscheiden. • het clusteren van vergelijkbare verzoeken, waardoor gelijktijdig meerdere vragen kunnen worden beantwoord. • het categoriseren van verzoeken, wat onderscheid maakt tussen complexe en eenvoudige aanvragen. Dit stelt je in staat om sneller te reageren op minder ingewikkelde verzoeken. “Snelle, korte verzoeken blijven nu soms te lang in de wacht staan, omdat er geen capaciteit is om ze af te handelen. Mogelijk kun je twee werkstromen creeren, één voor kleine verzoeken en één voor grote verzoeken, als je het proces rond de afhandeling slimmer indeelt. Zo wordt de ervaring voor de aanvrager verbeterd.” meer weten?  Ga naar www.atabix.nl iBestuur 51, juli 2024 79 BEELD: SHUTTERSTOCK

KENNISPARTNER BLUERIQ Effectiever zaakmanagement door datagedreven AI-oplossingen Ongelijke werkverdeling; een groots probleem dat zowel in de publieke als andere sectoren vaak voorkomt. De traditionele Excel- en/of fysieke planborden leiden vaak tot frustraties. Met behulp van het dynamisch zaaksysteem van Blueriq stellen we overheidsorganisaties in staat om efficiënt te opereren. oel van een dynamisch zaaksysteem is om organisaties te ondersteunen bij het effectief afhandelen van complexe zaken, zoals het verwerken van aanvragen, en hen tegelijkertijd in staat te stellen om te anticiperen op veranderingen. Zo kan de groeiende druk op overheidsinstellingen beter gemanaged worden. Bij dynamisch zaaksystemen verlopen processen niet meer volgens uitgetekende procesmodellen met een vaste volgorde van uit te voeren stappen en de daarbij behorende afdelingen en/of rollen. Wij streven ernaar om een proces dusdanig in te richten dat alle partijen het einddoel voor ogen houden. Aan de hand van een ingediende aanvraag, bijvoorbeeld een asielaanvraag, kan het D systeem door middel van de ingestelde eisen en wensen geautomatiseerd op de juiste momenten de juiste taken beschikbaar stellen aan de juiste mensen. Bye bye Excel-sheets Gezien de hoge aantallen aanvragen kan het een enorme uitdaging zijn om bij nieuwe aanvragen te bepalen welke collega’s hieraan moeten gaan werken. In het verleden zagen wij vaak organisaties met Excel-sheets of fysieke planborden werken. Tegenwoordig is een van de oplossingen die wij bij ons dynamisch zaaksysteem beschikbaar stellen, een werkverdelingsmechanisme. Hier maken verschillende overheidsorganisaties momenteel met veel plezier gebruik van. Aan dit mechanisme kunnen ook regels en automatiseringen gekoppeld worden. Werkverdelingsmechanisme Het mooie hieraan is dat elke aanvraag in de basis uniek is, maar dat de AI-oplossing van dit systeem te trainen is op basis van historische data. 80 iBestuur 51, juli 2024

Goed werkgeverschap Niet het systeem, niet de organisatie, niet de klant, maar het doel staat centraal Dit wordt gecombineerd met de eerder genoemde automatiseringen en regels; datagedreven. In de praktijk ziet dit er als volgt uit: er wordt een aanvraag ingediend; het systeem gaat aan de hand van zaken die in het verleden zijn afgehandeld herleiden door wie welke stappen er ondernomen zijn en welke regels en/of uitzonderingen zijn toegepast. Vervolgens wordt aan de hand van de ingestelde complexe regels getoetst wat er nodig is om de zaak binnen de gestelde termijn zo goed mogelijk af te handelen. Het werkverdelingsmechanisme houdt rekening met de historische data (wie heeft dit soort en/of type aanvragen eerder behandeld), wie van de collega’s zou welke taken kunnen oppakken en heeft hier ruimte voor? Het werken met een werkverdelingsmechanisme levert verschillende voordelen op. Zo waarborgen organisaties goed werkgeverschap; collega’s worden beschermd tegen burn-outs. Een trend die volgens het TNO sinds een aantal jaren toeneemt (1,3 miljoen Nederlandse medewerkers in 2022, 1,6 miljoen in 2023). Tegelijkertijd worden werkverdelers ontzorgd door automatisch werkzaamheden te verdelen over de juiste collega’s binnen het team. Werkverdelers zijn niet meer handmatig werk aan het verrichten, maar komen juist in een controlerende of toezichthoudende rol. Anderzijds worden organisaties op tijd ervan op de hoogte gesteld als er knelpunten in de capaciteit ontstaan door middel van slimme notificaties. Uitbreidingen aan dynamische zaaksystemen, zoals het werkverdelingsmechanisme, hebben zich in de praktijk bij verschillende overheidsinstellingen bewezen. Na de implementatie van een slim werkverdelingsmechanisme heeft één van onze klanten de doorlooptijd van het verdelen van dossiers weten te verminderen van vier weken naar minder dan één uur. Hierdoor worden de trajecten van aanvragen flink ingekort, wordt de termijnbewaking van de procedure gewaarborgd en ervaren collega’s voldoende beweegruimte en tijd om aanvragen inhoudelijk correct af te handelen. Actief beheer Bij het gebruik van zulke modules is het cruciaal om deze actief te beheren. Nieuwe regels of gewijzigde processtappen moeten uiteraard op tijd verwerkt worden. Met actief beheer van de bedrijfsregels en automatiseringen kan een organisatie veel inzichten vergaren, kosten besparen en de foutgevoeligheid reduceren. Door dit soort innovaties en ontwikkelingen te omarmen kunnen organisaties efficiënter reageren op uitdagingen zoals toenemende subsidieaanvragen. Een dynamisch zaaksysteem helpt bij het afhandelen van specifieke zaken, zoals bezwaarschriften, maar dus ook bij het anticiperen en managen van groeiende complexiteit en druk op overheidsinstellingen. Wij zien dat hier meerdere organisaties een grote meerwaarde uit halen en dat individuele collega’s daadwerkelijk ondersteund worden bij dagelijkse werkzaamheden en met veel plezier hun werk uitvoeren door de inbreng van onze oplossingen. De feedback die wij hierop ontvangen is erg belangrijk voor ons. Door het einddoel van de applicatie centraal te houden tijdens de implementatie en doorontwikkeling(en) hiervan - én door actief naar hulpvragen te luisteren - werken we samen toe naar een complete oplossing die datagedreven organisaties in staat stelt om zaakgericht te werken. Wouter Broekman Business Consultant Overheid Blueriq  Meer weten over ons dynamisch zaaksysteem en de bijbehorende modules? Of onze specifieke methode om het einddoel van de applicatie altijd centraal te houden? Neem contact op met Wouter Broekman: 06 26 08 00 21, overheid@blueriq.com. iBestuur 51, juli 2024 81 BEELD: GRAFVISH

KENNISPARTNER CENTRIC De gemeente Texel koos voor haar nieuwe financiële systeem voor Key2Financiën in de cloud. De cloudoplossing is een logische keuze, vertellen Jeroen Backer en Jacqueline van Driel van de gemeente. Bovendien levert het voordelen op, zoals op elk moment kunnen beschikken over de juiste cijfers en niet meer afhankelijk zijn van het draaien van scripts op de eigen server. Zuiver beginnen in een nieuw systeem an Driel is financieel adviseur en Backer regievoerder van het administratieve team en applicatiebeheerder op afdeling Advies & Ondersteuning van de gemeente Texel. Samen trokken ze de kar van de overgang naar een nieuw financieel systeem. Van Driel als projectmanager, Backer verzorgde de implementatie aan de inhoudelijke kant. Alles gaat naar de cloud Het traject startte in 2021, toen duidelijk werd dat het financiële systeem dat de gemeente toen gebruikte, Decade, met ingang van 2024 niet meer door leverancier Unit4 werd ondersteund. Via een Europese aanbesteding werd Centric geselecteerd, met het pakket Key2Financiën. In januari 2023 startte de implementatie, het systeem ging live op 1 januari 2024. Dat het nieuwe systeem een cloudoplossing was, was een logische keuze, vertellen ze. Van Driel: “Het was voor ons geen vraag of we dat wilden, het past bij de cloudstrategie van onze gemeente.” Backer: “Als we hadden gekozen voor on premise, dan hadden we waarschijnlijk de hele implementatie over een paar jaar opnieuw moeten doen, omdat het dan alsnog naar de cloud ging.” V Gedegen voorbereiding De overgang naar het nieuwe systeem verliep soepel, dankzij een goede voorbereiding. De grootste uitdaging was het vertalen van de ‘oude’ werkwijze van de gebruikers naar het nieuwe pakket. Ook omdat de veranderingen pas zichtbaar worden bij ingebruikname van Key2Financiën, vertellen ze. Backer: “Ik heb de medewerkers zoveel mogelijk meegenomen in wat er ging veranderen. Ik maakte handleidingen en gaf trainingen, in eerste instantie samen met de consultant van Centric en na de livegang zelfstandig." Opnieuw beginnen Meteen zijn ook de werkwijzen en processen aangepakt. Backer: “We hebben er voor gekozen om opnieuw te beginnen en alles van A tot Z doorgenomen met de key users: de adviseurs, het team administratie en de gebruikers. Wat kan efficiënter, wat hebben jullie nodig en wat niet?” Het resultaat is onder meer een nieuw rekeningschema waarbij overbodige of niet meer gebruikte kostenplaatsen en grootboeken zijn geschrapt. Ook is de indeling en weergave van de programma’s gelijkgetrokken met de Iv3 Informatievoorschriften van het Rijk. “Tot en met 2023 had Texel een eigen programmaindeling, de weergave van de begroting en jaarrekening was dus anders dan de rapportage aan het Rijk. We moesten hierdoor twee structuren onderhouden. Met ingang van 2024 is dit nu gelijk.” Haperende verbinding Het kostte een paar weken voordat de technische verbinding goed werkte. “Zowel bij ons als bij Centric moesPluspunt van Key2Financiën is de koppeling met de basisregistraties BRP en NHR ten een aantal aanpassingen worden gedaan,” vertelt Backer. Ook de koppelingen met andere systemen waren een aandachtspunt. Van Driel: “Uiteindelijk bleek dat als je de techneuten van de betrokken partijen bij elkaar zet, ze het heel snel oplossen.” In januari 2024 ging 82 iBestuur 51, juli 2024

Jeroen Backer: “Het was voor ons geen vraag of we dat wilden. Alles gaat naar de cloud, het past bij de cloudstrategie van onze gemeente.” BEELD: ????????? de knop om en kwam het nieuwe financiële systeem in de lucht. De livegang verliep soepel. Koppeling met basisregistraties Een pluspunt van Key2Financiën is de koppeling met de basisregistraties BRP en NHR. Backer: “Die koppeling hadden we niet, waardoor het wel eens gebeurde dat we een factuur naar een oud adres stuurden.” Er zijn meer automatische controles en koppelingen die het werk efficiënter maken. Zoals een automatische controle van bankrekeningen. En factuurherkenning, waardoor bepaalde velden door het systeem worden ingevuld. Van Driel noemt verder de koppeling met Pepperflow, waar gegevens mee worden uitgewisseld voor het maken van de Planning & Control-documenten. En de koppeling met het salarispakket Motion. Een voordeel van het werken met een cloudoplossing is dat alle gegevens realtime zijn. Van Driel: “Zeker ten tijde van het maken van de begroting is dat heel belangrijk. Wijzigingen van de cijfers zijn direct zichtbaar, ook in Pepperflow. Dat vind ik een groot pluspunt.” Neem de tijd Over de samenwerking met Centric zijn ze tevreden. Van Driel: “Als wij ergens mee zaten, dan werd er gelijk actie ondernomen. De interne communicatie kon soms beter, we kregen soms dezelfde vragen twee keer.” Backer denkt dat het goed is als de ondersteuning bij de livegang niet een dag, maar een week beschikbaar is. “En het zou goed zijn als dat bij een team ligt en niet bij één persoon. Dat maakt je minder kwetsbaar als iemand onverhoopt niet kan.” Hebben ze nog een advies voor gemeenten die overwegen om de overstap naar Key2Financiën te maken? Van Driel: “Speel de applicatiebeheerder helemaal vrij voor de voorbereiding, de overgang en de nazorg. Dat kost wat, maar dat win je terug. Want dan is alles opgeschoond, zijn alle processen doorlopen en begin je zuiver in het nieuwe systeem.” Backer: “Daar sluit ik mij bij aan. Onderschat een dergelijke overgang niet. Ik ben blij dat ik hier alle tijd voor had.”  Meer over Key2Financiën iBestuur 51, juli 2024 83

DATA EN AI PODIUM r is een nieuwe manier van privacybescherming in ontwikkeling waarbij gebruikers meer controle krijgen over hun eigen data en zelf kunnen bepalen met wie ze die delen. De data worden dan opgeslagen in een datakluis die bewaard kan worden op een lokaal apparaat van een gebruiker of in een beveiligde cloud. Overheden, op zoek naar mogelijkheden om de privacy van burgers beter te beschermen, kijken vol belangstelling naar deze ontwikkeling. Het overheidsprogramma Regie op Gegevens leidde onder andere tot een referentiearchitectuur en protocollen voor het uitwisselen van (gevoelige) gegevens. MedMij is een implementatie hiervan voor het uitwisselen van medische gegevens. Een ander project is IRMA, een authenticatieprotocol dat gebruikers controle geeft over zijn ‘attributen’, ontwikkeld door de vakgroep privacy van Radboud Universiteit. Dit project is verder ontwikkeld tot de huidige app Yivi. E Meer privacy met Doorbraak in 2024? Er zijn veel initiatieven, maar nog weinig standaarden gezet met veel gebruikers. Daar zou dit jaar verandering in kunnen komen door initiatieven vanuit zowel de markt als de overheid. Zo ontwikkelt Google Privacy Sandbox. Die moet de privacy voor gebruikers vergroten en tegelijkertijd marketeers nieuwe mogelijkheden geven, bijvoorbeeld om gerichte reclames te tonen waarmee webdiensten gratis kunnen blijven. In 2023 besloten de grote Nederlandse mediahuizen, NPO, DPG Media, Mediahuis, RTL Nederland en Talpa Network, samen te gaan werken aan de ontwikkeling van een Nederlandse datakluis, met subsidie van de Europese Commissie (en na een afgewezen aanvraag vanuit het Nationaal Groeifonds). Het moet gebruikers in staat stellen om een rijk persoonlijk dataprofiel op 84 iBestuur 51, juli 2024 Al langere tijd zijn persoonlijke datakluizen in ontwikkeling waarmee burgers zelf hun persoonlijke gegevens beheren en kunnen bepalen met welke organisaties ze die delen. Gaat dit zorgen voor een verbetering van de privacy of juist het tegenovergestelde? TEKST: maurits kreijveld • BEELD: elena butinova te bouwen en zelf te bepalen wie deze data mogen gebruiken. Op basis hiervan kunnen gepersonaliseerde aanbevelingen gedaan worden. Dit initiatief wil niet alleen de privacy van consumenten verbeteren, maar ook de media- en cultuursector toegang geven tot betere marketingdata en daarmee een sterkere positie ten opzichte van Google. In Vlaanderen is het initiatief door de overheid genomen met de oprichting van een ‘datanutsbedrijf’ Athumi. Vanuit dit bedrijf wil men protocollen voor de uitwisseling van data en datakluizen ontwikkelen. Hierbij gaat het ook over medische gegevens en communicatie met de Vlaamse overheid, zoals diploma’s en gegevens uit de basisregistratie (NAW, leeftijd, huwelijkse staat, ed.). Microsoft heeft zich als een partner aan

een datakluis? gesloten. Ook in Vlaanderen heeft men de media- en cultuursector in het vizier. De publieke omroep (VRT) wil meer inzicht in kijk- en luistergedrag en theaters en musea willen meer informatie over bezoekers (publieksdata). Opvallend genoeg lijken de grote Vlaamse mediahuizen DPG Media en Mediahuis hier nog niet bij betrokken te zijn. Reparatie van het web? We krijgen te maken met een nieuwe dynamiek op het web. Bedrijven en overheden krijgen mogelijk toegang tot meer waardevolle, samenhangende en actuele, niet vervuilde data van hun gebruikers. Tegelijkertijd zullen zij misschien nog beter moeten aangeven wat ze met de persoonlijke data van gebruikers doen en wat de meerwaarde ervan is, bijvoorbeeld dat de dienstverlening aantoonbaar beter wordt. Een goede vertrouwensrelatie zal nog belangrijker worden voor toegang tot die gegevens. Verder kan het leiden tot een meer gelijk speelveld tussen grotere en kleinere bedrijven en tussen oudere spelers en nieuwkomers. Een goede vertrouwensrelatie zal nog belangrijker worden voor de toegang tot gegevens De hamvraag blijft wat gebruikers gaan doen: gaan ze hun eigen data zorgvuldig beheren, aanvullen en verbeteren? Gaan ze meer data delen dan nu, als ze meer controle hebben over hun data en meer inzicht hebben in wat er allemaal mee gebeurt? Zullen ze nog steeds net zo gemakkelijk als nu een vinkje zetten? Zal de privacy van burgers echt worden verbeterd? Naast de privacyregelgeving zijn meer robuuste privacy by design strategieën nodig, zoals het recht om vergeten te worden, de mogelijkheid om anoniem of ongepersonaliseerd gebruik te kunnen maken van diensten of via tijdelijke disposable identities. Dit legt voortdurend ook een verantwoordelijkheid bij organisaties die gebruikersgegevens verzamelen en verwerken. Gaat die verantwoordelijkheid door de opkomst van datakluizen verschuiven naar de data-eigenaar? Representatieve AI-chatbot De balans tussen consument en bedrijf en tussen burger en overheid blijft scheef door de snelle ontwikkeling van AI waarmee data kunnen worden geanalyseerd en geïnterpreteerd. In dat perspectief bezien zou er niet alleen een datakluis nodig zijn, maar daar bovenop een persoonlijke ‘AI-chatbot’ die de identiteit en persoonsgegevens van burgers beschermt. Die automatisch kan leren van je gedrag over je voorkeuren naast feitelijke gegevens. Een chatbot die namens consumenten en burgers kan onderhandelen met dienstverleners. Zo bezien zijn de datakluizen slechts een eerste stap in een ontwikkeling die een flinke impact zal gaan hebben op dienstverlening, marketing en privacy. Maurits Kreijveld is futuroloog en strategisch adviseur op het gebied van digitale transformatie. iBestuur 51, juli 2024 85

Meld u nu aan voor de nieuwsbrief iBestuur! 1 2x per week het nieuws, blogs en artikelen met kritische blik op de digitalisering van maatschappij en overheid U kunt zich ook aanmelden voor de themanieuwsbrieven. Eén keer per maand een ander thema, zoals: ■ digitale weerbaarheid ■ digitale toekomst EU ■ data en AI ■ overheid in transitie ■ digitalisering en democratie ■ markt en overheid ibestuur.nl/nieuwsbrief

COLUMN Leiding nemen Ik schrijf deze column met de Europese Verkiezingen pal voor de deur. Ik ga niet speculeren over de uitslag. U kunt immers meteen zien of ik gelijk heb gehad. Nee, liever identificeer ik kansen die het nieuw verkozen Europees Parlement straks krijgt. Nu moeten we gaan nadenken over wat we wél willen met de platformeconomie en AI Eigenlijk is het project van Europese integratie vrij jong. De huidige opzet kennen we nog maar 15 jaar ongeveer, sinds de Europese Verkiezingen van 2010. Met een Europees Parlement als volwaardige wetgever, met beleid dat in de regel Europees is en bij uitzondering nationaal en met debatten die werkelijk pan-Europees zijn. Eigenlijk beweegt Europa met enorme snelheid. In deze hogedrukpan voelt ieder parlementair mandaat van vijf jaar als een veel langere periode waarin veel kan veranderen. Zo was het Parlement tussen 2010 en 2019 heel assertief en werd er veel bereikt, terwijl de afgelopen vijf jaar zijn gekenmerkt door terughoudendheid en machtsverlies aan de andere EU-instellingen. Als het allemaal zo snel beweegt, waarom voelt het dan toch zo stroperig? Heel simpel, de wereld beweegt nog sneller. De economische groei van China, India en de vaak over het hoofd geziene Zuidoost-Aziatische regio gaat sneller. Kunstmatige intelligentie gaat sneller. Amerika gaat sneller. We zijn weliswaar snel geïntegreerd, maar blijven op cruciale punten achter. Dat brengt me bij de belangrijkste kans die het Europees Parlement moet grijpen: de leiding nemen. De Europese Raad van nationale regeringsleiders is niet geschikt om de boel in beweging te zetten. Verlamd door veto’s en een aantal regelrechte boeven in hun midden, hoeven we niet veel te verwachten van dit orgaan. Een Parlement, met debatten en gewone meerderheidsbesluitvorming, kan veel daadkrachtiger optreden. Juist als de mensen aan de knoppen het niet meer weten of niet meer kunnen waarmaken, is de kans daar om op kop te gaan. Wat te doen als het initiatief eenmaal gepakt is? Op digitaal vlak zie ik vooral kansen om voort te bouwen op de regels die we hebben opgesteld voor de platformeconomie en kunstmatige intelligentie. Die regels gaan over wat we – terecht – niet willen. Nu moeten we gaan nadenken over wat we wél willen. We zien in Amerika dat veel van de innovatie toch weer afglijdt naar hetgeen het (advertentie)geld in het laatje brengt. Laten we de reeds opgelopen achterstand inlopen, door in te zetten op het maatschappelijk nut van kunstmatige intelligentie. Een Europese Nobelprijs voor AI wellicht? sophie in ’t veld Europarlementariër en fractielid Renew Europe iBestuur 51, juli 2024 87

KENNISPARTNER CAPGEMINI Society 5.0 is een mes dat aan twee kanten snijdt: technologie biedt ons de kans de veiligheid van ons land en onze burgers beter te garanderen, maar het levert ook nieuwe uitdagingen op voor die veiligheid. Binnen dit spanningsveld beweegt zich de nieuwe editie van ons jaarlijkse Trends in Veiligheid rapport. Trends in Veiligheid 2024 – 2025 Verantwoorde inzet van AI Geavanceerde cybercrime, decodering door quantum technology, deep fakes door AI: het is maar een greep uit wat Society 5.0 met zich meebrengt voor de politie. “Wendbaarheid is voor de politie meer dan ooit essentieel,” zegt Joop van der Born, Chief Technology Officer bij de Politie. Voor hem zijn transparantie, proportionaliteit en een sterk ontwikkeld ethisch kompas van groot belang. De politie wil geen ‘big brother-maatschappij’. “We hebben AI hard nodig voor de rechtshandhaving, maar wel ingezet volgens de spelregels van de rechtsbescherming.” Forensisch onderzoek “Het gaat bij de divisie Digitale en Biometrische Sporen (DBS) vooral om analyses en visualisaties voor partners in de veiligheidsketen. Digitale sporen zijn te vinden in bijvoorbeeld auto’s, telefoons en computers. We zeggen ook wel: als het een geheugen heeft, dan is het fair play,” aldus Erwin van Eijk, Hoofd divisie DBS en Chief Data Officer bij het Nederlands Forensisch Instituut (NFI). “Wij zoeken naar patronen. Om onderzoek te kunnen doen over zaken heen, wil je niet alleen data uit één specifieke zaak toepassen. Je wilt ook voorgaande sporen analyseren, maar dat kan niet anoniem. Hoe kunnen we binnen de bestaande wet- en regelgeving optimaal ons werk doen? Dat vind ik een buitengewoon interessante en belangrijke vraag.” De digitale defensie Society 5.0 verandert bestaande arbeidsstructuren ingrijpend. In een wereld van mondiale spanningen moet het personeelsbestand van Defensie flexibel en schaalbaar zijn. “In vredestijd moet je je arbeidsmarktstrategie ontwikkelen. Onze rol als werkgever verandert sterk,” vertelt Paul van der Touw, brigadegeneraal en souschef Personele Gereedheid bij de Defensiestaf. Hij noemt de opkomst van technologie in het veiligheidsdomein als een van de uitdagingen bij het vinden van gekwalificeerde nieuwe medewerkers. Zeker in de huidige, krappe arbeidsmarkt: “Overal waar je technologische innovaties succesvol integreert in militaire concepten ontstaat een groeimarkt. Zo hebben we veel ICT’ers en cybertechnici nodig. Ook in het informatiedomein wordt gevochten, 365 dagen per jaar.” 88 iBestuur 51, juli 2024

Digitale weerbaarheid Cybersecurity is ondertussen een van de belangrijkste agendapunten binnen het ministerie van Justitie en Veiligheid en haar taakorganisaties. De naïviteit erover is inmiddels wel verdwenen, meent Ric de Rooij, plaatsvervangend secretaris-generaal van JenV, eigenaar van 28 taakorganisaties, waaronder het COA, NFI, DJI en NCSC, en verantwoordelijk voor de continuïteit van de dienstverlening. De Rooij: “We zijn ons steeds meer bewust van de risico’s, dreigingen en gevaren. Cybersecurity is chefsache geworden.” Nederland staat er gelukkig niet alleen voor. Ook voor de Europese Unie is digitale veiligheid topprioriteit. Prioriteit die bijvoorbeeld tot uiting komt in NIS2: de nieuwe versie van het Network and Information Security Directive, die later dit jaar van kracht wordt. De Rooij: “We voorzien grote consequenties voor de inrichting daarvan, maar de noodzaak is duidelijk. Zeker in een tijd van geopolitieke spanningen moeten we ons voorbereiden op nieuwe technologieën en dreigingen.’ Efficiënte, datagedreven besluitvorming in het veiligheidsdomein Tegen de achtergrond van toenemende maatschappelijke complexiteit wordt de asielketen in Nederland geconfronteerd met een toenemende instroom van asielzoekers, grote druk op de woningmarkt en een veranderend politiek klimaat. Dat is een flinke uitdaging voor organisaties zoals het Centraal Orgaan opvang Asielzoekers (COA). Technologie wordt in deze context steeds belangrijker om de efficiëntie van besluitvorming te vergroten. “Door nauwkeurige data kunnen we als organisatie kalm blijven in chaos,” aldus Rogér Pellemans, Directeur Opvang & Begeleiding. “Het gaat niet alleen om de techniek maar ook om sociale innovatie. We moeten de juiste medewerkers aan boord krijgen en zorgen dat we ze op de juiste manier digitaal fit krijgen. We moeten ons dus echt klaarmaken voor de toekomst.” Society 5.0 in de meldkamer Om burgers in nood efficiënt en snel te helpen én hulpdiensten goed te faciliteren in noodsituaties, moeten meldkamers altijd beschikbaar zijn. Altijd, dus ook met het oog op de toekomst. Dat betekent een nieuwe inrichting met een flinke digitaliseringsslag. In 2010 waren er nog meer dan 25 meldkamers, nu zijn dat er twaalf. “En dat moeten er uiteindelijk tien worden in 2025 met één gestandaardiseerde dienstverlening”, legt Melvin Doorn uit. Hij is hoofd functionele meldkamervoorzieningen LMS. Naast de continue vernieuwing en doorontwikkeling heeft LMS ook te maken met aanzienlijke veranderingen. Society 5.0 en specifiek ‘de burger centraal’ klopt ook bij de meldkamers duidelijk op de deur. “Dan ontvang je veel meer informatie dan alleen uit een belletje”, aldus Doorn. In vogelvlucht hebben we laten zien dat het digitale aspect een steeds grotere rol speelt binnen alle subdomeinen van het veiligheidsdomein. Digitale dreigingen vragen om een digitaal antwoord. En dat antwoord moet hand in hand gaan met een sterk ethisch besef, en respect voor de menselijke maat. Erik Staffeleu (Vice President Public Sector Capgemini Invent)  Lees meer in ons nieuwe rapport: Trends in Veiligheid 2024 – 2025: Veiligheid in Society 5.0. iBestuur 51, juli 2024 89

KENNISPARTNER MICROSOFT Het afgelopen jaar was voor Microsoft één grote reis op het gebied van verantwoorde AI. Naast opmerkelijk en opwindend was het vooral ook leerzaam. Microsoft heeft een schat aan waardevolle kennis opgedaan over het bouwen van verantwoorde AIsystemen, maar ook over het ondersteunen van klanten en gebruikers bij zowel gebruik als custom ontwikkeling. Dit zijn de vier waardevolste ‘lessons learned’. ergaderingen samenvatten, voorstellen schrijven, grote hoeveelheden data analyseren, meerdere interne documenten tegelijkertijd bevragen: het afgelopen jaar werden de vele toepassingen van generatieve AI (GenAI) massaal omarmd binnen de zakelijke markt. Met de lancering en brede integratie van Microsoft Copilot en Azure OpenAI Service was het ook voor Microsoft een ronduit sensationeel GenAI-jaar. Al sinds jaar en dag heeft het techbedrijf principes en processen voor het bouwen van verantwoorde AI-toepassingen. De grootschalige implementatie van GenAI-producten de afgelopen twaalf maanden leverde echter een hoop nieuwe uitdagingen (en kansen) op. Responsible AI Transparancy-rapport Microsoft publiceerde daarom onlangs het eerste Responsible AI Transparancy-rapport, dat de verantwoorde AI-aanpak van het bedrijf beschrijft en ingaat op de nieuwe uitdagingen. Chief Responsible AI Officer Natasha Crampton en Chief Product Officer for Responsible AI Sarah Bird bespreken de belangrijkste V Verantwoorde AI Tips en lessen van Microsoft learnings in de blogpost ‘7 takeaways from a year of building generative AI responsibly and at scale’. Dit zijn de vier nuttigste lessen die Microsoft trok op klanten- en gebruikersvlak: 1 Mensen inlichten over de bron GenAI-systemen kunnen in een handomdraai levensechtere video’s, afbeeldingen en geluidsfragmenten creëren. Het wordt dus steeds belangrijker dat gebruikers de herkomst van kunstmatig gegenereerde inhoud kunnen achterhalen. De Content Credentials van Microsoft zijn cryptografische watermerken waarmee gebruikers kunnen verifiëren of content door AI is gemaakt. Het AI for Good Lab, dat maatschappelijke problemen wil oplossen met AI, focust meer en meer op deepfakes, de kwade genieën daarachter én hun tactieken. De les? Vanwege de levensechtheid van GenAI-content moeten gebruikers de herkomst daarvan kunnen achterhalen. De Content Credentials van Microsoft helpen hierbij. 2 90 iBestuur 51, juli 2024 Verantwoorde AI-tools voor klanten Om de kwaliteit en bescherming van AI-outputs te verbeteren, stelt Microsoft zijn eigen tools, diensten, sjablonen en richtlijnen beschikbaar voor klanten.

Er zijn AI-tools die van een enkele afbeelding levensechte video’s kunnen creëren. BEELD: EGOR ZAKHAROV Responsible AI Transparancy-rapport In het eerste – vanaf nu jaarlijkse – Responsible AI Transparancy-rapport beschrijft Microsoft hoe het responsible AI ontwikkelt en op welke wijze klanten en gebruikers worden ondersteund bij het bouwen en gebruiken van verantwoorde AI-systemen. Het rapport schetst onder meer best practices voor gebruik, risicobeheersmaatregelen voor generatieve AI-modellen en aanbevelingen voor overheden om AI-systemen veilig en verantwoord te beheren en reguleren. Meer weten? Download het Responsible AI Transparency-rapport. 3 Verwacht dat mensen dingen stukmaken Organisaties kunnen hierdoor op verantwoorde wijze GenAI-systemen bouwen, beoordelen, implementeren en beheren. Met Azure AI Content Safety kunnen klanten bijvoorbeeld haatdragende en gewelddadige inhoud filteren. Een nieuwe set tools voor Azure AI Studio helpt organisaties bovendien om de veiligheid en betrouwbaarheid van custom GenAI-systemen te verbeteren. Onder meer kan een ‘hallucinatie’ van het model worden gedetecteerd. De les? Een groeiend aantal organisaties bouwt eigen GenAI-systemen. Om de kwaliteit en veiligheid te verbeteren, kunnen organisaties nu putten uit Microsofts eigen responsible AI-gereedschapskist. ‘Jailbreaks’ lijken een wetmatigheid: er zullen altijd mensen zijn die proberen de beschermingsmaatregelen van AImodellen te omzeilen. Microsoft gaat dit te lijf door mogelijke kwetsbaarheden te onderzoeken voordat AIproducten worden geüpdatet én door altijd de nieuwste tools te verstrekken aan klanten, zodat zij hun custom AI-toepassingen binnen Azure beter kunnen beschermen. Dankzij patroonherkenning kunnen nieuwe modellen van Microsoft zelfs jailbreaks herkennen en blokkeren. Een ander recent model voorkomt aanvallen waarbij het AI-systeem wordt overgenomen door instructies in prompts te ‘injecteren’. De les? Verken je de grenzen van technologie, dan loop je geheid tegen oneigenlijk gebruik aan. Microsoft werkt daarom voortdurend aan nieuwe oplossingen, zoals jailbreak-proof AI-modellen. Gevolg is dat organisaties continu moeten kijken naar extra veiligheidsfuncties binnen nieuwe modellen. 4 Informatie over de grenzen van AI AI is niet perfect. Gebruikers zouden kunstmatig gegeneerde inhoud moeten verifiëren. Microsoft vereeenvoudigt dit door bij elke chat-output links naar de geraadpleegde bronnen toe te voegen. Sinds 2019 biedt het bedrijf via 'transparantienotities' informatie aan over (onder meer) de mogelijkheden en beperkingen voor verantwoord toepassen van AI. Gebruiksvriendelijke mededelingen binnen producten ondersteunen gebruikers bovendien bij veilige en verantwoorde omgang met AI. De les? AI laat soms steekjes vallen. Transparantie over de beperkingen van AI is daarom belangrijk. Idealiter controleren gebruikers standaard of informatie juist is - om die reden linkt Microsoft naar de bron. lees de volledige blogpost  Alle zeven lessen lezen, óók die over de ontwikkeling van responsible AI in bredere zin. iBestuur 51, juli 2024 91

VNG REALISATIE Routekaart Financiële Zorgen helpt Venlo met nieuwe aanpak schulden De gemeente Venlo is vorig jaar gestart met een nieuwe aanpak schulden. Daarbij staat de inwoner nog meer centraal, en kijkt ze verder dan alleen naar geldzorgen. Bij het vormgeven van de nieuwe aanpak maakte Venlo als een van de eerste gemeenten in ons land gebruik van de routekaart Financiële Zorgen, die sinds januari online staat. enlo kampt, net als veel gemeenten, met de nodige uitdagingen op het gebied van schuldhulpverlening en armoede. Volgens het CBS (2023) heeft 9,4 procent van de Venlonaren geregistreerde problematische schulden en volgens de gezondheidsmonitor van de GGD Noord Limburg heeft 19 procent van de volwassenen moeite met rondkomen. Daarnaast is het wantrouwen richting de overheid is groot. En als er eenmaal geldzorgen zijn, dan heeft dit een negatieve invloed op meerdere facetten in het leven en het gezin. Verbinding met de inwoner Daarom was het tijd voor een nieuwe aanpak van armoede en schulden, die de verbinding met de inwoner moet verbeteren, vertelt wethouder economische V zaken, sociale zaken en kennisinfrastructuur Erwin Boom. Hij is de aanjager van de nieuwe aanpak, zoals vastgelegd is in het beleidskader Geldzorgen 2023-2031. Zijn passie om de aanpak van schulden en armoede in Venlo te verbeteren is groot. Als kind groeide hij op in een eenoudergezin, met een moeder in de bijstand. “Ik weet hoe het is om met minder rond te moeten komen. Ik kon niet met alle schoolreisjes meedoen en we hadden nooit kinderfeestjes. Ik wist niet beter. In mijn wijk was er veel werkeloosheid, en leefde men onder de armoedegrens. Ik had het geluk dat ik goed kon leren.” Meer regie voor de gemeente Vanuit zijn ervaring weet hij ook dat er altijd meer oorzaken zijn voor armoede en schulden. Hulp hierbij vragen is voor inwoners vaak moeilijk. Er speelt stress en schaamte. Het opbouwen van een vertrouwensrelatie met inwoners die bijvoorbeeld schulden hebben, is daarom essentieel. Dit kun je onder andere bereiken door je te verplaatsen in het perspectief van de inwoner en door er voor de inwoner te zijn gedurende het hele traject. Daarom moest er ruimte komen voor de adviseurs om inwoners daarmee te helpen. De inwoner centraal Onder meer door gebruik te maken van de routekaart Financiële Zorgen van de VNG kon Venlo het proces zo inrichten dat de inwoner centraal staat. Boom: “Ik denk dat de routekaart helpt bij het inzichtelijk maken waar de behoeften van inwoners zitten zodat je daar met je dienstverlening optimaal op kan aansluiten. Dit biedt als voordeel dat inwoners sneller op de goede plek komen en beter aangehaakt blijven tijdens alle fasen van het traject, waardoor schulden minder hoog oplopen en je meer effectiviteit bereikt met je interventies. Uiteindelijk levert dit vooral een maatschappelijke opbrengst op.” Hoe kunnen we de dienstverlening laten aansluiten op de inwonersbehoeften? 92 iBestuur 51, juli 2024

Wethouder Erwin Boom: “Ik denk dat de routekaart helpt bij het inzichtelijk maken waar de behoeften van inwoners zitten.” BEELD: ELS ZWEERINK De routekaart Financiële Zorgen neemt professionals mee op de reis die een inwoner met financiële zorgen aflegt. De basis van de routekaart bestaat dan ook uit acht mijlpalen die deze inwoner samen met de professional doorloopt en bereikt in het proces. “Probeer je te verplaatsen in de situatie van de persoon die bij jou met een hulpvraag komt”, geeft Boom als voorbeeld. “Die komt niet omdat diegene zich moedwillig in de schulden heeft gestoken en zo in deze situatie is gekomen. Er liggen altijd andere redenen achter. De routekaart heeft onze adviseurs schuldhulpverlening geholpen meer levensfasegericht te denken. Wanneer komt wie op welk moment welke stap tegen? Het helpt om meer in de fases denken waar een mens mee in aanraking komt. Daar is de routekaart een goed instrument voor.” Mijlpalen De afgelopen periode hebben zowel inwoners van Venlo als professionals van de gemeente samen met medewerkers van de VNG in meerdere sessies de mijlpalen van de routekaart doorlopen en gekeken hoe de ideale inwonersreis er in Venlo uit ziet. Wat gaat er goed of moet er worden verbeterd in de werkwijze van de professionals? Waar moet beleid voor worden gemaakt of aangepast? Wat is er nodig op het gebied van ICT, informatievoorziening en communicatie? Welke juridische uitdagingen liggen er nog? Volgens Boom sloot de routekaart precies aan bij de benadering die Venlo zelf ook al had gekozen in de nieuwe aanpak. “Daardoor konden we met de VNG mee optrekken, wat een erg prettige samenwerking was. Het hielp onze collega's mee door te ontwikkelen. Hoe kunnen we de dienstverlening laten aansluiten op de inwonersbehoeften? Hoe moet je dat dan aan lokaal beleid vertalen? Hoe kunnen we dat volgen of monitoren? Hoe heeft een bepaalde interventie precies geholpen? Het helpt als je dat meer inzichtelijk kan maken. Ik denk dat de meerwaarde van de routekaart zit in de structuur en houvast die het gemeenten kan bieden. Je moet daarvoor wel zelf ook al eigen plannen hebben. Het biedt een hele mooie kapstok aan de hand van waar je zelf eigen keuzes kunt maken.” Vragen over de routekaart of interesse in ondersteuning bij de implementatie van (onderdelen van) de routekaart? Mail naar het programma Verbinden Schuldendomein via schulden@vng.nl. meer weten?  Ook belangstelling voor de routekaart Financiële Zorgen? Scan de QR-code. iBestuur 51, juli 2024 93

VARIA AI is geen doel, maar een tool Het domste wat iemand volgens schrijver en spreker Aaron Mirck kan uitkramen, is de ambitie om ‘iets’ met AI te doen. Een loodgieter gaat toch ook niet naar het werk met het voornemen om zijn nijptang te gebruiken? In het boek ‘AI, voorbij de hype’ spoort Mirck de lezer aan om het onderscheid te maken tussen AI als tool en AI als doel. Omdat we vorige technologische doorbraken, zoals internet en smartphones in eerste instantie sceptisch benaderden, is er nu volgens hem sprake van grote angst om de AI-boot te missen. Maar door de hype en de discussies over mogelijke toekomstige gevaren, dreigen we de concrete risico’s in het heden over het hoofd te zien.  Scan de QR-code om het boek te bestellen. Het roer in handen In de podcast Stuurloos onderzoekt Volkskrantjournalist Kustaw Bessems hoe Nederland beter kan worden bestuurd. Een lange reeks misstanden, van het Toeslagenschandaal tot de gaswinning tot ellende in de jeugdzorg, heeft ervoor gezorgd dat zijn beeld van Nederland als keurig georganiseerd land aan diggelen ligt. Hoe kan het beter? In elke aflevering spreekt hij een expert met goede ideeën. In het gelijknamige boek beschrijft Bessems wat de zoektocht heeft opgeleverd. Een deel van het boek is gewijd aan digitalisering. Ooit leek automatisering een panacee voor maatschappelijke uitdagingen, nu is het een uitdaging op zich geworden.  Scan de QR-code voor meer informatie. 94 iBestuur 51, juli 2024

Oppermachtig Big Tech ‘Dan gebruik je WhatsApp toch niet?’ hoor je soms. Was het maar zo simpel. Volgens Reijer Passchier, hoogleraar Digitalisering in de democratische rechtsstaat, zijn grote techbedrijven inmiddels zo groot en machtig dat ze het fundament van de democratische rechtsstaat bedreigen. Het is een illusie om te denken dat we nog zonder ze kunnen. In zijn oratie ‘De vloek van Big Tech’ op vrijdag 31 mei jl. aan de Open Universiteit in Heerlen verkende Passchier hoe dat heeft kunnen gebeuren. Het gelijknamige boek verschijnt later dit jaar. Minachting Door digitalisering zouden we meer vrijheid, vrije tijd, gelijkheid en welvaart krijgen. In de praktijk nemen de ongelijkheid en politieke polarisatie toe en zwaait een nieuwe aristocratie vanuit Silicon Valley de scepter. De techbedrijven minachten publieke waarden als privacy en de betrouwbaarheid van informatie. Als het al lukt om wetten voor Big Tech te maken, is het de vraag of het lukt om ze daadwerkelijk te handhaven. Is de wetgever Big Tech überhaupt nog de baas?  Scan de QR-code om het boek te bestellen. Rampscenario’s In de documentaireserie ‘We Gaan Er Allemaal Aan (zelfs Valerio Zeno)’ van omroep PowNed duikt Valerio Zeno in een aantal rampscenario’s die mogelijk tot gevolg hebben dat we er allemaal aan gaan, van een nucleaire oorlog tot de komst van een asteroïde. Uiteraard ontbreekt AI niet in de serie. Kan de technologie werkelijk zo gevaarlijk worden dat we moeten vrezen voor het voortbestaan van de mensheid?  Scan de QR-code om de serie te bekijken. AI-model laat portretfoto’s zingen Mona Lisa die ‘Paparazzi’ van Lady Gaga ten gehore brengt, inclusief overtuigend bewegende wenkbrauwen. Het bestaat, met dank aan VASA-1 van Microsoft. Dit AI-model laat gebruikers portretfoto’s aan audiobestanden koppelen en genereert vervolgens video’s waarin de foto’s ‘op een realistische wijze kunnen praten en zingen’. Lachen natuurlijk, totdat je eigen portretfoto wordt misbruikt voor een deepfake. Microsoft benadrukt dat het geen plannen heeft om VASA-1 op de markt te brengen. Het bedrijf publiceerde een onderzoek over het AI-model, dat vooral bedoeld zou zijn om virtuele karakters te ontwerpen. Het is in staat om een groot spectrum aan subtiele gezichtsuitdrukkingen en natuurlijke hoofdbewegingen vast te leggen. Daardoor lijken de video’s echt en levendig. Gebruikers van het model kunnen zelf aanpassingen doen, zoals aan de hoofdbewegingen of de blikrichting.  Scan de QR-code voor meer informatie. iBestuur 51, juli 2024 95

VARIA Surveillancestaat De documentaire ‘Total Trust’ volgt drie vrouwen die stelselmatig door het systeem worden gepest. De Chinees-Amerikaanse filmmaakster Jialing Zhang laat zien hoe camera’s, gezichtsherkenningssoftware en dataverzameling door de overheid worden ingezet tegen dissidenten. Soms is er niet meer nodig dan het indienen van een bezwaarschrift of het bijwonen van een demonstratie om te worden gedwongen tot het afstaan van biometrische gegevens, zoals een irisscan en een stemopname. De overheid bepaalt waarvoor die gegevens worden gebruikt. Maar de film laat ook zien dat het sociaal kredietsysteem alleen kan floreren dankzij toezichthouders, de zogeheten ‘grid officers’, die een beetje geld verdienen door hun buren te bespioneren. Waar houdt de illusie op en begint de werkelijkheid? In de negentiende eeuw smulde men van optische illusies: een pratend hoofd op tafel, geesten op het toneel, een stereokijker waarmee je de Pyramides in 3D kon zien… Zo heel anders dan de huidige fascinatie voor virtual en augmented reality is het niet, laat het Teylers Museum zien.  Scan de QR-code om de documentaire te bekijken. De tentoonstelling ‘De Grote Illusie - 200 jaar Virtual Realities’ neemt je mee op een tijdreis van het Kaserpanorama naar VR naar beelden die met AI zijn gegenereerd – of toch niet? In Schuur Haarlem kun je daarnaast terecht voor de cinematografische VR-ervaring Naturally Immersive.  Scan de QR-code voor meer informatie. 96 iBestuur 51, juli 2024

Race om AI-overheersing De AI-race is begonnen. Wie zal bepalen welke technologieën de toekomst van de mensheid vormgeven? ‘Als we over heel veel jaren terugkijken, zullen we misschien weten: oh, dat was het moment dat alles veranderde.’ Grote woorden worden niet geschuwd in de documentaire AI supremacy: ‘The artificial intelligence battle between China, USA and Europe’ van het Duitse DW Documentary. De film volgt een jaar lang drie AI-pioniers: Jonas Andrulis van het Duitse Aleph Alpha, Thomas Wolf van het Franse open source platform Hugging Face en Han Xiao van het Chinese Jina.ai. Regisseur Dominik Bretsch heeft gevoel voor timing: hij is erbij met de camera als generatieve AI een hype wordt en hij volgt de razendsnelle ontwikkelingen rond OpenAI in 2023 op de voet.  Scan de QR-code voor meer informatie. Kind van het Toeslagenschandaal In 2008 wordt de moeder van Jaïr van den Essenburg bestempeld als fraudeur. In ‘Kind van het Toeslagenschandaal’ kijkt de nu volwassen Jaïr terug op een jeugd die in het teken stond van angst voor deurwaarders, sociaal isolement en een vlucht naar België. Hij bezoekt zijn oude woonplaats Delft en blikt met zijn moeder terug op de gevolgen die de ambtelijke dwaling voor zijn familie heeft gehad. Ook gaat hij de confrontatie aan met demissionair minister Dilan Yesilgöz over het vastlopende herstel van het Toeslagenschandaal.  Scan de QR-code om de documentaire te bekijken. iBestuur 51, juli 2024 97

VOLGEND NUMMER OKTOBER 2024 DATA EN AI Algoritmes registreren is nog niet zo eenvoudig als het lijkt Amper toezicht op niet-gemelde datalekken CDO-stelsel in de maak Wetenschappers over desinformatie en deepfakes EN VERDER: Interview met directeur Digitaal bij de Belastingdienst, Monique Bulthuis Hoe verder met de Werkagenda van Van Huffelen in kabinet Schoof I? iBestuur Congres 2024 TERUGBLIK ABONNEMENT Bestuurder, beslisser en/of beleidsmaker binnen de publieke sector? Ga naar mijn.ibestuur.nl/signup en neem een gratis abonnement Ga naar ibestuur.nl/nieuwsbrief en schrijf u in voor de (thema)nieuwsbrief 98 iBestuur 51, juli 2024 katern thema

eilig met Society 5.0 e sprong voorwaarts in wijl we de menselijke maat behouden? eilig m e s wijl we de me eiligheid rapport du eiligheid rapport duikt in de laatste veiligheidstrends. Het rapport beschrijft waardevolle inzichte ontwikkelen en innoveren van uw orga Society 5.0’. Binnen het publieke veiligh het garanderen van veiligheid, maar lev Lees erover in het rapport! rapport beschrijft waardevolle inzichten die kunnen helpen bij het beschermen, elen en innoveren van uw organisatie. Het thema dit jaar is ‘Veiligheid in e veiligheidsdomein biedt Society 5.0 kansen voor het garanderen van veiligheid, maar levert het ook nieuwe uitdagingen op. Download ‘Trends in Veiligheid 2024 – 2025: Veiligheid in Society 5.0’ en lees meer: www.capgemini.nl/trendsinveiligheid

presenteert 2024 woensdag 23 oktober 2024 Cybersecurity in het ecosysteem Natuurlijk is de security in uw eigen organisatie op orde. Maar hoe zit het met uw leveranciers en partners? Op Security & Overheid 2024 staat de vraag centraal hoe cybersecurity binnen het ecosysteem op een hoger plan kan komen. Een essentieel thema voor CISO’s en programmamanagers bij de overheid! Save the date! Reserveer hier alvast uw plek:

1 Online Touch

Index

1. 1
2. 2
3. 3
4. 4
5. 5
6. 6
7. 7
8. 8
9. 9
10. 10
11. 11
12. 12
13. 13
14. 14
15. 15
16. 16
17. 17
18. 18
19. 19
20. 20
21. 21
22. 22
23. 23
24. 24
25. 25
26. 26
27. 27
28. 28
29. 29
30. 30
31. 31
32. 32
33. 33
34. 34
35. 35
36. 36
37. 37
38. 38
39. 39
40. 40
41. 41
42. 42
43. 43
44. 44
45. 45
46. 46
47. 47
48. 48
49. 49
50. 50
51. 51
52. 52
53. 53
54. 54
55. 55
56. 56
57. 57
58. 58
59. 59
60. 60
61. 61
62. 62
63. 63
64. 64
65. 65
66. 66
67. 67
68. 68
69. 69
70. 70
71. 71
72. 72
73. 73
74. 74
75. 75
76. 76
77. 77
78. 78
79. 79
80. 80
81. 81
82. 82
83. 83
84. 84
85. 85
86. 86
87. 87
88. 88
89. 89
90. 90
91. 91
92. 92
93. 93
94. 94
95. 95
96. 96
97. 97
98. 98
99. 99
100. 100

Home