Overheid en digitalisering (4): afhankelijkheid van externe producten en diensten

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de vierde blog in een reeks die daarover gaat. Waar de vorige blog ging over afhankelijkheid van externe expertise ditmaal een blog over afhankelijkheid van externe producten en diensten.

Afhankelijk van externe technologie

De afhankelijkheid van externe digitale producten en diensten is groot. In de samenleving, in het bedrijfsleven en bij de overheid. Iedereen gebruikt apps en clouddiensten. Maar om de keerzijde daarvan te zien hoef je de krant maar open te slaan. "Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven" kopte de NOS recent nog. "Nederlandse overheid dreigt van Facebook af te gaan vanwege privacyrisico’s voor burgers" en scholen moeten goede afspraken maken over de privacy van gegevens van kinderen bij gebruik van digitale leermiddelen. Publieke waarden zijn met regelmaat in het geding bij het gebruik maken van externe diensten. Bijvoorbeeld door gebruik van tracking technologie.

Vooral sinds de oorlog in Oekraïne kent die afhankelijkheid van externe diensten ook nog een andere geopolitieke dimensie. Digitale autonomie is met reden een beleidsdoel geworden in Nederland en in Europa. Proberen te voorkomen dat ASML uit Nederland vertrekt is daar een voorbeeld van.

Die technologische afhankelijkheid is er niet alleen van clouddiensten. Werkplekken worden vooral geleverd door Microsoft, online vergaderen gebeurt met diensten van onder andere Cisco en Microsoft (met alle risico's van dien, zoals meekijken door derden) en berichten uitwisselen via Whatsapp of Signal is gewoon (terwijl Frankrijk dat sinds kort verboden heeft op overheidstelefoons).

"We kunnen beter nu al handelen, dan wachten totdat een plotselinge uitval van de cloud de halve Europese economie stillegt" zegt Reijer Passchier, hoogleraar digitalisering en de democratische rechtsstaat verbonden aan de Open Universiteit:

"De technologiemarkt wordt van oudsher gedomineerd door grote bedrijven die het rechtstelsel weten te gebruiken om nog machtiger te worden. In bijvoorbeeld de auto-industrie heeft dat ertoe geleid dat een handvol bedrijven decennialang de dienst uitmaakte. Digitalisering maakt het risico op dergelijke marktdominantie nog eens vele malen groter en dat baart me zorgen. Juist in de digitale wereld geldt dat degene met de meeste informatie de beste uitgangspositie heeft. Dit the rich gets richer-principe leidt tot the winner ­takes all en het ontstaan van omvangrijke monopolies."

De afhankelijkheid leidt niet alleen tot monopolies, schreef ik eerder al in deze reeks. Zelf blijven doen is ook nodig voor behoud van innovatief vermogen. Denk aan het verhaal over het broodrooster van Bert Hubert:

‘Veel Europese bedrijven zijn alles wat hen ooit uniek maakte gaan inkopen’, vertelt hij. ‘Dan komt er een punt dat je als bedrijf slechts een voorportaal van je leveranciers bent geworden. (...) Als broodroosterfabrikant beheer je het logo en het merk, misschien schrijf je de gebruiksaanwijzing nog zelf – hoewel je dat tegenwoordig ook prima kunt uitbesteden. (...) Je kunt daar veel broodroosters mee verkopen en lekker geld mee verdienen, zegt Hubert. Maar omdat je geen broodroosters maakt, weet je ook niet precies hoe ze werken. Je verliest de beste broodroosterwizards als personeel, want hen boeit het werk bij jou niet meer. (..) Weg expertise, weg innovatie.

Alternatieven bestaan

Het verbod van Whatsapp en Signal voor Franse ambtenaren is mogelijk omdat er wel alternatieven zijn voor heel veel clouddiensten en andere digitale diensten. Ook voor "messaging":

Vanaf 8 december mogen de leden van de regering daarom enkel nog Olvid of Tchap gebruiken voor communicatie op overheidstelefoons. Beide zijn afkomstig uit Frankrijk. De eerste is ontwikkeld door een start-up en goedgekeurd door de Franse cybersecurityinstantie Anssi. (…) De tweede toegestane app, Tchap, is drie jaar geleden uitgebracht en afkomstig van de overheid zelf.

Voor veel diensten zijn er dus alternatieven. Zoals Mastodon in plaats van Twitter, Jitsi voor videoconferencing, OpenKat van het ministerie van VWS om digitale kwetsbaarheden op te sporen en PostgreSQL voor databases. Al deze producten zijn open source, kennen een grote gebruikersgroep en zijn in eigen datacenters te installeren en beheren. Zeker als je daarvoor ook de kennis in huis hebt, zoals ik bepleitte in de vorige blog over waardering voor verstand van zaken. Eigen datacenters, eigen clouddiensten, eigen toepassingen: het vergt verstand van zaken en voldoende faciliteiten. Het kan, met enige durf en ruimte. En het is extra verstandig voor gevoelige informatie, zoals het incident met afluisteren van de Duitse videovergadering liet zien.

En dus?

De overheid is sterk afhankelijk van externe diensten. Soms is dat verstandig, maar er zijn ook risico's. Het zelf niet meer kunnen, daarover ging mijn vorige blog, is er daar een van. Maar het is ook kostbaar en gaat ten koste van digitale autonomie. Wat als we steeds meer zelf gaan doen? Een ambitieus streefgetal, 30% minder licentie(kosten) voor databases en videovergaderen bijvoorbeeld, zou helpen zelf te gaan doen. Met de structurele besparing die dat oplevert kun je investeren in eigen kennis en eigen alternatieve diensten. Dat vergt een grote schaal, want alleen dan kun je (cloud- en andere digitale) diensten op niveau leveren. Met ook voldoende mensen en middelen om dat blijvend te doen. Door te investeren in digitale gemeenschapsgoederen versterk je digitale autonomie, zorgt voor eigen kennis en waardengedreven, veilige toepassingen en draagt bij aan levensvatbare alternatieven.

Mijn voorstel: creëer een grote groep innovatieve experts, geef ze de beschikking over eigen voorzieningen en laat ze open werken aan zoveel mogelijk open source oplossingen voor de taaiste vraagstukken. Met als eis dat (bijvoorbeeld) tenminste 30% van licenties/kosten voor specifieke oplossingen worden vervangen door open oplossingen in eigen beheer en in eigen faciliteiten. Ik denk dan bijvoorbeeld aan databases, videovergaderen of eigen werkplek- en clouddiensten voor het verwerken van gevoelige informatie. Want het in eigen beheer houden van verwerkingen van gevoelige en gerubriceerde informatie, dat lijkt me in ieder geval onomstreden.