Digitalisering bij de overheid gaat vaak best goed, maar kan ook beter. De afgelopen dagen was er online veel discussie over een manifest genaamd “herprogrammeer de overheid” met als belangrijkste boodschap:

“De ICT-infrastructuur van de Nederlandse overheid is als een oud, vervallen huis. (…) Daardoor blijven we bezig met dure reparaties uitvoeren, wordt het systeem steeds onbetrouwbaarder, en blijft nieuw beleid op de plank liggen.”

Ik juich het van harte toe dat er aandacht is voor digitalisering en de mogelijkheden daarvan voor maatschappij en openbaar bestuur. Zeker als die aandacht ook leidt tot meer aandacht voor dit onderwerp in de politiek. Tegelijkertijd: er wordt in het manifest een karikatuur gemaakt van overheidsdigitalisering en generaliserend gesteld dat die overal vervallen is. De analyse dat ICT zowel het probleem als de oplossing is en de voorstellen die worden gedaan ter verbetering doen wat mij betreft geen recht aan zowel de oorzaken van soms mislukkende projecten als aan verbeteringen die wel zinvol zijn.

Deels geschreven op de terugweg uit Estland, het land dat als lichtend voorbeeld wordt genoemd in het manifest, daarom mijn eigen analyse van de stand van de digitalisering van de Nederlandse overheid en van de mogelijkheden tot verbetering.

Er gaat veel goed
Er zijn genoeg voorbeelden van projecten bij de overheid (net zoals in het bedrijfsleven) die in de problemen komen. Het adviescollege ICT, dat grote projecten van het Rijk van advies kan voorzien, heeft ruim 20 medewerkers en toetst vooral die projecten waarbij sprake kan zijn van grotere risico’s. Het is goed dat die adviezen worden gegeven en worden gepubliceerd (net zoals het goed is dat de overheid Gateway Reviews uitvoert). Alleen naar die adviezen kijken leidt tot selectie-bias. Want er zijn ook talloze voorbeelden van projecten die goed gaan en niet van een advies voorzien worden. Die voorbeelden halen zelden de pers; we nemen ze voor vanzelfsprekend aan. De geslaagde vernieuwing van het Donorregister, die zelfs de "Legacy Modernizer Award" won, is alleen enkele experts opgevallen. Dit terwijl de veranderingen in de wetgeving rondom donorregistratie door de vernieuwing probleemloos, binnen tijd en budget en met moderne oplossingen worden ondersteund. Best slimme ICT-renovatie dus, en daar vroegen de opstellers van het pamflet ook om.

Er zijn daarvan veel meer voorbeelden. Het algoritmeregister wordt volledig open source ontwikkeld en Nederland loopt voorop met een open source voorbeeldimplementatie van de “digitale wallet”. Dat doen we juist om daarover in Nederland en in Europa de goede gesprekken te kunnen voeren.

Er zijn gelukkig ook veel jonge ICT-experts die bewust kiezen om voor de overheid te werken, en externe experts die bewust bijdragen aan overheidsprojecten. Het “gebrek aan competentie” dat het manifest noemt valt wat mij betreft dus wel mee. We doen het als land ook helemaal niet zo slecht, ook niet als je ons vergelijkt met andere landen.

Zo staat Nederland in 2023 op plaats 6 als het gaat om digitale overheidsdienstverlening in de Europese eGovernment Benchmark. Deze benchmark van de Europese Commissie vergelijkt de digitale overheidsdienstverlening van 35 Europese landen (27 EU en 8 niet-EU). In 2021 stond Nederland nog op plaats 9. We vinden het heel normaal dat we digitaal bij de overheid terecht kunnen, en dat is een teken dat veel best goed gaat. Malta staat in de lijst trouwens op plaats 1, gevolgd door Estland.

Nederland is in 2022 in vergelijking met 2021 ook gestegen in de jaarlijkse Digital Economy and Society Index (DESI) van de EU. Dat betekent een top 3 positie voor ons land. Nederland hoort bij de EU-kopgroep, alleen Finland en Denemarken scoren net iets hoger. Dit is te danken aan extra investeringen in digitale technologieën en de relatief hoge digitale vaardigheden van de Nederlanders. Daarnaast zijn vast en mobiel internet traditioneel van uitstekend niveau. De DESI index 2022 rangschikt Europese landen als het gaat om de kwaliteit van de digitale infrastructuur en het gebruik van digitale toepassingen door inwoners. Ook kijkt het naar hun online vaardigheden. Daarnaast wordt gemeten in welke mate het bedrijfsleven digitaal actief is, en hoe de digitale dienstverlening van de overheid het doet. Estland, Finland, Malta en Nederland hebben de hoogste score voor digitale overheidsdienstverlening in deze index. Estland staat op plaats 9 in de index, onder meer vanwege de telecomvoorzieningen.

Er is ruimte voor verbetering, en dat is meestal geen ICT probleem
Toch zijn er genoeg dingen die beter kunnen en ook dingen die wij van Estland kunnen leren. Met niet veel eigen ICT-experts, bijna alle diensten en producten worden door marktpartijen gemaakt, slaagt het land er in overheidsdienstverlening verregaand digitaal aan te bieden. Dat dit zo is, heeft maar beperkt iets met ICT te maken.

Politieke ambitie
Het startte met een president die, terugkomend uit de VS, begreep dat digitalisering kansen bood om een groot land met maar 1,3 miljoen inwoners toch van overheidsdiensten te voorzien. Een land dat ook nog eens, komend uit een recent communistisch verleden, weinig vertrouwen had in de overheid. In combinatie met veel beschikbare ICT-expertise (die was in de geografische spreiding in het Sovjet-tijdperk toevallig in Estland terecht gekomen) en het nabije Finland heeft dat geleid tot de politieke wens op het hoogste niveau en ook de mogelijkheid om een moderne digitale overheid te realiseren. De politieke ambitie was hoog: het digitale voorbeeld worden met een kleine, sterk gedigitaliseerde overheid die inwoners en bedrijven centraal stelt. Tot op dit moment is dat merkbaar. De Chief Data Officer van de Estse overheid kent een stuurgroep van 8 ministers en kan daardoor opgaven centraal oppakken. Niet door het zelf te doen, wel door wetenschap en bedrijfsleven te vragen om oplossingen te realiseren. Die oplossingen worden van de overheid en zijn in de regel open source, zodat er geen “locked in” ontstaat bij enkele bedrijven. Waar open source in Nederland als onderwerp wel wat meer in de belangstelling staat, maar nog niet echt hoog op de bestuurlijke agenda van veel overheidsorganisaties, is het in Estland kabinetsbeleid. Alle overheidsorganisaties moeten zich houden aan dergelijke centrale architectuureisen, en de CIO van Estland bepaalt de kaders. Eén van die eisen is dat gegevens aan de bron blijven, en dus niet op één plek zoals de opstellers van het manifest willen. Dat is bewust, want zoveel gegevens bij elkaar is om veel redenen niet verstandig.

Een politiek ambitieuze, centralistische aanpak van digitalisering is in Nederland minder makkelijk te realiseren. Het is goed dat het manifest daar toe oproept. Als eerste is digitalisering in ons land zelden onderwerp van politieke ambitie of politiek debat. Tenzij het gaat om zaken die misgaan, waarbij we vooral zoeken naar schuldigen. Lees de partijprogramma’s voor de komende verkiezingen, en als er al aandacht is voor digitalisering dan gaat die vaak uit naar het reguleren van “uitwassen”. Of het nu om algoritmes gaat of het tegengaan van anonimiteit op internet. Aandacht voor het opruimen van verouderde software, bijvoorbeeld, speelt nauwelijks een rol. Ook niet in de verkiezingsprogramma’s.

Ook het “Huis van Thorbecke” maakt dat centrale sturing op digitalisering niet gemakkelijk is. Het maakt dat elke gemeente, elke provincie en elk ministerie een grote eigen verantwoordelijkheid heeft. De coördinerend bewindspersoon voor digitalisering heeft beperkte aanwijzingsbevoegdheden. En waar die er zijn zien die vooral op de bedrijfsvoering, en niet op primaire processen. Zo kan het zijn dat alle gemeenten eigen digitalisering realiseren, dat departementen verschillende oplossingen kennen voor document management en dat niet zomaar aan een uitvoeringsorganisatie – zoals wel in Estland – kan worden opgelegd hoe de eigen digitalisering te realiseren. Wij koesteren onze autonomie en eigenheid, in beleid en in uitvoering. Dat is op allerlei manieren merkbaar. Het gevolg bijvoorbeeld is dat elke overheidsorganisatie verantwoordelijk is voor de toegankelijkheid van de eigen websites en apps en maar een kleine 25% een toegankelijkheidsscore A of B heeft. Ook maakt elke overheidsorganisatie talloze websites onder eigen domeinnamen die moeilijker van nepsites te onderscheiden zijn.

Een ander voorbeeld is de ondersteuning van het PGB. Door decentralisatie kan elke gemeente eigen PGB-beleidsregels vaststellen, waardoor digitalisering veel variatie moet ondersteunen. Variatie die we op prijs stellen, want we koesteren onze autonomie. En daarbij zijn er ook nog meerdere wetten waarin PGB geregeld wordt (zoals Jeugdwet, WMO en Zorgverzekeringswet), waarbij het vanwege de aard van die wetten steeds een beetje anders geregeld is. Dat is geen ICT-probleem.

De variatie en autonomie zijn te zien in de bedrijfsvoering van de overheid en in de oplossingen in sectoren. Die laatste komen meestal binnen het domein tot stand. Vaak niet eens zo slecht. Zo zijn de standaarden waarmee het ministerie van VWS zorgt dat wij allemaal onze eigen medische gegevens in een eigen Persoonlijke Gezondheidsomgeving kunnen krijgen modern en wereldwijd toonaangevend. Tegelijkertijd: ook in andere domeinen wordt gewerkt aan dergelijke “regie op gegevens”, en met andere standaarden en aanpakken. Politieke en inhoudelijke sturing van digitalisering over domeinen heen is maar beperkt geregeld. Er is ook geen aanwijzingsbevoegdheid daartoe, behalve voor gebruik van enkele verplichte voorzieningen (denk aan DigiD) en enkele standaarden.

De keuzes ten aanzien van autonomie en coördinatie komen ook tot uiting in het Besluit CIO-stelsel Rijksdienst. Dit besluit geeft de CIO-Rijk maar beperkte mogelijkheden om aanwijzingen te geven. De CISO-Rijk heeft in vergelijking daarmee zelfs verdergaande bevoegdheden. En een Rijksarchitect, die is er nog niet (echt).

Tot slot: waar maatschappelijke en politieke ambities en mogelijkheden tot regie beperkt zijn, is ook minder ruimte voor digitaal leiderschap onder ambtenaren. Meer ICT-expertise leidt in een dergelijke context niet vanzelf tot betere oplossingen of tot minder projecten die uit de bocht vliegen.

Verandering vergt politieke ambitie, coördinatie met doorzettingsmacht en dus ook inperking van de autonomie. Autonomie van gemeenten, provincies, waterschappen en departementen en hun uitvoeringsorganisaties. Met ruimte voor centrale architectuur, generieke voorzieningen en aanwijzingen ten aanzien van digitalisering in sectoren. Dat is geen ICT-probleem, en ICT is daarbij ook niet de oplossing. Dat meerdere politieke partijen vragen om een minister voor Digitalisering, dat snap ik dus wel. Of dat helpt heeft vooral te maken met politieke ambities, politieke wil en het mandaat.

Culturele factoren
Terugkomend op Estland: de verschillen zijn niet alleen politiek, maar ook cultureel. Bijvoorbeeld omdat inwoners van Estland na de omwenteling weinig vertrouwen hadden in de overheid. Dat uit zich ook in het ontwerp van de overheidsdigitalisering. Er is in Estland een hele grote mate van transparantie. Welke huizen je bezit, waar je in dienst bent, welke boetes je hebt en of je in Tallinn woont: het is voor veel organisaties en ook voor inwoners op te vragen. Iedereen mag zien hoe de digitale overheid zijn werk doet. Gegevens mogen ook worden hergebruikt voor andere doeleinden. De wettelijke basis daaronder is stevig. Alle inzage wordt gelogd en is voor inwoners in te zien. Inwoners kunnen ook zelf bepalen dat private partijen (een deel van) hun informatie mogen zien.

Wij Nederlanders daarentegen vinden het wel prettig dat we zelf kunnen kiezen welke informatie we met welke overheidsorganisatie delen. Een wet die de grondslag zou zijn voor het indien nodig uitwisselen van gegevens tussen alle overheidsorganisaties zou in ons land niet zomaar geaccepteerd worden. Publieke dienstverleners vragen er al langer om, bijvoorbeeld om mensen die geen gebruik maken van toeslagen daarop te attenderen. Zouden wij toeslagen die we zonder aanvragen krijgen ervaren als fijn, of juist protesteren omdat we er niet om gevraagd hebben onze gegevens daarvoor te gebruiken? Ook de verplichtingen die de Estse aanpak oplevert voor bedrijven, overheden en inwoners zouden in ons land niet vanzelfsprekend omarmd worden. Zo hebben alle inwoners van Estland een elektronische identiteitskaart, tenzij ze dat expliciet weigeren (opt-out). Het gevolg is dat 98% van de inwoners over een dergelijke kaart beschikt. Een vergelijkbaar voorstel, denk aan een DigiD-opt out in plaats van opt-in, ligt maatschappelijk en politiek veel gevoeliger in Nederland.

De overheid is anders dan het bedrijfsleven
De commissie Elias constateerde al dat het fout gaan van ICT-projecten bij de overheid niet alleen maar komt door gebrek aan expertise.

De Kamer, het kabinet, «de politiek» in het algemeen is te weinig doordrongen van het feit dat elk onderwerp en beleidsterrein tegenwoordig samenhangt met ICT. De Kamer toont zich onvoldoende betrokken bij de start van ICT-projecten. Hierdoor worden vragen gesteld vanuit de Kamer en toezeggingen gedaan door het kabinet die vaak niet door de starttoets van het BIT zouden komen. Een gebrek aan ICT-bewustzijn zorgt ervoor dat het moeilijk is om over ICT-gerelateerde onderwerpen het debat te voeren met de Kamer. Aangezien ICT tegenwoordig overal aanwezig is, raakt dit de kern van de taken van de rijksoverheid. De commissie concludeert dat het ICT-bewustzijn van zowel Tweede Kamer, de Kamer (Kamerleden, fracties, fractieondersteuning en ambtelijke ondersteuning) als het kabinet ernstig tekortschiet.

Er zijn als het gaat om digitalisering bij de overheid zaken die wezenlijk anders zijn dan in het bedrijfsleven. Zo wordt beleid niet alleen beoordeeld en ontworpen vanuit uitvoerbaarheid (de "Staat van de uitvoering" is lezenswaardig). Beleid moet vooral recht doen aan de gewenste variatie (denk aan PGB) en aan de gewenste gedetailleerde uitwerking die in politieke compromissen wordt bepaald. Bewindspersonen worden daarbij door maatschappij en politiek beoordeeld op ervaren daadkracht. Wie ruimte vraagt tot nadenken over mogelijke manieren van uitvoering lijkt niet daadkrachtig. Hierdoor staan in debatten vaak niet (alleen) de doelen centraal staan, maar vooral ook de precieze instrumenten om deze te bereiken. Daarbij wordt niet alleen het “wat” maar ook het “hoe” bepaald. Bijvoorbeeld door te vragen om een wet, of een register. Het is niet “stoer” om met elkaar te spreken over de gewenste doelen en ruimte te laten voor de beste manieren om die doelen te bereiken. In combinatie met de behoorlijke afstand tussen politiek, beleidsmakers en uitvoering zorgt dit ervoor dat pas in de uitvoering de consequenties zichtbaar zijn van eerder gemaakte keuzes. Op een moment dus dat de wet of het beleid al vast staan en de ruimte om dat te herstellen beperkt is. Minder afstand tussen politiek, beleid en uitvoering zou helpen om te komen tot beter uitvoerbaar beleid. Daar is ook de politiek voor nodig. Niet alleen omdat het gesprek dan eerst en vooral over doelen moet gaan. Ook omdat dan wensen, omdat ze minder makkelijk uitvoerbaar zijn, niet tot uitvoering komen. Dat kan gevolgen hebben voor (sommige) inwoners en bedrijven.

De uitvoeringsorganisaties die deze complexiteit moeten realiseren kunnen niet eerst -zoals een start-up kan doen- met een Minimum Viable Product komen waarin nog niet alles al af is. Ze moeten alles in één keer, en ook nog eens in één keer goed doen. Daarbij moeten ze tegelijkertijd voldoen aan allerlei beveiligingseisen, toegankelijkheidseisen, privacyeisen, et cetera. “'Move fast and break things” is geen optie als het gaat om digitalisering bij de overheid. Je kunt niet een deel van een wet negeren, of een bepaalde doelgroep nog even niet bedienen. En waar al geprobeerd wordt anders te werken, leidt dat niet altijd tot begrip of waardering. Publieke uitvoerders in Nederland zijn al “Digital first”, zoals de opstellers van het pamflet vragen. Maar dat zijn ze in een context waarin digitalisering niet eenvoudig is.

Zelf was ik verantwoordelijk voor de door velen verguisde “appathon” ten tijde van de recente pandemie. Een transparante marktconsultatie naar mogelijke digitale ondersteuning van de pandemie, waarom het OMT had gevraagd. Dat het een marktconsultatie was, en geen aanbesteding, werd vanaf het begin gemeld. Maar dergelijke details sneeuwen vaak onder. Het ging ook helemaal niet om onaffe producten. Zo werden twee producten als niet goed genoeg beoordeeld, die al wel in twee EU-landen werden ingezet. Wij zijn gewoon, en terecht, kritisch. Een zelfde openheid als bij de corona-apps is er ook in veel andere projecten. Het algoritmeregister bijvoorbeeld, het WOO-portaal van het ministerie van VWS of de publieke open source voorbeeld wallet. Over waarom ik aan die laatste met plezier meewerk schreef ik eerder een blog.

Ik vind het persoonlijk geen probleem om risico’s te nemen en in de wind te staan van maatschappelijke kritiek. Maar ik kan me goed voorstellen dat de publieke zichtbaarheid van overheidsinitiatieven sommige collega’s weerhoudt om op de voorgrond te treden. Risico nemen bij de overheid wordt maatschappelijk immers anders beoordeeld dan risico’s die innovators in het bedrijfsleven nemen. Niet onlogisch ook, want het gaat om belastinggeld.

De overheid is dus anders en vraagt een eigen aanpak. In de beleidsvorming zullen vanaf het begin van het politieke debat niet de instrumenten, maar vooral de doelen en de uitvoerbaarheid daarvan centraal moeten komen staan. Dan moet het stoer worden om te zeggen dat je gaat uitzoeken hoe je de besproken doelen het beste kunt bereiken. Ook vraagt het om politiek, beleid en uitvoering die (zoals de opstellers van het manifest terecht vragen) sterk verbonden zijn en om ruimte bij de uitvoering om geformuleerde doelen op een passende manier te bereiken. Zo ontstaat ruimte voor nieuwe manieren van werken en voor innovatie. Tot slot vraagt het om mildheid naar de overheid en naar ambtenaren die proberen op hun manier het beste te doen. Het breed afkraken van hun werk maakt alleen maar dat minder mensen hun hoofd boven het maaiveld willen uitsteken.

Tot slot
De verbetermogelijkheden van de digitalisering van de overheid gaan, wat mij betreft, dus maar beperkt over ICT. Het gaat over politieke ambities, over hoe we beleidskeuzes maken, over autonomie versus regie, over waarderen van durf en innovatie. Als we dat doen, dan is er veel mogelijk.

Vooraf
Op deze blog zijn in een paar dagen tijd veel reacties gekomen, die hebben geleid tot enkele verduidelijkingen in de tekst. Vaak ook kreeg ik de vraag waar ik me druk over maak, je hebt toch niets te verbergen? Die mensen verwees ik onder meer naar de recente blog van Bert Hubert en het boek van Maurits Martijn en Rob Wijnberg.

Ik merkte in die gesprekken dat een gedachtenexperiment helpt om na te denken over de eigen afweging van publieke waarden en waar de eigen grens ligt. Dat gedachtenexperiment gaat als volgt.

Huiselijk geweld vindt meestal achter de voordeur plaats. Kindermishandeling is daarom moeilijk tijdig te detecteren. Veel mensen hebben slimme speakers in huis. Om hun lampen te bedienen, om muziek te luisteren of ingebouwd in hun televisie, bijvoorbeeld. Wat zou het handig zijn als we de bedrijven achter die speakers, zoals Apple, Amazon en Google, zouden verplichten om met de ingebouwde microfoons te luisteren naar signalen van kindermishandeling en die door te geven aan opsporingsdiensten.

Ik ben benieuwd naar jouw overwegingen.


Buikpijn over client-side scanning
Ik heb buikpijn van een onderwerp dat deze week door de Commissie Digitale Zaken in de Tweede Kamer besproken zal worden. Het onderwerp is het voorkomen van de verspreiding van kinderporno. Het lijkt iets waar je niet op tegen kan zijn. Toch ben ik dat wel. Mijn buikpijn komt door de afweging van publieke waarden die ik persoonlijk maak als het gaat om het voorstel van de EU om berichten te scannen op kinderporno voordat je deze verspreidt via bijvoorbeeld Whatsapp. Ik ben tegen dat voorstel.

Dat ik worstel met dit voorstel is een teken dat digitalisering niet (alleen) een technische aangelegenheid is. Het gaat er bij digitalisering niet alleen om, bijvoorbeeld, of kwantumcomputing bestaande beveiligingsmethoden onveilig zal maken, dat ICT ons helpt om makkelijker vakanties te boeken of studiefinanciering aan te vragen. Wat de afgelopen jaren duidelijk heeft gemaakt is dat digitalisering ook grote invloed heeft op onze samenleving. Helaas niet alleen ten goede.

Dat het mogelijk is om digitaal te bepalen of een uitkeringsgerechtigde in het buitenland verblijft, zoals het UWV deed, maakt het nog geen goed idee om dat te doen. Dat het mogelijk is om modellen te maken die fraudekans voorspellen, zoals de gemeente Rotterdam deed, maakt het nog geen goed idee om dat zo te doen dat je sommige groepen veel eerder verdenkt dan andere. Alle hulde overigens aan de Gemeente Rotterdam, die toen dat duidelijk werd ook de broncode van de gebruikte algoritmes ter beschikking stelde om er onderzoek naar te doen!

Digitalisering, kortom, heeft invloed op mensenrechten, op publieke waarden. Hoe je omgaat met de mogelijkheden die digitalisering biedt vraagt ook om een ethisch debat. Niet alles dat kan, is ook een goed idee. En, ook belangrijk, elke voorkomende situatie kun je van allerlei kanten bekijken. Er is niet een eenduidig waardenkader, waarin op volgorde van belangrijkheid de af te wegen waarden zijn opgenomen. Privacy, bijvoorbeeld, gaat niet altijd boven veiligheid. En veiligheid niet altijd boven privacy.

Welk waardenkader je gebruikt, en hoe je waarden in voorkomende gevallen weegt, kan in elke situatie anders zijn. Ook de uitkomst van de afweging kan voor iedereen, alles afwegend, anders zijn. Het is het gesprek dat telt. Daarom is het zo goed dat veel organisaties (zoals provincies en gemeenten) tegenwoordig ethische commissies instellen voor het beoordelen van digitalisering.

Vanuit de Commissie Digitale Zaken van de Tweede Kamer werd eerder de vraag gesteld:

Kunt u de concrete uitwerking van het waardenkader sturen, naar aanleiding van aangenomen motie Leijten en Ceder? Zo nee, wanneer kan de Kamer deze concrete uitwerking verwachten?

Het, wellicht teleurstellende, antwoord was toen:

Met uw Kamer deel ik de behoefte aan één duidelijk waardenkader dat toegepast kan worden in digitalisering in alle sectoren. Tegelijkertijd constateer ik dat er al meerdere waardenkaders zijn die tegelijkertijd gelden. Zo zijn de waarden die wij als maatschappij van fundamenteel belang achten vastgelegd in de Grondwet. Hierbij valt te denken aan non-discriminatie, privacy en vrijheid van meningsuiting. De bescherming van deze waarden is uitgewerkt in wetgeving. De AVG ziet bijvoorbeeld toe op de bescherming van persoonsgegevens. Op basis van deze wet- en regelgeving zijn er diverse handreikingen opgesteld om organisaties te helpen deze waarden ook in de praktijk te beschermen. Voorbeeld hiervan zijn de Impact Assessment Mensenrechten Algoritmen (IAMA), de handreiking non-discriminatie by design en de Code Goed Digitaal Openbaar Bestuur (CODIO).

Die laatste, de CODIO, heeft 3 kernwaarden: democratie, rechtsstaat en bestuurskracht. Daaronder liggen 30 waarden, zoals non-discriminatie, uitlegbaarheid en inclusiviteit.

Waarden uit de Codio

Ik vind het een mooi overzichtelijk kader om te gebruiken als ik een situatie van meerdere kanten probeer te bekijken. Het bevat waarden als privacy, voorkomen van schade, bescherming en veiligheid. Waarden die ook, voor mij, belangrijk zijn bij het beoordelen van het voorstel waarover de buikpijn gaat waarmee ik deze blog begon.

Het gaat over CSAM, een voorstel van de Europese Commissie voor een Verordening ter voorkoming en bestrijding van seksueel misbruik van kinderen. Een voorstel, zou je zeggen, waar je niet tegen kunt zijn. En toch bevat het elementen waarvan ik buikpijn krijg. Daarvan pak ik er één uit:

Aanbieders van hostingdiensten en aanbieders van interpersoonlijke communicatiediensten die een opsporingsbevel hebben ontvangen, voeren dit uit door technologieën te installeren en te gebruiken om de verspreiding van bekend of nieuw materiaal van seksueel misbruik van kinderen of het benaderen van kinderen, naargelang het geval, op te sporen.

Wat hier van “interpersoonlijke communicatiediensten” zoals Whatsapp, Telegram, Signal en anderen gevraagd wordt, is dat ze dat ze berichten, voordat deze worden verstuurd, moeten scannen op bekend of nieuw materiaal. Voorstanders zeggen, overigens terecht, dat hiermee de versleutelde beveiliging van de communicatie niet wordt verbroken. Want het scannen van de berichten die mensen verzenden gebeurt immers voordat deze worden versleuteld. Het is alsof je zegt dat je het briefgeheim niet verbreekt, omdat je alleen maar over de schouder meeleest voordat de envelop wordt dichtgeplakt. Feitelijk correct, maar wil jij in een digitale samenleving leven waarin big tech over je schouder meeleest met elk bericht dat je schrijft?

Artikel 13 Grondwet
Ieder heeft het recht op eerbiediging van zijn brief- en telecommunicatiegeheim.

Het voorstel voor “client side scanning”, zoals het in de volksmond is gaan heten, leidt tot allerlei inhoudelijke discussies. Of het wel mogelijk is om materiaal te herkennen bijvoorbeeld, en of communicatiediensten wel een belangrijke rol spelen bij de verspreiding van kinderporno. Voor mij is dat niet het belangrijkste, maar wel: hoe weeg je veiligheid en het voorkomen van schade af tegen privacy en autonomie. En ook: wat zijn de risico’s die eraan verbonden zijn. Risico’s die overigens niet alleen maar fictief zijn, weet de Amerikaanse vader die op verzoek van een arts een close-up van het geslachtsdeel van zijn zoontje maakte die bij Google de alarmbellen liet afgaan.

Het verbaast me dat we tech bedrijven die zich in de praktijk lang niet altijd aan onze publieke waarden houden ( waarbij we als Nederland een grote rol spelen om juist dat te beteugelen) het lezen en beoordelen van al onze communicatie toe zouden willen vertrouwen. Het verbaast me dat waar steeds meer landen gebruik van apps als TikTok verbieden we een dergelijke app wel zouden verplichten al onze communicatie te scannen. Met ook als gevolg dat zo'n app weet over wie signalen worden doorgegeven van mogelijke verspreiding van strafbaar materiaal. Best interessante informatie voor een statelijke actor.

Het voorstel vraagt overigens niet alleen vertrouwen in bedrijven, maar ook in overheden. Die immers krijgen in het voorstel alle signalen door om op te volgen. Ook daar kunnen kwaadwillenden op in spelen. Naast het herkennen van nog niet eerder gezien materiaal (dat best vaak fout zal gaan en mensen dus onterecht in een kwaad daglicht stelt en waarbij het ook niet al te moeilijk is om een beeld te maken met een andere vingerafdruk dat er toch hetzelfde uitziet) is het de gedachte dat bekend strafbaar materiaal een vingerafdruk krijgt. Communicatiediensten moeten beoordelen of die vingerafdruk aanwezig is in een bericht dat iemand wil versturen en moeten een signaal aan opsporingsdiensten geven als dat het geval is. Om iemand in een kwaad daglicht te stellen is het de uitdaging om een onschuldig plaatje met dezelfde vingerafdruk te maken. Zo'n zelfde vingerafdruk bij een ander plaatje is heel onwaarschijnlijk, maar niet onmogelijk. Net zoals het makkelijk is om door hele kleine wijzigingen aan een bekend plaatje te zorgen dat de vingerafdruk zo wijzigt dat deze niet meer herkend wordt. Jaap-Henk Hoepman schreef hier lezenswaardige blogs over.

Je begrijpt: ik heb stevige buikpijn van dit voorstel. Zoveel buikpijn heb ik niet vaak van voorstellen om digitalisering te reguleren (ik heb dat ook van het willen verbieden van anonimiteit op sociale media, maar daarover later een keer meer). Ik sta daarin niet alleen. De EDPB is kritisch, net zoals een grote groep wetenschappers en de Juridische Dienst van de Europese Commissie zelf. Die laatste vindt het een fundamentele schending van mensenrechten:

Other than the detection orders not being clear enough, the “screening of interpersonal communications” also affects “the fundamental right to respect for private life” because it gives access to interpersonal communications, such as text messages, emails, audio conversations, pictures, or any other kind of exchanged personal information.
It can also have a deterrent effect on the freedom of expression, the document says. Moreover, the data is also being processed, which “affects the right to protection of personal data.”

De afgelopen tijd voerde ik veel gesprekken over dit voorstel van de Europese Commissie. Discussies die soms erg zwart-wit werden. Maar nee, natuurlijk ben ook ik tegen het verspreiden van kinderporno! Alleen: een digitale samenleving waarin grote bedrijven moeten meelezen op alles wat ik schrijf voordat ik de envelop dicht doe, daar moet ik persoonlijk niet aan denken. Daarom heb ik buikpijn van dat voorstel. Daarom hoop ik dat we het goede ethische gesprek erover voeren. In de Tweede Kamer en in de maatschappij. En daarom hoop ik dat het uiteindelijk niet door zal gaan.

Nawoord: wat dan wel?
Het belang van het bestrijden van het maken en verspreiden van kinderporno staat voor mij buiten kijf. Die verspreiding vindt maar in beperkte mate via berichtendiensten plaats. Toch is het goed om ook daar, rekening houdend met publieke waarden, aan te doen wat kan. Voor mij zou het denkbaar zijn dat, zoals bijvoorbeeld bij antivirussoftware, de verspreiding van materiaal waarvan de strafbare aard door opsporingsdiensten is vastgesteld technisch wordt tegengegaan. Het daarna geven van een signaal aan opsporingsdiensten, met alle risico's van dien zoals hierboven beschreven, vind ik niet proportioneel.

Kortom: het voorkomen van verspreiding van eerder herkend materiaal via digitale vingerafdrukken, zonder daarvan een melding aan opsporingsdiensten te doen, zou voor mij een denkbaar compromis zijn.

Digitale transitie is een breed begrip en omvat veel. Dat uit zich ook in de recente brief over beleid voor digitalisering van het kabinet. Twintig pagina's beleid, ga er maar aan staan.

Aan dat beleid ga ik vanaf deze maand met heel veel mensen handen en voeten geven. Transparant en open, zoals eerder. Daarom aan jou de vraag: help je me op weg?

Ik ben heel nieuwsgierig naar jouw antwoorden op vragen als "waar moet de focus op liggen?", "wat zouden de internationale speerpunten moeten zijn?", "wie moeten zeker gevraagd worden om mee te denken en mee te doen?", "welke resultaten moeten zeker geboekt worden en hoe dan?", "wat moeten we wel doen, en wat ook niet (meer)?", "hoe en waar zorgen we voor blijvende offline en online ontmoetingen en dialoog?", "welke zinnen moeten zeker worden uitgesproken in het volgende debat over digitalisering in de Tweede Kamer?", etc.

Kortom: beleid en uitvoering voor digitalisering, dat doen we samen. Kom maar op met voorstellen en aanbiedingen om mee te doen. Bij voorkeur in een blog, een reactie, etc. Want dan kunnen anderen weer op jou reageren.

Ik ben nieuwsgierig! Reageren kan bijvoorbeeld op LinkedIn