Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de elfde en laatste blog in een reeks die daarover gaat. Na tien dagelijkse blogs is het tijd om de balans op te maken.

Je bent ICT projecten vergeten!

Veel van de discussie over overheid en digitalisering gaat over ICT-projecten en of die wel of niet goed gaan. Toch ging geen van de blogs de afgelopen weken puur over die ICT-projecten zelf. En dat klopt. Want digitalisering bij de overheid is veel meer dan dat. Het gaat bijvoorbeeld ook over de rol van digitalisering in de samenleving (hoe bescherm je kinderen in een digitale wereld zoals je ze ook in de fysieke wereld beschermt, hoe zorg je dat er ook in Europa en Nederland digitale bedrijvigheid mogelijk is) en de bijdrage van digitalisering aan de aanpak van maatschappelijke opgaven. Daar moet, wat mij betreft, veel aandacht naar blijven uitgaan. Ook van een minister voor Digitalisering, mocht deze er komen.

Toch gingen de blogs zeker ook wel over randvoorwaarden om tot succesvolle ICT-projecten te komen. Zoals het voorkomen dat oplossingen worden bedacht die niet kunnen werken. Want het gaat er niet alleen om dat je de dingen goed doet, maar daarvoor eerst of je wel de goede dingen doet. In de eerste blog gaf ik daarvan een voorbeeld namelijk de in 2009 gedane toezegging om het werkadres van zorgverleners op te nemen in het BIG-register waarin alle zorgverleners te vinden zijn. Zo zou het voor mensen makkelijker zijn hun zorgverlener in het register op te zoeken. Er werd jaren aan gewerkt, maar het bleek een moeilijk haalbare toezegging:

Implementatie van een dergelijke registratie bleek complex. Beroepsbeoefenaren werken vaak op verschillende locaties, wisselen van werk, werken tijdelijk ergens anders, vallen in voor een andere beroepsbeoefenaar of hebben, als ze online diensten verlenen, niet een fysiek werkadres waar ze cliënten te woord staan.

Om een complexe (ICT-)registratie te voorkomen en administratieve lasten te reduceren heb ik daarom in 2015 een alternatief geformuleerd, namelijk het verplicht stellen dat BIG-geregistreerden het BIG-nummer vermelden in uitingen als websites en facturen.

Een andere randvoorwaarde die ik beschreef is omvang van en waardering voor expertise. Ton Elias, de naamgever van de commissie die onderzoek deed naar ICT-projecten bij de overheid, zei daarover vorig jaar in een interview:

Er is op IT-gebied veel meer expertise binnen de overheid zelf nodig, om zelf de kwaliteit van de geboden producten en diensten te kunnen beoordelen en ook zelf meer uit te kunnen voeren. (...) Wanneer een ‘nerd’ briljant is in IT, daarin uitstekend werk levert en over enorme kennis beschikt moet hij gewoon 150.000 euro kunnen verdienen bij de overheid. Oók als hij niet leidinggeeft aan veertig, vijftig mensen.

Juist vanwege dit soort zaken heeft het weinig zin om je te focussen op ICT-projecten alleen of de controle daarop nog verder te versterken. In de blog over coördineren met beperkt mandaat vergeleek ik digitalisering met financiën:

Als het gaat om een ander aspect van beleid, namelijk financiën, is dat anders geregeld. Zo oordeelt de Minister van Financiën, via de Inspectie der Rijksfinanciën, over “de doelmatigheid en doeltreffendheid van begrotingsvoorstellen van de departementen”.

In dergelijke oordelen gaat het niet alleen over begrotingstechniek, maar ook over doeltreffendheid en dus de beleidsinhoud. Niet alleen vooraf bij begrotingsvoorstellen vindt toetsing plaats, maar ook achteraf in beleidsdoorlichtingen:

Een waardevolle exercitie dus, en wel om twee redenenen. Namelijk verbetering, als hulpmiddel om na te gaan of en waar het beleid kan worden verbetering. En verantwoording, om na te gaan of sprake is (geweest) van value for money. Zo kan aan de Tweede Kamer worden uitgelegd of en in hoeverre doelen wel/niet gehaald zijn – en waarom.

Een ICT-project staat net als een begrotingsvoorstel nooit op zichzelf. Het is bedoeld om beleid uit te voeren en beleidswijzigingen mogelijk te maken. Een oordeel over een ICT-project kan daarom niet los worden gezien van de beleidsopgave. Toetsing vooraf heeft dus vooral zin in de fase van beleidsvorming en ruim voordat er een ICT-project geformuleerd is. In de achtste blog over de tijd tussen wet en werking noemde ik het beleidskompas daarom als belangrijk instrument. Mocht er ooit een Minister voor Digitalisering komen dan hoop ik dat deze vooral ook mag oordelen over beleidsvoorstellen en niet alleen over de ICT-projecten bij de overheid of in de samenleving die daaruit voortvloeien.

Mocht je toch meer willen weten over grote ICT-projecten bij het Rijk dan is er het Rijks ICT-dashboard. Het bevat alle grote ICT-projecten van het Rijk en is een mooie basis om te grasduinen in die projecten. Vaak wordt bij die projecten vooral gedacht aan grote administratieve organisaties. Maar ICT bij de overheid is ook een betere doorstroming op de A27 bij Houten en de beperking van sluipverkeer op het onderliggend wegennet of implementatie van de Wet Beroep Leraar.

Op dit moment zijn er volgens het dashboard 135 projecten in uitvoering met een gemiddelde duur van iets meer dan 5 jaar en een totale omvang van 6,5 miljard.

Kentallen van het Rijks ICT Dashboard met genoemde gegevens

Zo'n 1,2 miljard per jaar dus. Dat is veel geld maar slechts 2 promille van de rijksbegroting. Van de totale ICT-uitgaven in 2018 (3,1 miljard) ging ongeveer 75 procent naar onderhoud en beheer en 25 procent naar grote ICT-projecten. Dit is een gebruikelijke verhouding waarmee de totale ICT-kosten van het Rijk op dit moment op zo'n 5 miljard per jaar zouden liggen. Rond de 1% van de rijksbegroting dus. Dat is vast een onderschatting, maar de vaak gehoorde inschatting dat de rijksoverheid jaarlijks miljarden weggooit is daardoor minder waarschijnlijk.

Ruimte voor verbetering

Maar natuurlijk is er altijd ruimte voor verbetering. Zowel voordat er een ICT-project is, als van projecten zelf. Het mooie is dat de rijksoverheid open is over de herijking van projecten en de redenen daarvan. Veel projecten lopen niet uit, maar een deel wel en ook meer dan een jaar:

Tabel met ICT projecten en uitloop. Hoogste staaf is aantal projecten dat binnen tijd wordt afgerond

Soms ligt dat aan beleidswijzigingen of inflatie, maar in een deel van de gevallen ook aan tegenvallers binnen projecten:

Grafiek met reden herijking projecten waaronder grootste beleidswijziging en interne tegenslagen

De omvang van vernieuwing is dus gemiddeld zo'n 25% van de totale ICT-kosten. Als dat veel hoger ligt, dan wordt er veel gevraagd van een organisatie. Het ICT-dashboard geeft ook daar inzicht in. Bijvoorbeeld per departement (goed om te weten is dat de Belastingdienst direct onder het ministerie valt en dus daarbij wordt meegeteld):

Figuur beheer en vernieuwing per ministerie

Voor de agentschappen (zelfstandige organisaties op enige afstand) zien de verhouding er anders uit:

Figuur beheer en vernieuwing van agentschappen per ministerie

Waarom grote projecten soms fout gaan

Dat grote projecten fout gaan geldt niet alleen voor ICT-projecten en ook niet alleen voor de overheid of voor Nederland. Iedereen die wel eens een keuken of huis heeft gerenoveerd kent de voorbeelden van tegenslagen die er voor zorgen dat je later klaar bent, meer wensen hebt dan je dacht en dat de kosten tegenvallen. Talloze voorbeelden daarvan zijn te lezen in het boek How big things get done. Van een spoorweg in Californië tot het Opera House in Sydney. De analyse en aanbevelingen zijn de moeite waard om te lezen.

Aanbevelingen als dat lang nadenken aan de voorkant en dan heel snel uitvoeren leidt tot meer kans van slagen (maar dat is best lastig in de context van de overheid waar snelle actie als daadkrachtig wordt gezien. Net zoals niet het wiel uitvinden maar kleine dingen herhalen die aantoonbaar gewerkt hebben leidt tot meer succes. Dat is de reden waarom de aanleg van zonneparken (die niet veel meer zijn dan heel vaak een bewezen zonnepaneel) vaak goed gaat en een tunnel door een gebied waar je de ondergrond niet precies kent tot tegenslagen kan leiden. Zoals ook de aanleg van een helemaal zelf ontworpen keuken meer risico's heeft dan het plaatsen van een modulaire keuken gebaseerd op onderdelen van een bekende Scandinavische fabrikant. En net zoals het ook helpt als je vooraf precies weet waar de leidingen liggen.

En dus?

De afgelopen 11 dagen schreef ik elke dag over overheid en digitalisering. Over de politieke context, over coördinatie van digitalisering binnen de overheid, over de noodzaak van eigen kennis en uitvoering, over publieke waarden die we moeten borgen, over de afhankelijkheid van externe kennis en producten, over de tijd tussen wetgeving en werking. En hierboven dus toch ook over ICT-projecten.

Digitalisering is een veelomvattend onderwerp en er valt nog veel over te schrijven. Maar na tien dagelijkse blogs op rij ga ik dat weer minder frequent doen. Want het is tenslotte ook tijd voor sabbatical en voor reflectie. Wie mij kent weet dat ik niet geschikt ben om op de bank of op mijn handen te zitten. Reflectie vind ik vooral in gesprekken en in samen sparren over taaie vraagstukken. Los van nadenken over wat ik ga doen als ik groot ben is voor dat sparren nu ook alle ruimte. Mijn LinkedIn postbus staat open voor voorstellen!

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de tiende blog in een reeks die daarover gaat. Dit keer blijven we niet binnen Nederland maar gaat het over de rol van de EU. Over hoe door Europese regels de privacy van Nederlandse leerlingen beter beschermd wordt en big tech zijn diensten aanpast. Over standaardisatie op een schaal die werkt en over samenwerken om tot die schaal te komen. Over de bijna 30.000 bedrijven die in Estland vanuit het buitenland digitaal zijn opgezet en over de (grote) rol die Nederland zelf speelt.

Beschermende regels

"Hardware komt uit China, software uit de VS en regels komen uit de EU", overdreef ik eerder enigszins in de zevende blog uit deze reeks. Toch zit in de nadruk op regulering ook een grond van waarheid. Zoals regels worden gesteld aan medicijnen en auto's (denk aan marktmacht en veiligheid) worden die ook gesteld aan digitale diensten en producten.

De AVG of Algemene Verordening Gegevensbescherming is daar een goed voorbeeld van. Het is een verordening en daarmee is de AVG rechtstreeks van toepassing in elke lidstaat. De AVG verving in 2018 de richtlijn 95/46/EG en daarmee ook een groot deel van de toenmalige wetgeving in individuele lidstaten over persoonsgegevensbescherming. Want een richtlijn moet wel in elke lidstaat nog in een wet worden vervat. Tot 2018 was dat in Nederland de Wet bescherming persoonsgegevens.

De AVG is dus in de hele EU hetzelfde. Voor bedrijven is dat fijn, omdat ze weten waar ze op kunnen rekenen. Maar ook voor de maatschappij heeft het grote voordelen. Dat zie je bijvoorbeeld in de tegenmacht die daardoor tegen Big Tech is ontstaan. Nederland is voorloper in het zorgen dat technologie voldoet aan de privacyregels die in de AVG zijn opgenomen. How the Netherlands is taming Big-Tech kopte de New York Times bijvoorbeeld.

Artikel uit de New York Tmes met als kop: How the Netherlans is Taming Big Tech

Zo adviseerde de Autoriteit Persoonsgegevens in 2021 het onderwijs om de stoppen met Google Worskspace. Dit begon in 2020 met een DPIA (Data Protection Impact Assessment, Gegevensbeschermingseffectbeoordeling) op Google Workspace for Education op verzoek van twee universiteiten. Een eerste onderhandelingsronde met Google leidde slechts tot het wegnemen van 2 van de 10 geïdentificeerde hoge risico’s. Vanwege de resterende hoge risico’s werd advies gevraagd aan de AP. Google paste na het advies van de AP alsnog zijn diensten aan. In 2023 kon worden besloten dat Google Workspace for Education kon blijven worden gebruikt.

Een onderhandeling als deze werkt alleen omdat de AVG voor de hele EU geldt. Want als de diensten niet aan de AVG voldoen, dan voldoen ze in de hele EU niet aan de wet. Alleen daardoor konden we zorgen dat persoonsgegevens van leerlingen veiliger zijn. Dat was ons alleen nooit gelukt.

Google is niet de enige die zijn diensten aanpaste op basis van Nederlandse onderzoeken en onderhandelingen. In 2022 loste Zoom alle gevonden hoge privacyrisico's op, in 2023 slaagde Amazon Web Services (AWS) erin om alle privacyrisico’s van drie belangrijke clouddiensten voor de Nederlandse rijksoverheid weg te nemen en de gesprekken met Meta over Facebook Pages zijn nog gaande.

De AVG is maar een van de voorbeelden. De Digital Markets Act (of Verordening Digitale Markten), eist bijvoorbeeld dat het uitwisselen van berichten tussen apps als Whatsapp en Signal mogelijk wordt. Net zoals je nu SMS berichten tussen verschillende providers kunt verzenden. Dat zorgt voor ruimte voor alternatieven.

Een mooi overzicht van de vele wetten en hun impact is gemaakt door de VNG. De wetten regelen bijvoorbeeld dat technologie gedurende de hele levensduur goed beveiligd moet zijn, en dat bepaalde vormen van AI niet zijn toegestaan of aan strenge eisen moeten voldoen.

Wetgevingsoverzicht uit Europa gemaakt door de VNG

Voorbeeld: eIDAS

Een ander voorbeeld is de eIDAS-verordening, die er op is gericht om inloggen bij diensten in andere landen dan je eigen land mogelijk te maken. Een voorbeeld dat door veel mensen geprezen wordt is de de identiteitskaart van Estland. Meer dan 28.500 bedrijven in Estland zijn al gestart door mensen van buiten Estland door gebruik te maken van de mogelijkheden die "E-Residency" biedt.

Voorbeeld van identiteitskaart uit Estland

De eIDAS verordening maakt het mogelijk om met een inlogmiddel uit het ene land ook in het andere land in te loggen. Om een bedrijf te starten, of belastingaangifte te doen bijvoorbeeld.

Dat kan in Nederland ook al een tijdje. Bijvoorbeeld als je inkomensaangifte wilt doen. Want aan een verordening voldoen, dat is verplicht. En, als je het als land een beetje slim doet (denk aan Estland), leidt het tot nieuwe bedrijven en werkgelegenheid.

Inloggen bij de Belastingdienst met een Europees Inlogmiddel

In Nederland ontstond eerder debat over de opvolger van de huidige eIDAS verordening (eIDAS 2). Naast de huidige inlogmiddelen (zoals DigiD in Nederland) worden daarin ook eisen gesteld aan bijvoorbeeld apps op telefoons om mee in te loggen. Zoals veel mensen ook al een digitale bankpas in hun telefoon hebben en daarmee betalen. Om te zorgen dat inloggen aan onze publieke waarden blijft voldoen (en we niet alleen met apps van grote bedrijven inloggen in de toekomst) werkt de EU aan eisen voor zulke digitale portemonnees. Deze week is met de nieuwe verordening ingestemd.

Vorig jaar schreef ik daar een blog over naar aanleiding van artikelen in de pers over deze plannen. Terecht dat over dit soort onderwerpen debat wordt gevoerd, want het gaat om onze publieke waarden. In een brief eind vorig jaar beschreef het kabinet welke publieke waarden waren ingebracht in de gesprekken. Zoals vrijwilligheid van gebruik, open source en een verhandelverbod van gebruiksgegevens. Het is een goed voorbeeld van de bescherming van publieke waarden in Europees verband.

Samen optrekken

Waar individuele landen weinig kunnen inbrengen in mondiaal verband, geldt dat voor een groep samenwerkende landen namelijk veel minder. Een mooi voorbeeld daarvan zijn supercomputers. EuroHPC is "a joint initiative between the EU, European countries and private partners to develop a World Class Supercomputing Ecosystem in Europe". Eén van de supercomputers die daaruit is ontstaan is LUMI in Finland. De Finse overheid, de wetenschap en het bedrijfsleven zijn er bij betrokken. De computer wordt bijvoorbeeld gebruikt voor open "Large Language Models" die Europese talen spreken. Het is een van de snelste supercomputers ter wereld en ook bedoeld voor gebruik door bedrijven.

Eigen supercomputers is een voorbeeld van ook zelf nog over digitale faciliteiten beschikken. De EU heeft de ambitie om digitaal autonoom te blijven in een open en onderling verbonden wereld. Dat kan alleen als de lidstaten samen optrekken.

Een ander voorbeeld waarin samen wordt opgetrokken is standaardisatie. Als klein land standaarden vaststellen, dat is best lastig. Zeker omdat leveranciers vaak wereldwijd werken. Standaarden zorgen er ook voor dat Nederlandse bedrijven een grotere markt hebben en dat innovatie uit het buitenland ook in Nederland kan worden toegepast. Een bekend voorbeeld daarvan is de oplaadkabel voor mobiele apparaten. Vanaf dit jaar moeten die apparaten zijn voorzien van een USB-C poort.

Nieuwsartikel van NU.nl dat Apple komt met USB-C als oplader

Ook op andere terreinen is sprake van standaardisatie vanuit de EU. Ik schreef zelf al vaak over de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Deze wet is gericht op het bereiken van volledige interoperabiliteit bij het elektronische uitwisselen van gegevens tussen zorgverleners en maakt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij gestreefd wordt naar normalisatie van eisen aan taal en techniek, kan uitwisseling onafhankelijk van een specifieke elektronische infrastructuur plaatsvinden.

Dat lijkt heel erg op de werking van de European Health Data Space (EHDS). Dat is een voorstel van de Europese Commissie om snel en makkelijk medische gegevens te kunnen uitwisselen en burgers toegang te geven tot hun gezondheidsdata. De Nederlandse wetgeving loopt daarop vooruit en sluit er op aan. De eerste use-cases van de EHDS komen grotendeels overeen met de geprioriteerde gegevensuitwisselingen onder de Wegiz. Dat komt omdat Nederland bewust zorgt voor betrokkenheid bij de Europese ontwikkelingen.

Zo was ik zelf enkele jaren co-chair van het eHealth Network namens de lidstaten. Het eHNis het belangrijkste beslisorgaan op Europees niveau wat betreft digitale uitwisseling van zorggegevens. Binnen het eHN werken alle ministeries van volksgezondheid in de Europese Unie (en Noorwegen) samen.

Dat actief meedoen werkt werd ook in 2022 beschreven aan de Tweede Kamer:

Tegelijkertijd worden reeds activiteiten ondernomen op Europees niveau om de vereisten van de gegevensuitwisselingen vorm te geven. Nederland is op dit moment al langere tijd nauw betrokken bij de ontwikkeling van vereisten en zit op een aantal strategische posities om invloed uit te oefenen op de bepaling van deze vereisten. Zo is Nederland co-voorzitter van het eHealth Netwerk en is Nictiz betrokken in het Europese project X-eHealth («Cross-eHealth»), wat belast is met de ontwikkeling van de in de verordening geprioriteerde uitwisselingen (use-cases). Daarnaast is Nictiz nauw betrokken geweest in de reeds ontwikkelde geprioriteerde use-cases, waaronder de Europese patiëntsamenvatting en de Europese voorschriften voor digitaal receptenverkeer en de uitgifte van medicatie.

En dus?

Er is in Nederland af en toe scepsis over de rol van de EU. Maar die rol is bij digitalisering hoe dan ook groot. Dan kun je maar beter actief meedoen.

Gebruikmakend van Europese wetgeving zorgt Nederland dat bedrijven aan publieke waarden voldoen. Zodat we leerlingen beschermen tegen misbruik van hun persoonsgegevens, bijvoorbeeld. Maar dezelfde samenwerking in Europa leidt ook tot standaardisatie en kansen voor innovatie.

Dat kan juist omdat we samenwerken in de EU, want schaalgrootte is nodig om een rol van betekenis te spelen op het mondiale speelveld. Om er samen voor te zorgen dat AI net zo aan regels moet voldoen als medicijnen, of slimme deurbellen blijvend veilig zijn. En ook om te zorgen dat we nog eigen bedrijvigheid over houden. Zoals Estland ook bijna 30.000 bedrijven kent die geholpen door de Estse digitale infrastructuur vanuit het buitenland zijn opgezet.

Als we het slim doen kan ook een klein land als Nederland impact hebben en dat laten we op veel terreinen ook al zien. Daarvoor is een stevige eigen inzet in Brussel nodig, bekendheid met de processen van de EU en aandacht voor implementatie. In het parlement, bij de overheid, bij bedrijven en in de maatschappij.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de negende blog in een reeks die daarover gaat. Waar de achtste blog ging over de tijd tussen wetten en hun werking, gaat deze blog over de tijd tussen beleid en werking. Aan de hand van twee voorbeelden.

Van beleid tot werking

Tussen wetgeving en werking zit vaak jaren. Niet alleen omdat implementatie tijd kost, ook omdat wetgeving zelf zorgvuldig moet gebeuren en veel stappen kent. Daarover ging gisteren de achtste blog in deze reeks. Maar niet alle beleid vereist wetgeving. Kan het dan niet sneller? Dat is soms zeker het geval, maar lang niet altijd. In de tweede blog in deze reeks gaf ik het voorbeeld van het Algoritmeregister van de Nederlandse overheid. Dit register is in 2022 bedacht, in enkele maanden gemaakt en in 2023 ingevoerd. Vandaag, 26 maart 2024, staan er 321 algoritmes van 100 overheidsorganisaties in.

Webpagina van het Algoritmeregister met 321 gevonden algoritmes

Met alle ministeries is afgesproken dat het Algoritmeregister up-to-date is in 2025 en dat dan ten minste de hoog risico algoritmes geregistreerd zijn in het Algoritmeregister. Implementatie kost nu eenmaal tijd. De CIO Rijk stelt in overleg met de CIO's van de departementen wel de kaders op die bepalen hoe dergelijke algoritmes moeten worden beschreven. Maar de beschrijving zelf, dus ook bijvoorbeeld de diepgang daarvan en welke gegevens wel en niet worden ingevuld, is aan de departementen zelf. Die informeren ook de Tweede Kamer apart over hun voortgang. Zo schrijft de minister van EZK:

Het registreren van algoritmes vraagt nieuwe dingen van EZK en haar diensten. Gelet op de onzekerheid in de planning en prioritering is het nog niet duidelijk of er voldoende capaciteit en/of middelen beschikbaar zijn om de planning te realiseren.

Maar het is niet alleen de implementatie die tijd kost. Net als wetgeving moet beleidsvorming zorgvuldig gebeuren. Het vergt afstemming, soms alleen binnen het Rijk maar vaak ook met de medeoverheden (gemeenten, provincies en waterschappen). En ook beleid kent uitvoeringsgevolgen die in kaart moeten worden gebracht voor je er over kunt besluiten.

Voorbeeld: een domeinnaamextensie voor de overheid

Eind vorig jaar werd het principebesluit genomen om te kiezen voor de overheidsextensie '.gov.nl' en werd een uitvoeringstoets aangekondigd:

Vertrouwen in de digitale wereld is een belangrijke voorwaarde om volledig mee te kunnen doen. Op grond van veiligheidsoverwegingen en internationale voorbeelden heeft het kabinet een principebesluit genomen om te kiezen voor de overheidsextensie ‘.gov.nl.’. Om inzicht te krijgen in de financiële en organisatorische gevolgen, laat het kabinet op de realisatie van verschillende extensies een uitvoeringstoets doen.

Dit beleidsvoornemen kent een geschiedenis van bijna 20 jaar. Ook andere landen hebben een dergelijke extensie ingevoerd. Zo is de stad Londen bereikbaar op London.gov.uk en de Portugese overheid op Portugal.gov.pt. In de beleidsvorming werd zowel gekeken naar een topleveldomein (zoals '.overheidnl') als een second level domein (zoals 'overheid.nl' of 'gov.nl').

In het kort ziet de Nederlandse tijdlijn tot aan het principebesluit om .gov.nl in te voeren er als volgt uit:

  • 2005
    Rond 2005 werd een traject gestart om de extensie .overheid.nl in te voeren. Vandaar dat bijvoorbeeld het register van overheidsorganisaties “organisaties.overheid.nl” heet en sommige rijksemailadressen nog steeds eindigen op .overheid.nl. Dit bleek in strijd met de ICANN regels.
  • 2013
    In 2013 voerde Novay een verkenning uit naar de kansen en risico’s van invoering van een topleveldomein .overheidNL voor websites en e-mails van de Nederlandse overheid. De verkenning constateert onder andere dat verplichtingen voor de gTLD eigenaar richting ICANN belemmerend kunnen werken en de kosten van de aanschaf en het beheer van een gTLD substantieel hoger zijn dan voor een second level domein. Naar aanleiding van deze verkenning wordt gestopt met de voorbereiding van een topleveldomein naam als '.overheidnl'.
  • 2018
    In 2018 schrijft toenmalig staatssecretaris Knops aan de Tweede Kamer dat er "onderzoek onder burgers en ondernemers komt naar de wenselijkheid te komen tot één domeinnaam-extensie voor alle e-mailadressen en websites van de Nederlandse overheid".
  • 2019
    In 2019 voerde Kantar een onderzoek uit naar de herkenbaarheid en betrouwbaarheid van websites en e-mails van de overheid. Hieruit blijkt dat veel burgers moeite hebben om goed te herkennen of een website of e-mailbericht al dan niet van de overheid is. Fraudeurs maken hiervan misbruik. Bovendien ondermijnt de onduidelijkheid het vertrouwen van burgers in echte overheidswebsites en overheidsmailberichten. Een extensie zou hierbij helpen.
  • 2019
    In hetzelfde jaar doet de VNG onderzoek naar de impact van een niforme domeinnaamextensie. Hierin wordt de meerwaarde niet gezien en als er toch voor wordt gekozen moet er een wettelijke verplichting komen en invoering op één moment ("big bang").
  • 2019
    Ook in 2019 doet PBLQ onderzoek naar domeinnaambeleid in het buitenland. Een behoorlijk aantal overheden blijkt een uniform domeinnaambeleid in te zetten om vooral de betrouwbaarheid en herkenbaarheid van overheidscommunicatie te verbeteren. Hierbij geldt in de meeste gevallen dat het uniforme domeinnaambeleid ‘vrijwillig’ is, en de adoptie ervan toeneemt naarmate er meer diensten rondom worden aangeboden. Beleid gericht op het gebruik van uniforme e-mailadressen door de gehele overheid heen, wordt niet of slechts in beperkte zin aangetroffen.
  • 2020
    In 2020 doet Ecorys een Quickscan naar oplossingen en maatschappelijke effecten. In dit onderzoek worden vier (deel)oplossingsrichtingen voor de problemen geïdentificeerd: een uniforme domeinnaamextensie, register van overheidsdomeinnamen, herkenbare en vertrouwde centrale platformen en collectieve communicatieafspraken. Een uniforme overheidsdomeinnaam heeft mogelijk het grootste effect op herkenbaarheid van de digitale, aldus de onderzoekers.
  • 2023
    In 2023 doet Centerdata publieksonderzoek naar de meerwaarde van een uniforme extensie. Het blijkt dat een uniforme domeinnaamextensie zorgt voor betere herkenning van overheidswebsites. Daarnaast is men beter in het herkennen van websites die niet van de overheid zijn na uitleg. Ook blijkt dat voor de herkenning van frauduleuze websites die op die van de overheid lijken maar dat niet zijn, de domeinnaamextensie “.gov.nl” mensen beter helpt te herkennen dat dit géén overheidswebsites zijn.

Op basis van al deze onderzoeken wordt eind 2023 in een brief aan de Tweede Kamer aangekondigd:

Tijdens het Commissiedebat Digitaliserende Overheid van 28 juni jl., zegde ik toe een nader onderzoek uit te voeren naar de toepassing van een overheidsdomeinnaamextensie bij de overheid. Inmiddels is dit onderzoek afgerond en gepubliceerd op Rijksoverheid.nl. Uit het onderzoek blijkt aantoonbaar dat een uniforme extensie burgers helpt om makkelijk te kunnen bepalen of een website van de overheid is of niet. Dat geldt ook voor laaggeletterden en mensen met beperkte digitale vaardigheden die nadrukkelijk zijn meegenomen in dit onderzoek. Op grond van veiligheidsoverwegingen en internationale best practices heb ik het principebesluit genomen om te kiezen voor de extensie .gov.nl. Om inzicht te krijgen in de financiële en organisatorische gevolgen laat ik een uitvoeringstoets doen.

Bijna 20 jaar wordt dus er al nagedacht over de herkenbaarheid van overheidswebsites, het voorkomen van fraude en de uniformiteit van onder andere domeinnaamextensies. In die tijd is het aantal websites, dus ook de omvang van de migratie inspanning bij invoering, behoorlijk toegenomen.

Voorbeelden van websites van de overheid opgesomd zoals Strafdossier MH17

En dus?

Tussen wetten en werking zit soms jaren, maar tussen beleid en werking ook. Wellicht zou meer coördinerend mandaat dat iets kunnen versnellen, maar "de overheid" is groot en verandering kost tijd. En dat veranderen, dat kost ook tijd.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de achtste blog in een reeks die daarover gaat. Ditmaal over de tijd die er zit tussen wetten en hun werking.

Van wet tot werking

Tussen beleid maken en de start van de uitvoering zit soms jaren. Niet alleen omdat implementatie tijd kost, ook omdat wetgeving zelf zorgvuldig moet gebeuren en veel stappen kent. Die tijd tussen wetgeving en uitvoering is een van de redenen dat beleid en uitvoering soms ver uit elkaar staan. In de eerste blog in deze reeks citeerde ik voorstellen tot verbetering uit de Staat van de Uitvoering 2022:

Door het dagelijkse contact met burgers en ondernemers weten uitvoerders heel veel van de praktijk, over de maatschappelijke problemen en de opgaven. Als politiek en departementen zich concentreren op de vraag wat zij willen bereiken, geef de uitvoering dan het voortouw in het gesprek over hoe die doelen in de praktijk gerealiseerd kunnen worden.

Daarnaast is een brede oriëntatie op het te voeren beleid nodig met als insteek om concurrerende beleidsopties op tafel te krijgen. Betrek burgers, ondernemers en de wetenschap, kijk naar goede internationale praktijken, breng de juridische consequenties in kaart (complexiteit van wetgeving, rechtsstatelijkheid), evenals de digitaliseringsmogelijkheden en -onmogelijkheden.

De voorgestelde veranderingen zouden zeker leiden tot verbeteringen (ook in de digitalisering) maar zijn niet zomaar toe te passen. Dat zit zo. Het beleidskompas is de centrale werkwijze voor het maken van beleid bij de Rijksoverheid. Zodra een beleidsambtenaar aan de slag gaat met een maatschappelijke opgave, herziening van bestaand beleid of een nieuw beleidsdossier is het de bedoeling te starten met het Beleidskompas.In dit kompas, dat de opvolger is van het Integraal afwegingskader is aandacht voor cocreatie. Maar de voorstellen uit de Staat van de Uitvoering, waaronder komen tot concurrerende beleidsopties, die staan er nog niet in:

Indien je beleid of wetgeving maakt waarin organisaties of instanties mogelijk een rol of verplichting krijgen bij de uitvoering, zal je voor de onderbouwing van je voorstel vroeg in je beleidsproces informatie moeten verkrijgen over de uitvoerbaarheid. Dat doe je door het maken van een uitvoeringsanalyse. Door vroegtijdig een uitvoeringsanalyse uit te voeren, versterk je de uitvoeringstoets. Zodra het beleid of regelgevingsvoorstel in concept gereed is en er sprake is van substantiële (neven)effecten voor uitvoerende en handhavende instanties, moet je deze instanties om een oordeel vragen over de uitvoerbaarheid en handhaafbaarheid van het voorstel (= uitvoeringstoets, ook wel aangeduid als uitvoerbaarheidstoets of vergelijkbare termen). Dit vindt plaats op het moment dat je beleid of regelgevingsvoorstel in concept gereed is, voorafgaande aan de ministerraadbehandeling.

Het beleidskompas is een grote stap in de goede richting, maar het zet de uitvoering nog niet aan het roer van de alternatieve beleidsopties. Samen beleid prototypen zou een andere aanpak vergen. Het gevolg is dat uitvoerbaarheid op de tweede plaats komt en dat wet- en regelgeving niet optimaal aansluit bij de uitvoering. Dat heeft gevolgen voor de samenleving en voor de overheidsdienstverlening. Bijvoorbeeld omdat grondslagen voor gegevensuitwisseling ontbreken en mogelijkheden voor moderne dienstverlening daardoor beperkt worden. Over die grondslagen moet je namelijk al bij de wetgeving hebben nagedacht.

De AVG kent 6 grondslagen voor gegevensverwerking: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang en gerechtvaardigd belang. Maar overheden kunnen zich in beginsel slechts baseren op twee grondslagen, namelijk dat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting of dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar gezag. Dit betekent in de regel dat er een wettelijke grondslag moet zijn die specificeert welke gegevens waarvoor gebruikt mogen worden. Als later in de uitvoering blijkt dat andere gegevens nodig zijn of dat een verwerking vergeten is, dan heeft dat gevolgen voor de uitvoering. Gevolgen die niet zomaar te repareren zijn, omdat het aanpassing van wetgeving vereist.

Het rapport Standen van de Uitvoering over gegevensuitwisseling geeft daarvan vele voorbeelden. Zoals deze van het CAK:

Ook mogen wij burgers die in meerdere regelingen van het CAK zitten geen integrale dienstverlening bieden. De huidige regelgeving bevat hiervoor vooralsnog geen grondslag. Rijksbreed ontbreekt het daarnaast aan grondslagen om de schulden van burgers bij meerdere overheidsdiensten te identificeren en beschikbaar te stellen aan gemeenten.

Met als gevolg dat er geen integrale dienstverlening geleverd kan worden en dat het lastiger is om mensen met schulden te helpen. Ook maakt het digitalisering lastiger en het ICT-landschap complex. Aan het begin de tijd nemen voor dit soort zaken heeft dus voordelen.

De tijd nemen loont

In de eerste blog in deze reeks schreef ik dat het mooi zou zijn als er iets vaker gesproken zou kunnen worden over beleidsdoelen (in plaats van direct vast te willen leggen hoe die in de praktijk behaald moeten worden). Dat vraagt tijd en ruimte in een vaak haastig debat. Tegelijkertijd: het maken van wet- en regelgeving en het komen tot uitvoering en werking kost veel tijd. Zoveel tijd dat wat langer nadenken aan het begin juist tot versnelling later kan zorgen (en tot beter doordachte en uitvoerbare regelgeving). Een voorbeeld uit mijn eigen praktijk.

Op 21 april 2023 werd in het Staatsblad de Wet van 19 april 2023, houdende regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg of Wegiz) gepubliceerd. Een wet waarmee de Ministerraad in april 2021 instemde en waarvoor in 2018 ide basis werd gelegd. Op verzoek van de zorg beloofde toenmalig minister Bruno Bruins regie te pakken om elektronische gegevensuitwisseling te gaan versnellen. Met de inwerkingtreding van de wet na vijf jaar veranderde er niet direct iets in de gegevensuitwisseling in de zorg. Dat gaat stap voor stap en jaren duren. De eerste gegevensuitwisseling die onder de Wegiz verplicht wordt, is de gegevensuitwisseling ‘Versturen van recept door huisarts aan terhandsteller’. Dit betekent dat huisartsen en apothekers vanaf 1 januari 2024 wettelijk verplicht zijn om recepten (medicatieafspraken) elektronisch uit te wisselen.

Dat zo'n proces jaren duurt ligt niet alleen aan het opstellen van de regels zelf en de adviezen (en aanpassingen die daarop nodig zijn) van bijvoorbeeld de Autoriteit Persoonsgegevens en de Raad van State. Een half jaar van deze doorlooptijd werd besteed aan gesprekken met zorgaanbieders en hun ICT-leveranciers. Welke gegevensuitwisselingen zijn geschikt om als eerste elektronisch te verlopen? En wat is nodig aan (technische) afspraken om te komen tot landelijke uitwisseling van gegevens? (De tijdlijn vind je hier)

Van wet tot werking vergt in de praktijk dus behoorlijk wat tijd. Dat er aan het begin van het opstellen van de Wegiz goed is nagedacht over alle alternatieven en wat wel en niet zou gaan werken heeft nauwelijks consequenties gehad voor de doorlooptijd.

En dus?

Wetgeving is een zorgvuldig proces waardoor tussen wet en werking jaren kunnen zitten. De uitvoeringsgevolgen van wetgeving worden daardoor vaak ook pas na jaren zichtbaar. De Staat van de Uitvoering 2022 geeft daarvan genoeg voorbeelden. Cocreatie van uitvoering en beleid kan leiden tot beter doordachte wet- en regelgeving en uitvoerbaarder beleid.

Met de tijd die toch al met wetgeving is gemoeid hoeft het ook nauwelijks tot vertraging te leiden. De tijd anders gebruiken vraagt wel wat. Een parlementair debat dat in eerste instantie vooral over de beleidsdoelen gaat, bijvoorbeeld. En ook aanpassing van het beleidsproces.

Mijn beleidsdoel zou zijn dat beleidsalternatieven door de uitvoering mee bepaald tot stand komen en dat slimme voorstellen direct in de wetgeving worden opgenomen. Hoe dat precies te bereiken? Ik kan natuurlijk nu uit de losse pols allerlei voorstellen doen. Elke minister eigen ondersteuning vanuit uitvoering, bijvoorbeeld. Maar het is beter om voor het uitdenken even de tijd te nemen. Ik zou daar ook de uitvoering bij willen betrekken, de wetenschap en alle betrokkenen in de buitenwereld. "Practice what you preach" dus, in dit geval.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de zevende blog in een reeks die daarover gaat. Dit keer niet over de overheid zelf, maar over waardengedreven verdienvermogen.

Hardware uit China, software uit de VS en regels uit de EU?

Regels voor artificiële intelligentie: EP keurt baanbrekende wet goed was afgelopen week de kop van een persbericht van het Europees Parlement. De AI-verordening, de allereerste uitgebreide AI-wet ter wereld, bevat regels voor het gebruik van kunstmatige intelligentie in de EU. Zoals auto's veilig moeten zijn voor ze de weg op gaan en medicijnen voordat ze toegediend worden komen er ook eisen aan AI. Maar voor al deze terreinen geldt: de productie is langzamerhand uit de EU aan het verdwijnen en daarmee de kennis en de werkgelegenheid. "Brussel wil medicijnproductie wel terug naar EU, maar weet nog niet hoe" kopte de NOS in 2020:

Het is volgens de Europese Commissie de belangrijkste les uit de covid-pandemie: de EU moet onafhankelijker worden als het op de eigen medicijnproductie aankomt. De afgelopen decennia trok de productie van goedkope, maar belangrijke medicijnen bijna volledig naar Azië, met name naar China en India. En daardoor kan Europa snel in de problemen komen.

Een zelfde afhankelijkheid is er ook van digitale producten en diensten van buiten de EU schreef ik eerder al in de vierde blog in deze reeks. Waar de hardware vooral uit China komt en de software vooral uit de VS, worden wij geprezen omdat wij Big Tech beteugelen.

Terecht stellen we regels om publieke waarden te beschermen. Maar niet voor niets benoemde ik in de vierde blog het belang van meer digitale autonomie en meer eigen diensten. Niet alleen om de afhankelijkheden te beperken. Het zorgt ook dat de kennis behouden blijft, innovatie door blijft gaan en verdienvermogen van Nederland (en de EU) overeind blijft. Welke risico's je anders loopt, schreef ik in de derde blog in deze reeks, leert het verhaal over het broodrooster van Bert Hubert:

‘Veel Europese bedrijven zijn alles wat hen ooit uniek maakte gaan inkopen’, vertelt hij. ‘Dan komt er een punt dat je als bedrijf slechts een voorportaal van je leveranciers bent geworden. Op een gegeven moment vraag je je dan af: wat doen we nog wel hier? Want de kern van je bedrijf is niet langer iets maken, maar iets verkopen. Als broodroosterfabrikant beheer je het logo en het merk, misschien schrijf je de gebruiksaanwijzing nog zelf – hoewel je dat tegenwoordig ook prima kunt uitbesteden. Wellicht organiseer je nog de logistiek van de verkoop, maar in principe ben je een broodroosterfabrikant die helemaal niets meer zelf doet dat te maken heeft met het roosteren van brood. (...) Maar omdat je geen broodroosters maakt, weet je ook niet precies hoe ze werken. Je verliest de beste broodroosterwizards als personeel, want hen boeit het werk bij jou niet meer. ‘Je komt op een punt dat je niemand meer in dienst neemt die iets kan, waardoor je als bedrijf niets praktisch meer zelf kunt.’ Weg expertise, weg innovatie.

Kansen genoeg

Gelukkig zijn er ook kansen. Zo werd recent bekend dat Nederland ASML wil behouden en identificeert de Nationale Technologiestrategie sleuteltechnologieën waar het Nederlandse kennisveld en het Nederlandse bedrijfsleven een positieve impact mee kan maken en waar een unieke Nederlandse positie op mogelijk is. Zoals kunstmatige intelligentie en quantumtechnologie waarover TNO schrijft:.

Quantumtechnologie is veelbelovend voor de samenleving, industrie en wetenschap. Nederland is wereldwijd koploper in de inzet van quantumtechnologie. Ook is het bestempeld als sleuteltechnologie door Nederland en andere Europese overheden. Nederland wil zijn positie als voortrekker en pionier in de kennis en ontwikkeling van quantumtechnologie behouden en versterken. Daarom is de Nationale Agenda Quantumtechnologie (NAQT) opgesteld, in opdracht van Economische Zaken en Klimaat en de topsectoren High Tech Systemen en Materialen en ICT.

Veel van ontwikkelingen als deze vergen een grote schaal die slechts enkele bedrijven en enkele landen hebben. Niet voor niets zegt Reijer Passchier, hoogleraar digitalisering en de democratische rechtsstaat verbonden aan de Open Universiteit:

"De technologiemarkt wordt van oudsher gedomineerd door grote bedrijven die het rechtstelsel weten te gebruiken om nog machtiger te worden. In bijvoorbeeld de auto-industrie heeft dat ertoe geleid dat een handvol bedrijven decennialang de dienst uitmaakte. Digitalisering maakt het risico op dergelijke marktdominantie nog eens vele malen groter en dat baart me zorgen. Juist in de digitale wereld geldt dat degene met de meeste informatie de beste uitgangspositie heeft. Dit the rich gets richer-principe leidt tot the winner ­takes all en het ontstaan van omvangrijke monopolies."

Voorbeeld: AI

Dat geldt zeker ook voor de ontwikkelingen op het gebied van AI. Wie gaat de AI-race domineren? Techbedrijven staan op scherp kopte de NOS en noemde daarbij vooral Amerikaanse big tech bedrijven. Het Rathenau instituut vergeleek het onderzoek naar AI in de EU, de VS en China en constateerde:

Waar grote bedrijven op het gebied van AI, zoals Google en Alibaba, veelal buiten Europa zijn gevestigd, is het AI-onderzoek juist een van de krachten van Europa en Nederland. (…) We vergelijken de onderzoeksinzet en -output van Nederland met die van de tien landen met de meeste AI-publicaties en met de Europese en wereldwijde gemiddeldes. Hieruit blijkt dat AI-onderzoek in Nederland internationaal gezien een relatief klein deel uitmaakt van het totale wetenschappelijk onderzoek. In de EU-27 is het aandeel van AI in het totale onderzoek vergelijkbaar met dat in de Verenigde Staten, maar de EU verliest terrein ten opzichte van zowel de VS, als van China.

Overzicht AI publicaties met Nederland op laatste plaats

Het is niet gemakkelijk voor Europese bedrijven om mee te komen in deze wedrace. Recent voelde een groep Europarlementariërs die de EU AI Act mede heeft vormgegeven, zich beduveld door het Franse ai-bedrijf Mistral. De (toen nog open source) startup uit Parijs gaat nauw samenwerken met Microsoft. En dat terwijl Mistral zich steeds heeft geprofileerd als Europees antwoord op Big Tech.

Investeren in AI

Ook Nederland wil investeren in eigen AI-kennis en bedrijvigheid. Zo heeft het Nationaal Groeifonds aan het AiNed programma een budget van 204,5 miljoen euro toegekend, noemt de Nationale Technologiestrategie AI als sleuteltechnologie en wordt gewerkt aan een eigen Nederlands taalmodel. In de Nederlandse AI-Coalitie wordt samengewerkt door overheid, bedrijfsleven, onderwijs- en onderzoeksinstellingen en maatschappelijke organisaties aan maatschappelijk verantwoorde AI-toepassingen. In zogenoemde ELSA-labs wordt daarbij onderzoek gedaan naar de ethische, juridische en sociale aspecten van AI. Bij al deze ontwikkelingen staat mensgerichte AI voorop. Want publieke waarden staan onder druk, bijvoorbeeld bij generatieve AI schrijft het kabinet in de overheidsbrede visie op generatieve AI:

Het gebruik van generatieve AI kan negatief van invloed zijn op publieke waarden zoals non-discriminatie, privacy en transparantie. Als het leidt tot aantasting van ons informatie-ecosysteem is het daarmee van invloed op de democratie en onze rechtsstaat. (…) Een niet te onderschatten uitdaging bij generatieve AI vormt de eventuele vooringenomenheid en selectiviteit die als gevolg van de gebruikte trainingsdata en modelparameters in de systemen verankerd kan zijn. Dat zet gelijke behandeling en non-discriminatie onder druk. Ook groeit het risico op desinformatie doordat generatieve AI het creëren en verspreiden ervan vergemakkelijkt. Een voorbeeld hiervan is het eenvoudig kunnen produceren van deepfakes. Ook bestaan er zorgen over mogelijke schendingen van rechten op het gebied van privacy, gegevensbescherming en auteursrechten.

Toch geldt ook hier: Nederland is te klein voor heel veel verschillende alternatieven. Schaal is nodig en kennis is schaars. Daarbij moet je, om te borgen dat de kennis, zorgen dat niet alsnog de ontstane kennis en bedrijvigheid Nederland verlaten.

En dus?

Als bedrijven hun helpdesk willen ondersteunen met een chatbot zou het fijn zijn als ze kunnen aantonen aan publieke waarden te voldoen. Als zorginstellingen generatieve AI willen gebruiken om gesprekken samen te vatten zodat er minder administratieve last is voor zorgprofessionals, zou het goed zijn als de gevoelige data dichtbij bleef en de verwerking aantoonbaar aan alle eisen voldoet. Als we in alle landstalen, dus ook Papiements en Fries, chatbots willen maken dan zullen we vooral zelf ook aan de slag moeten.

Recent deed de Europese Commissie een voorstel voor een verordening voor start-ups om Europees leiderschap op het gebied van betrouwbare artificiële intelligentie te stimuleren. Het kabinet schrijft daarover aan de Tweede Kamer:

Het kabinet is positief over het voorstel en staat inhoudelijk achter de noodzaak voor de toevoeging van de voorgestelde nieuwe pijler rondom AI, die door het bieden van beschikbare en toegankelijke HPC-infrastructuur aan gebruikers (industrie en wetenschap) een bijdrage kan leveren aan de Europese concurrentiepositie op het gebied van AI. Het voorstel om “AI-factories’’ op te richten is een belangrijke invulling van de noodzaak om als Europa gezamenlijk op te trekken in de mondiale concurrentiestrijd rondom AI. Verbeterde toegang tot AI-rekenkracht brengt met zich mee dat gebruikers, start-ups in het bijzonder, aangemoedigd worden hun activiteiten en dataverwerving, opslag en gebruik in Europa te ontplooien. Gebruikers worden eveneens minder afhankelijk van opslag en rekencapaciteit van buiten Europa.

Mijn voorstel: laten we komen tot één Nederlandse AI-faciliteit en daar dit soort mogelijkheden voor benutten. Een Ethical AI Valley. Het kost wat, een paar honderd miljoen zeker, maar daar krijg je ook veel voor terug in termen van behoud van kennis, wetenschap en verdienvermogen. En ook een faciliteit met rekenkracht, modellen en experts waarin overheden, wetenschap en bedrijfsleven, nonconcurrentieel, samenwerken. Als basis voor verdienvermogen (met mooie toepassingen in de zorg en het bedrijfsleven bijvoorbeeld) en voor onderzoek. Waarin open gewerkt wordt waar het kan en waardoor we kennis in Nederland (en andere landen die willen meedoen) opbouwen en behouden. Kennis bij de overheid, in de wetenschap en in het bedrijfsleven. Een mooie combinatie met mijn eerdere oproepen in deze reeks blogs om te werken aan voldoende eigen experts die gebruik kunnen maken van eigen faciliteiten. In samenwerking tussen overheid, wetenschap en bedrijfsleven. En laten we dat niet alleen voor AI doen, maar voor alle digitale technologieën waar dat zinvol is en kan.

Laten we dat, tot slot, niet alleen doen en samenwerken in de EU en ook niet alleen voor AI. De Nationale Technologiestrategie is een mooi startpunt.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de zesde blog in een reeks die daarover gaat. Eerder in deze reeks beloofde ik al terug te komen op publieke waarden. Ik schreef toen over de relatie tussen transparantie en vertrouwen. En over het belang van transparantie over de waarden die je nastreeft en hoe je dat in de praktijk laat zien. Over die waarden en hun afweging gaat deze zesde blog. Met daarin elementen uit oudere blogs, want het is een onderwerp waarover ik al veel vaker schreef.

Digitalisering raakt publieke waarden

In de vierde blog in deze reeks schreef ik over de afhankelijkheid van externe producten en diensten. Die afhankelijkheid heeft de overheid, maar ook het bedrijfsleven en de samenleving. Ik schreef dat je over de keerzijde van die afhankelijkheid de krant maar hoeft open te slaan:

"Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven" kopte de NOS recent nog. "Nederlandse overheid dreigt van Facebook af te gaan vanwege privacyrisico’s voor burgers" en scholen moeten goede afspraken maken over de privacy van gegevens van kinderen bij gebruik van digitale leermiddelen.

Publieke waarden vergen in elk individueel geval een afweging

De ethische afweging van publieke waarden kan in elk geval en per persoon anders zijn. Zo schreef ik eerder dat ik persoonlijk buikpijn had over client-side scanning. Ook betoogde ik eerder dat we anonimiteit op sociale media moeten koesteren. Dat ik daarover schreef is een teken dat digitalisering niet (alleen) een technische aangelegenheid is. Het gaat er bij digitalisering niet alleen om, bijvoorbeeld, of kwantumcomputing bestaande beveiligingsmethoden onveilig zal maken, dat ICT ons helpt om makkelijker vakanties te boeken of studiefinanciering aan te vragen. Wat de afgelopen jaren duidelijk heeft gemaakt is dat digitalisering ook grote invloed heeft op onze samenleving. Helaas niet alleen ten goede.

Dat het mogelijk is om digitaal te bepalen of een uitkeringsgerechtigde in het buitenland verblijft, zoals het UWV deed, maakt het nog geen goed idee om dat te doen. Dat het mogelijk is om modellen te maken die fraudekans voorspellen, zoals de gemeente Rotterdam deed, maakt het nog geen goed idee om dat zo te doen dat je sommige groepen veel eerder verdenkt dan andere. Alle hulde overigens aan de Gemeente Rotterdam, die toen dat duidelijk werd ook de broncode van de gebruikte algoritmes ter beschikking stelde om er onderzoek naar te doen!

Digitalisering, kortom, heeft invloed op mensenrechten, op publieke waarden. Hoe je omgaat met de mogelijkheden die digitalisering biedt vraagt ook om een ethisch debat. Niet alles dat kan, is ook een goed idee. En, ook belangrijk, elke voorkomende situatie kun je van allerlei kanten bekijken. Er is niet een eenduidig waardenkader, waarin op volgorde van belangrijkheid de af te wegen waarden zijn opgenomen. Privacy, bijvoorbeeld, gaat niet altijd boven veiligheid. En veiligheid niet altijd boven privacy.

Een voorbeeld: de afweging van privacy en veiligheid

Een waardenafweging wordt mede bepaald door (en bepalend is voor) in welke maatschappij je wilt leven. In mijn vorige blog beschreef ik een gedachtenexperiment:

Huiselijk geweld vindt meestal achter de voordeur plaats. Kindermishandeling is daarom moeilijk tijdig te detecteren. Veel mensen hebben slimme speakers in huis. Om hun lampen te bedienen, om muziek te luisteren of ingebouwd in hun televisie, bijvoorbeeld. Wat zou het handig zijn als we de bedrijven achter die speakers, zoals Apple, Amazon en Google, zouden verplichten om met de ingebouwde microfoons te luisteren naar signalen van kindermishandeling en die door te geven aan opsporingsdiensten.

Niet alles dat kan is, alles afwegend, ook wenselijk. Een goed voorbeeld is het ontwerp van het Nederlandse Coronatoegangsbewijs (dat gelukkig al lang niet meer bestaat). Eerder beschreef ik dat het bewust niet mogelijk was om QR-codes te blokkeren als iemand positief had getest. Ook al had de Tweede Kamer, onder meer gesteund door Volt Nederland, Fractie Den Haan, PvdA, ChristenUnie, VVD en Pieter Omtzigt een motie aangenomen waarin stond dat de QR-code van positief geteste mensen moest worden geblokkeerd. Het ontwerp op basis van "privacy by design" voorkwam een – in mijn eigen persoonlijke afweging – onwenselijke situatie. Dat is het voordeel van "privacy by design": als je zo min mogelijk gegevens verwerkt kun je ze ook niet voor andere doelen gebruiken. Dat is ook een reden waarom ik wel meewerkte, zoals ik eerder schreef.

Motie blokkeren QR codes na positieve test

Het coronatoegangsbewijs was bewust zo ontworpen dat blokkeren niet mogelijk was. Er ligt een afweging tussen privacy en fraudebestrijding aan ten grondslag, die uitvalt in het voordeel van de privacy. Om na een positieve test te kunnen blokkeren bij het scannen zou er namelijk een publiek toegankelijke zwarte lijst van (codes van) positief geteste mensen moeten komen. Een lijst die voor iedereen beschikbaar is. Door het bestaan van zo'n zwarte lijst kan moedwillig de data van positieve testen verzameld worden en altijd bekend blijven dat iemand positief getest is geweest. Een dergelijke lijst kan ook gelekt worden. Dat dit niet hypothetisch was bleek uit een gelekte lijst waar de Belgische Gegevensbeschermingsautoriteit onderzoek naar deed.

Uit de aangenomen motie over blokkeren van QR-codes blijkt al dat de afweging van publieke waarden niet voor iedereen hetzelfde is. De verleiding om bij incidenten en op basis van krantenartikelen daadkrachtige stappen te willen zetten is groot (zie ook de eerste blog in deze reeks over hijgerige daadkracht). De "law and order"-reflex is dan vaak goed zichtbaar, ook als er negatieve gevolgen zijn voor andere publieke waarden.

Een voorbeeld: bestrijden van de verspreiding van kinderporno

Om de verspreiding van kinderporno te voorkomen is in de EU het voorstel gedaan voor “client side scanning”. In het kort: voor een plaatje via een app op een telefoon verstuurd wordt, zou moeten worden gecontroleerd of het verboden materiaal bevat. Van opgespoord verboden materiaal zou een "digitale vingerafdruk" moeten worden gemaakt op basis waarvan herkenning zou plaatsvinden.

Het gaat over CSAM, een voorstel van de Europese Commissie voor een Verordening ter voorkoming en bestrijding van seksueel misbruik van kinderen. Een voorstel, zou je zeggen, waar je niet tegen kunt zijn. En toch bevat het elementen waarvan ik buikpijn krijg. Daarvan pak ik er één uit:

Aanbieders van hostingdiensten en aanbieders van interpersoonlijke communicatiediensten die een opsporingsbevel hebben ontvangen, voeren dit uit door technologieën te installeren en te gebruiken om de verspreiding van bekend of nieuw materiaal van seksueel misbruik van kinderen of het benaderen van kinderen, naargelang het geval, op te sporen.

Wat hier van “interpersoonlijke communicatiediensten” zoals Whatsapp, Telegram, Signal en anderen gevraagd wordt, is dat ze dat ze berichten, voordat deze worden verstuurd, moeten scannen op bekend of nieuw materiaal. Voorstanders zeggen, overigens terecht, dat hiermee de versleutelde beveiliging van de communicatie niet wordt verbroken. Want het scannen van de berichten die mensen verzenden gebeurt immers voordat deze worden versleuteld. Het is alsof je zegt dat je het briefgeheim niet verbreekt, omdat je alleen maar over de schouder meeleest voordat de envelop wordt dichtgeplakt. Feitelijk correct, maar wil jij in een digitale samenleving leven waarin big tech over je schouder meeleest met elk bericht dat je schrijft?

Het voorstel leidde tot veel discussie. Of het wel mogelijk is om materiaal te herkennen bijvoorbeeld, en of communicatiediensten wel een belangrijke rol spelen bij de verspreiding van kinderporno. Voor mij is dat niet het belangrijkste, maar wel: hoe weeg je veiligheid en het voorkomen van schade af tegen privacy en autonomie. En ook: wat zijn de risico’s die eraan verbonden zijn. Risico’s die niet alleen maar fictief zijn, weet de Amerikaanse vader die op verzoek van een arts een close-up van het geslachtsdeel van zijn zoontje maakte die bij Google de alarmbellen liet afgaan.

Het voorstel vraagt niet alleen vertrouwen in bedrijven, maar ook in overheden. Die krijgen in het voorstel alle signalen door om op te volgen. Ook daar kunnen kwaadwillenden op in spelen. Om iemand in een kwaad daglicht te stellen is het de uitdaging om een onschuldig plaatje met dezelfde vingerafdruk te maken als een strafbaar plaatje. Zo'n zelfde vingerafdruk bij een ander plaatje is heel onwaarschijnlijk, maar niet onmogelijk. Net zoals het makkelijk is om door hele kleine wijzigingen aan een bekend plaatje te zorgen dat de vingerafdruk zo wijzigt dat deze niet meer herkend wordt. Jaap-Henk Hoepman schreef hier lezenswaardige blogs over.

De EDPB is kritisch, net zoals een grote groep wetenschappers en de Juridische Dienst van de Europese Commissie zelf. Die laatste vindt het een fundamentele schending van mensenrechten:

Other than the detection orders not being clear enough, the “screening of interpersonal communications” also affects “the fundamental right to respect for private life” because it gives access to interpersonal communications, such as text messages, emails, audio conversations, pictures, or any other kind of exchanged personal information.

It can also have a deterrent effect on the freedom of expression, the document says. Moreover, the data is also being processed, which “affects the right to protection of personal data.”

Op alle telefoons alle verzonden berichten scannen, dat is best een vergaand voorstel waar talrijke politici toch voor zijn. Een voorstel dat in de verte doet denken aan hoe in China mensen gevolgd worden. Niet alles dat digitaal kan is wenselijk, ook als dat tot gevolg heeft dat niet alle overtredingen, alle strafbare handelingen of alle fraude wordt opgespoord. Het gaat om het vinden van de juiste balans, om een ethisch debat.

Ethisch debat

Digitalisering heeft invloed op mensenrechten, op publieke waarden. Niet alles dat kan, is ook een goed idee. Maar er is niet een eenduidig waardenkader, waarin op volgorde van belangrijkheid de af te wegen waarden zijn opgenomen.

Welk waardenkader je gebruikt om waardenspanningen te beschouwen, en hoe je waarden in voorkomende gevallen weegt, kan in elke situatie anders zijn. Ook de uitkomst van de afweging kan voor iedereen, alles afwegend, anders zijn. Het is het gesprek dat telt. Daarom is het zo goed dat veel organisaties (zoals provincies en gemeenten) tegenwoordig ethische commissies instellen voor het beoordelen van digitalisering.

De bescherming van onze publieke waarden is uitgewerkt in wetgeving. De AVG ziet bijvoorbeeld toe op de bescherming van persoonsgegevens. Op basis van deze wet- en regelgeving zijn er diverse handreikingen opgesteld om organisaties te helpen deze waarden ook in de praktijk te beschermen. Voorbeeld hiervan zijn het Impact Assessment Mensenrechten Algoritmen (IAMA), de handreiking non-discriminatie by design en de Code Goed Digitaal Openbaar Bestuur (CODIO). Die laatste, de CODIO, heeft 3 kernwaarden: democratie, rechtsstaat en bestuurskracht. Daaronder liggen 30 waarden, zoals non-discriminatie, uitlegbaarheid en inclusiviteit.

Waarden uit de Codio

Ik vind het een mooi overzichtelijk kader om te gebruiken als ik een situatie van meerdere kanten probeer te bekijken. Het bevat waarden als privacy, voorkomen van schade, bescherming en veiligheid. Waarden ook die een zorgvuldige en open afweging vergen bij voorstellen voor digitalisering. Want uiteindelijk gaat het erom in welke digitale samenleving je wilt leven.

En dus?

Eerder in deze blog gaf ik voorbeelden van provincies en gemeenten die ethische commissies in hebben gesteld. Ook kent het Ministerie van Financiën een Adviescommissie Analytics die adviseert over het ethisch verantwoord omgaan met data. Los daarvan worden individuele voorstellen ook al op initiatief van ministeries ethisch getoetst. Bijvoorbeeld met de aanpak Begeleidingsethiek. In die aanpak worden alle betrokkenen meegenomen, ook de mensen die worden geraakt door de voorstellen die worden beoordeeld. Er zijn dus goede voorbeelden, maar opschaling is nodig.

Mijn voorstel: kom tot een ethische commissie digitalisering voor het Rijk in navolging van de gemeenten, provincies en Rijksonderdelen die een dergelijke stap al hebben gezet.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de vijfde blog in een reeks die daarover gaat. Dit keer over meer en anders zelf doen en over anders toezien.

De controletoren

In de tweede blog in deze reeks beloofde ik al terug te komen op de toegenomen controletoren. In 2014 kwam de Tijdelijke commissie ICT-projecten bij de overheid onder leiding van Ton Elias met haar eindrapport. Als gevolg hiervan werd onder meer het huidige Adviescollege ICT-toetsing ingesteld. Bedoeld om toe te zien op goede digitalisering door de overheid. Het is een van de vele organen die meekijken op digitalisering door de overheid. Zo kijkt de Auditdienst Rijk mee, constateert de Rekenkamer met enige regelmaat tekortkomingen, kunnen bestuurders Gateway reviews inzetten om onzekerheden weg te nemen en vellen CIO's CIO-oordelen gebaseerd op het toetsingskader van het Adviescollege ICT-Toetsing. Voldoen aan het toetsingskader is een eis geworden.

Dat in een omgeving waarin toch al veel kritiek is op ICT bij het Rijk. Lees bijvoorbeeld mijn eerdere reactie op het recente manifest Herprogammeer de overheid met teksten als:

De ICT-infrastructuur van de Nederlandse overheid is als een oud, vervallen huis. De bedrading is kapot en de leidingen lekken. Het tocht en het kraakt. De fundamenten moeten worden gerenoveerd, maar niemand durft die meer aan te raken uit angst dat alles in elkaar stort. Daardoor blijven we bezig met dure reparaties uitvoeren, wordt het systeem steeds onbetrouwbaarder, en blijft nieuw beleid op de plank liggen.

Het gevolg van deze controletoren in een politiek/bestuurlijke omgeving (waarin onrustreductie toch al een belangrijke competentie is) is dat innovatie en doe-vermogen in gevaar komen. CIO's van ministeries zijn niet, zoals elders, verantwoordelijk voor de voortbrenging, maar vooral ook onderdeel van de controletoren. Het maakt aanbesteding wel populair (dan kun je falen aan een ander wijten) en vernieuwend zelf doen minder (leren van fouten is risicovol als die fouten worden uitvergroot). Niet de meest inspirerende omgeving voor ICT-ers die modern willen werken en voor wie in de techindustrie de banen voor het oprapen liggen.

Meer doevermogen en anders toezien

Natuurlijk is deze analyse geen oproep om belastinggeld over de balk te gooien. Maar lerend ontwikkelen, begrip voor fouten en innoveren in stapjes, dat zou wel helpen en zelfs geld besparen. In de vorige twee blogs pleitte ik voor meer eigen ICT-ers met meer eigen producten en diensten. Maar dat heeft alleen zin als die experts ook modern mogen werken. Als ze in kleine stapjes mogen ontwikkelen, morgen leren van fouten en niet worden afgebrand als een keer iets niet lukt.

Een goede manier om dit mogelijk te maken is niet alleen te leunen op controle achteraf. Hoe opener je werkt, hoe meer mensen meekijken en hoe groter de kans dat je fouten eerder ontdekt en mogelijke verbeteringen eerder gezien worden. In een interview dat ik gaf over de totstandkoming van Coronamelder constateerde ik dat open werken kan en veel voordelen heeft. Ook Frankwatching schreef een mooi artikel over de totstandkoming van deze app. Over hoe bijvoorbeeld de hoogste lat werd gelegd als het ging om toegankelijkheid en iedereen mocht meekijken op gebruiksvriendelijkheid, broncode, veiligheid en meer. In een dergelijke omgeving, waarin ontwikkelaars de ruimte krijgen om te floreren en tegelijkertijd wordt meegekeken door experts van buiten, is achteraf oordelen minder belangrijk geworden. Zoals nu ook bijvoorbeeld bij de ontwikkeling van het Algoritmeregister van de overheid.

Multidisciplinair al prototypend beleid en uitvoering ontwerpen

Eerder in deze reeks schreef ik over de afstand tussen beleid en uitvoering. Die zou minder groot moeten zijn, met beleidsalternatieven die ook vanuit de uitvoering worden vormgegeven.

Wat nu als je een groep ontwikkelaars samen met wetgevingsjuristen, user experience experts, privacyjuristen, wetenschappers en betrokkenen in de buitenwereld samen vraagt om in een open proces een aantal prototypes te maken? Zo krijg je beleidsalternatieven waarop van alle kanten is meegekeken, die zijn doordacht in hun uitwerking, waarvan prototypes van processen en ondersteuning bestaan, waarvan ook de juridische consequenties zijn doordacht en waarbij toekomstige gebruikers en anderen zijn betrokken voordat er al een uitgewerkt voorstel wordt gemaakt. Open prototyping van beleid, wetgeving en uitvoering in samenhang heeft veel voordelen. Ik zie bijvoorbeeld uit naar debatten in de Kamer op basis van beleidsalternatieven waarvan voor de uitvoering al prototypes bestaan. En als je het dan alsnog aanbesteed, heb je beter doordacht wat je wil hebben.

En dus?

Het is logisch dat kritisch wordt toegezien op ICT-projecten die met belastinggeld worden betaald. Tegelijkertijd remt de controletoren innovatie en maakt ontwikkelaars schuw. Dat kan doorbroken. Met meer eigen kennis en voorzieningen, meer begrip voor de context waarin gewerkt wordt en vooral met een veel opener aanpak. Dat het kan is nu al meerdere keren aangetoond. Wat nu nodig is, is toepassing op grote schaal.

Mijn voorstel: creëer een grote groep innovatieve experts, geef ze de beschikking over eigen voorzieningen, laat ze multidisciplinair, open en innovatief werken aan (prototypes voor oplossingen voor) taaie vraagstukken en projecten en waardeer eventuele briljante mislukkingen. Waarop natuurlijk ook iedereen in de controletoren dan mag toezien.

PS: transparantie en vertrouwen

Heel bewust heb ik in deze blog geen relatie gelegd tussen open werken en vertrouwen in de overheid. Stellen dat mensen vertrouwen krijgen in de overheid als deze volledig transparant werkt, is als zeggen dat een partner die totale openheid van je vraagt meer vertrouwen in je heeft. Transparantie over de waarden die je nastreeft en hoe je dat in de praktijk laat zien, dat is wel van groot belang. Over die publieke waarden later meer in een volgende blog.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de vierde blog in een reeks die daarover gaat. Waar de vorige blog ging over afhankelijkheid van externe expertise ditmaal een blog over afhankelijkheid van externe producten en diensten.

Afhankelijk van externe technologie

De afhankelijkheid van externe digitale producten en diensten is groot. In de samenleving, in het bedrijfsleven en bij de overheid. Iedereen gebruikt apps en clouddiensten. Maar om de keerzijde daarvan te zien hoef je de krant maar open te slaan. "Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven" kopte de NOS recent nog. "Nederlandse overheid dreigt van Facebook af te gaan vanwege privacyrisico’s voor burgers" en scholen moeten goede afspraken maken over de privacy van gegevens van kinderen bij gebruik van digitale leermiddelen. Publieke waarden zijn met regelmaat in het geding bij het gebruik maken van externe diensten. Bijvoorbeeld door gebruik van tracking technologie.

Vooral sinds de oorlog in Oekraïne kent die afhankelijkheid van externe diensten ook nog een andere geopolitieke dimensie. Digitale autonomie is met reden een beleidsdoel geworden in Nederland en in Europa. Proberen te voorkomen dat ASML uit Nederland vertrekt is daar een voorbeeld van.

Die technologische afhankelijkheid is er niet alleen van clouddiensten. Werkplekken worden vooral geleverd door Microsoft, online vergaderen gebeurt met diensten van onder andere Cisco en Microsoft (met alle risico's van dien, zoals meekijken door derden) en berichten uitwisselen via Whatsapp of Signal is gewoon (terwijl Frankrijk dat sinds kort verboden heeft op overheidstelefoons).

"We kunnen beter nu al handelen, dan wachten totdat een plotselinge uitval van de cloud de halve Europese economie stillegt" zegt Reijer Passchier, hoogleraar digitalisering en de democratische rechtsstaat verbonden aan de Open Universiteit:

"De technologiemarkt wordt van oudsher gedomineerd door grote bedrijven die het rechtstelsel weten te gebruiken om nog machtiger te worden. In bijvoorbeeld de auto-industrie heeft dat ertoe geleid dat een handvol bedrijven decennialang de dienst uitmaakte. Digitalisering maakt het risico op dergelijke marktdominantie nog eens vele malen groter en dat baart me zorgen. Juist in de digitale wereld geldt dat degene met de meeste informatie de beste uitgangspositie heeft. Dit the rich gets richer-principe leidt tot the winner ­takes all en het ontstaan van omvangrijke monopolies."

De afhankelijkheid leidt niet alleen tot monopolies, schreef ik eerder al in deze reeks. Zelf blijven doen is ook nodig voor behoud van innovatief vermogen. Denk aan het verhaal over het broodrooster van Bert Hubert:

‘Veel Europese bedrijven zijn alles wat hen ooit uniek maakte gaan inkopen’, vertelt hij. ‘Dan komt er een punt dat je als bedrijf slechts een voorportaal van je leveranciers bent geworden. (...) Als broodroosterfabrikant beheer je het logo en het merk, misschien schrijf je de gebruiksaanwijzing nog zelf – hoewel je dat tegenwoordig ook prima kunt uitbesteden. (...) Je kunt daar veel broodroosters mee verkopen en lekker geld mee verdienen, zegt Hubert. Maar omdat je geen broodroosters maakt, weet je ook niet precies hoe ze werken. Je verliest de beste broodroosterwizards als personeel, want hen boeit het werk bij jou niet meer. (..) Weg expertise, weg innovatie.

Alternatieven bestaan

Het verbod van Whatsapp en Signal voor Franse ambtenaren is mogelijk omdat er wel alternatieven zijn voor heel veel clouddiensten en andere digitale diensten. Ook voor "messaging":

Vanaf 8 december mogen de leden van de regering daarom enkel nog Olvid of Tchap gebruiken voor communicatie op overheidstelefoons. Beide zijn afkomstig uit Frankrijk. De eerste is ontwikkeld door een start-up en goedgekeurd door de Franse cybersecurityinstantie Anssi. (…) De tweede toegestane app, Tchap, is drie jaar geleden uitgebracht en afkomstig van de overheid zelf.

Voor veel diensten zijn er dus alternatieven. Zoals Mastodon in plaats van Twitter, Jitsi voor videoconferencing, OpenKat van het ministerie van VWS om digitale kwetsbaarheden op te sporen en PostgreSQL voor databases. Al deze producten zijn open source, kennen een grote gebruikersgroep en zijn in eigen datacenters te installeren en beheren. Zeker als je daarvoor ook de kennis in huis hebt, zoals ik bepleitte in de vorige blog over waardering voor verstand van zaken. Eigen datacenters, eigen clouddiensten, eigen toepassingen: het vergt verstand van zaken en voldoende faciliteiten. Het kan, met enige durf en ruimte. En het is extra verstandig voor gevoelige informatie, zoals het incident met afluisteren van de Duitse videovergadering liet zien.

En dus?

De overheid is sterk afhankelijk van externe diensten. Soms is dat verstandig, maar er zijn ook risico's. Het zelf niet meer kunnen, daarover ging mijn vorige blog, is er daar een van. Maar het is ook kostbaar en gaat ten koste van digitale autonomie. Wat als we steeds meer zelf gaan doen? Een ambitieus streefgetal, 30% minder licentie(kosten) voor databases en videovergaderen bijvoorbeeld, zou helpen zelf te gaan doen. Met de structurele besparing die dat oplevert kun je investeren in eigen kennis en eigen alternatieve diensten. Dat vergt een grote schaal, want alleen dan kun je (cloud- en andere digitale) diensten op niveau leveren. Met ook voldoende mensen en middelen om dat blijvend te doen. Door te investeren in digitale gemeenschapsgoederen versterk je digitale autonomie, zorgt voor eigen kennis en waardengedreven, veilige toepassingen en draagt bij aan levensvatbare alternatieven.

Mijn voorstel: creëer een grote groep innovatieve experts, geef ze de beschikking over eigen voorzieningen en laat ze open werken aan zoveel mogelijk open source oplossingen voor de taaiste vraagstukken. Met als eis dat (bijvoorbeeld) tenminste 30% van licenties/kosten voor specifieke oplossingen worden vervangen door open oplossingen in eigen beheer en in eigen faciliteiten. Ik denk dan bijvoorbeeld aan databases, videovergaderen of eigen werkplek- en clouddiensten voor het verwerken van gevoelige informatie. Want het in eigen beheer houden van verwerkingen van gevoelige en gerubriceerde informatie, dat lijkt me in ieder geval onomstreden.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de derde blog in een reeks die daarover gaat. Ditmaal over waardering voor verstand van zaken.

Beleid maken met verstand van zaken

Beleidsambtenaren zijn de drijvende kracht achter de voorstellen die bewindspersonen doen aan de maatschappij en het parlement. Over onderwijs, over zorg, over wegen, over digitalisering. Dat vergt naast ambtelijk vakmanschap ook inhoudelijke kennis. Dat zou je moeten terugzien in de vacatures die de rijksoverheid heeft, zou je zeggen. In 2023 publiceerde de Groene Amsterdammer over onderzoek naar vacatures bij de overheid tussen 2015 en 2022:

Op ruim zevenduizend vacatures vonden we 1084 vacatures voor ‘specialistische’ beleidsambtenaren. En die worden steeds minder vaak gezocht: terwijl in 2015 nog bij 29 procent van de vacatures een harde niet-juridische competentie werd gevraagd, was dat in 2022 gedaald naar slechts elf procent. Het aandeel juristen neemt ook iets af, maar minder scherp.

Diagram dat laat zien dat het percentage vacatures voor specialisten daalt bij de overheid

Een andere voor ambtenaren herkenbare constatering is dat ook "politieke sensitiviteit" een belangrijke gevraagde eigenschap is:

Zoeken we in de beleidsvacatures op het voorkomen van deze termen, dan blijkt dat in 41 procent van de vacatures een vorm van ‘politieke sensitiviteit’ wordt gevraagd. (..) Opvallend is ook dat ‘politieke sensitiviteit’ niet gereserveerd is voor generalistische vacatures: ook in wervingsteksten die we labelden als ‘specialistisch’ komt het in meer dan een derde van de beleidsvacatures voor. Door de jaren heen zien we geen duidelijke toenemende of afnemende trend in ‘politieke sensitiviteit’: het is juist opvallend stabiel gebleken, zowel voor beleidsvacatures als voor alle vacatures. (…) Ook saillant: een vacature waarin ‘politieke sensitiviteit’ staat wordt gemiddeld meer dan twee salarisschalen hoger gewaardeerd dan een vacature waarin dat niet wordt genoemd, terwijl ambtenaren die solliciteren op een vacature met ‘integer’ juist gemiddeld op één schaal minder kunnen rekenen in vergelijking met vacatures zonder integriteit in de functie-eisen.

Laat digitalisering nou een vakgebied zijn dat wel specialistisch is en waarin politieke sensitiviteit niet de meest aanwezige eigenschap is (en integriteit wat mij betreft wel van belang). Verstand van zaken is ondergewaardeerd. En dat is jammer, zeker als het gaat om zoiets kennisintensiefs en snel ontwikkelends als digitalisering. Of, zoals het rapport Verkenning Rijksbrede kennisfunctie in 2023 stelt:

Het personeelsbeleid is gericht op doorstroming en politiek-strategische vaardigheden, wat het opbouwen van inhoudelijke kennis bemoeilijkt.

Besturen met verstand van zaken

Het beleid gericht op doorstroming geldt zeker ook voor de bestuurders bij het Rijk, die onderdeel zijn van de Algemene Bestuursdienst. Ook voor hen geldt: inhoudelijke kennis is van belang. Dat wordt ook erkend. Zie bijvoorbeeld de volgende passage uit een brief van de toenmalige minister van BZK uit 2021:

Van een topambtenaar verwachten we niet alleen vak- en materiekennis, maar ook bijvoorbeeld veranderkundige kennis, kennis van transitieopgaven, kennis van technologie en ICT, of ervaring bij een uitvoeringsorganisatie of buiten de rijksoverheid.

Die kennis is op veel plekken ook zeker aanwezig. Maar er speelt wel iets anders. Een bestuurder, bij de overheid - en ook in het bedrijfsleven -, die zegt geen kennis van financiën te hebben wordt niet serieus genomen. Maar kennis van ICT en digitalisering, dat is een stuk minder "sexy". Met alle gevolgen van dien. Want gebrekkige ICT kennis van het management remt digitalisering.

Tegelijkertijd, hoeveel bestuurders in het bedrijfsleven en bij de overheid zouden wel over al deze kennis en ervaring beschikken?

Doen met verstand van zaken

Naast beleid maken moet er natuurlijk ook gemaakt en uitgevoerd worden. Digitalisering speelt daarin een belangrijke rol. Er moet software worden ontwikkeld en beheerd. De afgelopen jaren is de overheid minder zelf gaan doen en worden veel projecten aanbesteed. En waar de overheid het zelf doet, is er veel sprake van externe inhuur. Beide bewegingen verminderen de eigen kennis en het eigen vermogen om tot succesvolle digitalisering te komen.

Succesvol aanbesteden vraagt veel juridische kennis. Maar komen tot de juiste inhoud van de aanbesteding vraagt ook om veel ervaring met en kennis van de inhoud van het werk. De ontwikkelingen kennen, snappen welke digitale technologie nodig is. Succesvol aanbesteden, kortom, kan alleen als je ook nog zelf kennis hebt en die in de praktijk brengt. Als je dat niet meer voldoende doet, dan kun je ook niet meer de juiste dingen aan de markt vragen. En nog pijnlijker: je verliest ook je eigen innovatieve vermogen. Het mooist beschreven vind ik dat zelf in het verhaal over het broodrooster van Bert Hubert:

‘Veel Europese bedrijven zijn alles wat hen ooit uniek maakte gaan inkopen’, vertelt hij. ‘Dan komt er een punt dat je als bedrijf slechts een voorportaal van je leveranciers bent geworden. Op een gegeven moment vraag je je dan af: wat doen we nog wel hier? Want de kern van je bedrijf is niet langer iets maken, maar iets verkopen. Als broodroosterfabrikant beheer je het logo en het merk, misschien schrijf je de gebruiksaanwijzing nog zelf – hoewel je dat tegenwoordig ook prima kunt uitbesteden. Wellicht organiseer je nog de logistiek van de verkoop, maar in principe ben je een broodroosterfabrikant die helemaal niets meer zelf doet dat te maken heeft met het roosteren van brood.

Je kunt daar veel broodroosters mee verkopen en lekker geld mee verdienen, zegt Hubert. Maar omdat je geen broodroosters maakt, weet je ook niet precies hoe ze werken. Je verliest de beste broodroosterwizards als personeel, want hen boeit het werk bij jou niet meer. ‘Je komt op een punt dat je niemand meer in dienst neemt die iets kan, waardoor je als bedrijf niets praktisch meer zelf kunt.’ Weg expertise, weg innovatie.

De afhankelijkheid van kennis van buiten zie je ook terug in de cijfers over externe inhuur die jaarlijks worden gerapporteerd in de Jaarrapportage Bedrijfsvoering Rijk:

In 2022 bedroegen de totale uitgaven aan externe inhuur 2,68 miljard euro. Dit is 14,2 procent van de totale personele uitgaven. Veel rijksbreed opererende uitvoeringsorganisaties maken gebruik van een flexibele schil om efficiënt om te kunnen gaan met fluctuerende opdrachtportefeuilles. Daarom komt een normoverschrijding vaak voor. Daarnaast is inhuur van specialistische (ICT-)kennis nodig. Mede door de krapte op de arbeidsmarkt is het lastig deze specialisten in dienst te krijgen.

Net als in 2021 zijn de IT-gerelateerde uitgaven 42 procent (advisering opdrachtgevers automatisering) in de categorie Beleidsondersteuning en de uitvoering (formatie en piek) 34 procent in de categorie Ondersteuning Bedrijfsvoering, de grootste inhuurcategorieën.

De twee bewegingen (minder zelf doen door meer inkopen en aanbesteden en gebruik maken van externe kennis die weer wegstroomt) versterken elkaar. Het is niet alleen kostbaar maar zorgt ook voor minder goede digitalisering en minder innovatie in beleid en uitvoering.

Goede voorbeelden

Dat het ook anders kan bewijzen bestaande goede voorbeelden. Je kunt vinden wat je vindt van de digitalisering tijdens de pandemie, maar zelfs het Adviecollege ICT-Toetsing was positief over het ontwikkelproces. Door de overheid zelf, met experts van binnen en buiten de overheid. Het ministerie van VWS zet deze aanpak door, bijvoorbeeld bij de ontwikkeling van een nieuw WOO-platform en de vervanging van de bestaande UZI-pas door goedkopere en gebruiksvriendelijkere inlogmiddelen. In alle openheid, want beide projecten zijn te vinden op Github.

Ook goede mensen willen best bij de overheid werken aan de publieke zaak. Zo ben ik fan van het Rijks ICT Gilde. Een kleine groep Tech consultants met experts die bijvoorbeeld eerst bij Spotify werkten. Bij het RIG werken tech consultants die bijdragen aan data-, software- en security-vraagstukken voor het Nederland van morgen. Ze worden op projectbasis ingezet bij zinvolle en cruciale IT-trajecten binnen de hele Rijksoverheid.

Ook op beleidsdepartementen zie je veel, vaak jonge, medewerkers met kennis van zaken. Werven is in de praktijk gemakkelijker dan blijvend boeien en binden. Maar ook dat kan. Met meer gebruik van de mogelijkheid van expertfuncties in hogere schalen (ze zijn mogelijk maar worden weinig benut), met meer ruimte voor mensen zonder een wetenschappelijke opleiding, met meer eigen opleiding van schoolverlaters, met inspirerende onderwerpen om aan te werken zoals de overheidsbrede visie op generatieve AI en met de andere mogelijkheden die werken voor de overheid biedt. Zoals een fijne werk/privé balans of de mogelijkheid om te promoveren.

En dus?

Meer eigen kennis, meer zelf doen; het lijkt eenvoudig, maar is het niet. Maar het kan wel, de goede voorbeelden zijn er. Op een schaal die nog veel te klein is om echt impact te hebben. Structureel inzetten op binden en boeien van beleidsambtenaren met expertise en ze passend belonen, dat kan. Een stevige ontwikkelorganisatie neerzetten voor het hele Rijk, zoals VWS al in het klein doet, dat kan. Juist een grotere groep aansprekende experts trekt weer mensen aan. Dat geldt ook voor consultants zoals die van het RIG.

Mijn voorstel: maak het Rijks ICT Gilde minstens 50 keer zo groot (een paar duizend mensen is op alle externe inhuur niet eens zoveel). Je bespaart geld met groep die zo groot is dat je een significant deel van de externe inhuur kunt voorkomen. Je trekt er slimme en inspirerende mensen mee aan en houdt hun kennis vast omdat ze niet direct weer weggaan. En als er dan toch aanbestedingen nodig zijn, dan heb je ook nog eens de kennis in huis om die goed te doen. En, tot slot, misschien is het geen gek idee om een iABD te maken voor bestuurders met expertise op het terrein van digitalisering.

Als je dit doet, dan zijn er voor die experts ook eigen moderne faciliteiten en eigen (open) technologische toepassingen nodig. Daarover gaat de volgende blog.

Na 35 jaar werken aan digitalisering in de publieke sector geniet ik tijdelijk van een sabbatical. Het grootste deel van mijn loopbaan (tot nu) werkte ik binnen de overheid aan digitalisering. Een volgens sommigen slechte combinatie. Van verschillende kanten komt daarom ook de roep om een Minister voor digitalisering. Met reden, wat mij betreft. Maar er zijn veel meer verbetermogelijkheden. Dit is de tweede blog in een reeks die daarover gaat. Ditmaal over de coördinatie van het digitaliseringsbeleid.

De coördinerend bewindspersoon

In 2014 kwam de Tijdelijke commissie ICT-projecten bij de overheid onder leiding van Ton Elias met haar eindrapport. Als gevolg hiervan werd onder meer het huidige Adviescollege ICT-toetsing ingesteld (over die toegenomen controletoren meer in een volgende blog). De commissie constateerde ook dat alle bewindspersonen een rol hadden bij de digitale dossiers:

De huidige verdeling van de ICT-portefeuille tussen maar liefst vier Ministers geeft aan hoe het is gesteld met de sturing van ICT-beleid binnen het Rijk. Daar komt nog bij dat de verantwoordelijke bewindspersonen en betrokken ambtenaren te weinig doorzettingsmacht hebben. Zo heeft de CIO Rijk op dit moment niet méér bevoegdheden dan de departementale CIO’s. Zijn belangrijkste wapen is overredingskracht. Ook speelt de zelfstandige positie van de verschillende departementen een belangrijke rol. Bovendien is het geheel van instanties dat zich bij de rijksoverheid bezighoudt met ICT chaotisch en onoverzichtelijk. De laatste jaren is een en ander wel verbeterd, zoals de centralisatie van ICT-inkoop en de bundeling van ICT-voorzieningen bij de rijksoverheid. Maar er moet nog veel gebeuren.

Verder in het rapport komt dit nogmaals terug:

Een ander symptoom van de gebrekkige beheersstructuur is de ministeriële verdeling van de ICT-portefeuille. Maar liefst vier ministers houden zich hiermee bezig; zo zijn de verantwoordelijkheden te veel versnipperd. (..) De Minister van Binnenlandse Zaken en Koninkrijkrelaties (BZK) gaat over de verbetering van de digitale dienstverlening van de overheid voor burgers en onder nemers (de e-overheid), de Minister voor Wonen en Rijksdienst (WenR) is verantwoordelijk voor de verbetering van de bedrijfsvoering van de rijksdienst waaronder ICT, de Minister van Veiligheid en Justitie (VenJ) gaat over de veiligheid van de digitale samenleving en privacy en de Minister van Economische Zaken (EZ) gaat over ICT, innovatie en economische groei waaronder een toegankelijke, snelle en veilige ICT-infrastructuur. (..) Er is duidelijk een gebrek aan centrale sturing. De grote zelfstandigheid van de verschillende ministeries, zbo’s en andere uitvoeringsorganisaties zit de ICT-ambities van de rijksoverheid vaak in de weg en verhinderen regelmatig de uitvoering van de ambities.

In het volgende kabinet, Rutte 3, was Raymond Knops staatssecretaris met als portefeuille Koninkrijksrelaties, Rijksvastgoedbedrijf en grensoverschrijdende samenwerking, ICT en identiteitsgegevens. Het onderwerp digitalisering verschoof daarmee van een minister naar een staatssecretaris en de verdeling in verantwoordelijkheden (tussen de ministers van EZK, J&V en de staatssecretaris van BZK maar ook tussen de vakministers en de staatssecretaris) bleef grotendeels in stand.

In deze kabinetsperiode kreeg de CIO Rijk iets meer mandaat. Het besluit CIO-stelsel Rijksdienst trad op 1 januari 2021 in werking. Het had als doel om de digitale transformatie van de overheid te ondersteunen en versnellen. Het stelsel is opgezet om de informatievoorziening en het ICT-beleid van de overheid te verbeteren.

In het huidige demissionaire kabinet bleef de portefeuille van de staatssecretaris voor Digitalisering en Koninkrijksrelaties in formele zin grotendeels hetzelfde. Maar met de komst van de commissie Digitale Zaken in de Tweede (en later ook Eerste) Kamer en een uitgebreide passage over digitalisering in het coalitieakkoord kwam er wel meer aandacht voor digitalisering.

Ook de stevige invulling door de huidige demissionaire staatssecretaris maakte verschil. Voor het eerst kwamen er een een brief over de hoofdlijnen van het beleid van de digitale transitie van de samenleving en later een Werkagenda Waardengedreven Digitaliseren.

Beperkt mandaat

Tegelijkertijd bleef ook veel hetzelfde. De hiervoor genoemde hoofdlijnenbrief beschrijft de verdeling:

De staatssecretaris zal, met het hele kabinet, uitvoering geven aan de afspraken in het coalitieakkoord. Onder haar regie zal de Rijksoverheid volop inzetten op het benutten van de kansen die de digitale transitie ons biedt en, meer dan voorheen, normerend optreden naar publieke en private partijen. Doel hiervan is om publieke waarden in de digitale transitie te borgen, het gesprek over waarden-gedreven digitalisering te faciliteren, en de bouwstenen van een waardengedreven digitale overheid te ontwikkelen. Daarnaast zet de minister van EZK zich in voor onze digitale economie en digitale infrastructuur, het telecombeleid, het (digitale) kennis en innovatiebeleid, het vestigingsbeleid en de Europese (digitale) interne markt. De minister van Justitie en Veiligheid is coördinerend bewindspersoon voor cybersecurity en verantwoordelijk voor cybercrime bestrijding. De minister voor Rechtsbescherming richt zich op gegevensbescherming en online rechtsbescherming in algemene zin, en ministeries met systeemverantwoordelijkheid voor vitale sectoren zorgen voor kaderstelling om cybersecurity in hun sectoren te vergroten en voor toezicht hierop. Digitalisering in andere domeinen zoals in onderwijs en wetenschap (ministerie OCW) en gezondheidszorg (ministerie VWS) vallen onder de eindverantwoordelijkheid van andere ministeries.

Op 21 maart spreekt de Commissie Digitale Zaken over duurzaamheid en digitalisering maar niet met de coördinerend staatssecretaris:

Op 21 maart gaat de Tweede Kamer in debat over #duurzaamheid en #digitalisering met demissionair minister Micky Adriaansens van Economische Zaken en Klimaat. Ter voorbereiding hebben de leden van de commissie Digitale Zaken vorige week experts uitgenodigd voor een rondetafelgesprek over dit thema.

Veel onderwerpen zijn dus belegd bij andere ministers, zij hebben de leiding van ministeries. Artikel 44 van de Grondwet stelt:

Bij koninklijk besluit worden ministeries ingesteld. Zij staan onder leiding van een minister.

Een staatssecretaris heeft een eigen beleidsterrein en legt zelf verantwoording af aan het parlement. Een staatssecretaris is wel lid van het kabinet, maar niet van de ministerraad. Als het beleidsterrein van een staatssecretaris aan de orde is, wordt deze wel voor het overleg in de ministerraad uitgenodigd. Stemrecht heeft een staatssecretaris niet.

De staatssecretaris heeft, op basis van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst wel kaderstellende bevoegdheden. Artikel 2 van dit besluit vormt hier de basis voor:

Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties kan na overleg met Onze Ministers die het mede aangaat kaders vaststellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie van de bedrijfsvoering en de informatiesystemen van de ministeries. Daarbij kan hij werkzaamheden aanwijzen die ten behoeve van alle of een daarbij aangegeven deel van de ministeries zullen worden uitgevoerd door een daarbij aangegeven organisatieonderdeel van een der ministeries en voorzieningen aanwijzen die in verband met de noodzakelijke interoperabiliteit of beveiliging voor bepaalde informatiesystemen van alle of een daarbij aangegeven deel van de ministeries zullen worden gebruikt. Onze Ministers nemen de in het eerste lid vermelde kaders in acht.

Uit de tekst wordt al duidelijk dat het mandaat vooral ziet op de bedrijfsvoering van het Rijk en de ICT-systemen bij departementen zelf. De eerder genoemde Commissie Elias richtte zich ook alleen op bedrijfsvoering en ICT van departementen zelf. Het Coördinatiebesluit legt geen basis voor de coördinatie van bijvoorbeeld de samenhang in de digitalisering in de zorg en het onderwijs of van de digitale economie. In de eerste blog van deze reeks schreef ik dat er “voor een politiek debat over een thema dat alle dossiers raakt (bijvoorbeeld: wat vinden we ervan dat rijgegevens van een elektrische auto, de patiëntengegevens uit een pacemaker of de gegevens van een tractor in handen zijn van private partijen in plaats van mensen zelf niet makkelijk een arena te vinden is”. Niet alleen een arena ontbreekt dus, er is ook geen bewindspersoon die daar formeel het mandaat voor heeft. Als het gaat om een ander aspect van beleid, namelijk financiën, is dat anders geregeld. Zo oordeelt de Minister van Financiën, via de Inspectie der Rijksfinanciën, over “de doelmatigheid en doeltreffendheid van begrotingsvoorstellen van de departementen”. Er is geen bewindspersoon met het mandaat voor een dergelijk oordeel over digitaliseringsvoorstellen.

Maar ook als het gaat om bedrijfsvoering en ICT van het Rijk is de verdere uitwerking van het mandaat beperkt. Het Besluit CIO-stelsel Rijksdienst 2021 geeft bijvoorbeeld de CIO Rijk maar een beperkt aantal bevoegdheden.

De CIO Rijk kan, na overleg met de secretaris-generaal van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Binnenlandse Zaken en Koninkrijksrelaties rechtstreeks informeren, indien zijn taakuitoefening op grond van dit besluit daartoe aanleiding geeft. De CIO Rijk voert namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties het overleg, bedoeld in artikel 3a van het Coördinatiebesluit

De CISO Rijk, die valt onder de CIO Rijk, heeft nog meer bevoegdheden:

De CISO Rijk heeft een interdepartementale coördinatierol bij rijksbrede informatiebeveiligingsincidenten en -calamiteiten. De CISO Rijk kan, na afstemming met de betreffende departementale CISO, in het geval van een, mogelijke, ernstige, acute, departement-overstijgende inbreuk op de beveiliging van informatiesystemen of een risico daarop, namens de secretaris-generaal van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties: a. aanwijzingen geven aan iedere ambtenaar, externe medewerker en bezoeker met betrekking tot de informatieprocessen van ministeries; en b. onverwijld maatregelen laten treffen om (zo veel mogelijk) de informatiebeveiliging te laten herstellen en verdere schade te laten beperken.

De praktijk

In 2011 werd door het toenmalige kabinet aan de Tweede Kamer het uitvoeringsprogramma compacte rijksdienst aangekondigd. Dit programma leidde onder meer tot rationalisatie van de ICT-dienstverlening. Daarop werd het volgende streefbeeld opgesteld:

ICT-voorzieningen worden uitgevoerd door een samenhangend geheel van gespecialiseerde ICT-dienstverleners en vormen de infrastructuur waarop beleidsontwikkeling, uitvoering, toezicht en handhaving tot stand komen. Deze infrastructuur maakt dat deze gebieden onderling met elkaar worden verbonden, en draagt daarmee bij aan kwaliteitsverbetering en kostenreductie en faciliteert het primair proces.

Dit heeft geleid tot minder dienstverleners en meer harmonisatie. Maar de autonomie van ministeries leidt nog steeds tot veel verschillen met gevolgen voor de mogelijkheden van onderlinge samenwerking en de informatiehuishouding. Zo zijn er verschillende document management systemen en verschilt zelfs het wachtwoordbeleid per departement. De regeringscommissaris Informatiehuishouding zei eerder daarover:

Departementen gebruiken artikel 44 als argument dat ze over hun eigen ict gaan. Dat is een onhoudbaar standpunt en moet met verve bestreden worden. Het is toch ook niet zo dat gemeenten zelf mogen bepalen hoe breed de straten zijn, hoe hoog de viaducten? Daar hebben we standaarden voor. Dat heeft niks met de autonomie van gemeenten te maken. Aan de i-kant moeten we dat ook doen.

Een ander mooi voorbeeld van coördinatie is het Algoritmeregister van de Nederlandse overheid. Elk departement is verantwoordelijk voor de eigen bedrijfsvoering en dus ook de eigen inzet van algoritmes. De CIO Rijk stelt in overleg met de CIO's van de departementen kaders op die bepalen hoe dergelijke algoritmes moeten worden beschreven. De beschrijving zelf, dus ook bijvoorbeeld de diepgang daarvan en welke gegevens wel en niet worden ingevuld, is aan de departementen zelf. Die informeren ook de Tweede Kamer apart over hun voortgang. Zo schrijft de minister van EZK:

Het registeren van algoritmes vraagt nieuwe dingen van EZK en haar diensten. Gelet op de onzekerheid in de planning en prioritering is het nog niet duidelijk of er voldoende capaciteit en/of middelen beschikbaar zijn om de planning te realiseren.

De Commissie Digitale Zaken van de Tweede Kamer voert hierover het gesprek met de staatssecretaris voor Koninkrijksrelaties en Digitalisering, die maar beperkt invloed heeft op de wijze waarop departementen invulling geven aan het algoritmeregister. Met enige regelmaat is het antwoord "ik zal mijn collega's vragen uw Kamer te informeren". Vandaar ook die afzonderlijke brieven van elk departement. Ik zie uit naar het eerste gesprek van de Commissie Digitale Zaken met andere leden van het kabinet dan de staatssecretaris of de ministers van J&V en EZK.

Meer mandaat?

In de eerste alinea van deze blog verwees ik naar het advies van het Adviescollege ICT om te komen tot een minister voor digitale zaken. Het college adviseert vooral een breder mandaat op de ICT van de overheid zelf:

Stel een minister aan voor digitale zaken die op kabinetsniveau het belang van de voortgaande digitalisering van de overheid behartigt. Het belang van ICT bij de overheid is dermate groot dat dit om een volledige toegewijde minister vraagt. Deze behartigt het belang van digitale uitvoerbaarheid en treedt coördinerend op om digitale samenwerking en uitwisseling van kennis tussen overheidsonderdelen te bevorderen.

De huidige demissionaire staatssecretaris voor Koninkrijksrelaties en Digitalisering heeft grote stappen gezet in het digitaliseringsdossier. Ondanks een beperkt mandaat, nauwelijks nieuwe eigen middelen en grotendeels met de bestaande ambtelijke ondersteuning. Grotere stappen, zoals in verdergaande rationalisatie van de ICT van het Rijk en meer samenhang in digitalisering, zijn gebaat bij meer coördinerende bevoegdheden. Ook sommige politieke partijen erkennen het beperkte mandaat. Onder meer GroenLinks-PvdA, BBB, Volt en D66 vinden het tijd voor een minister van Digitale Zaken.

En dus?

De staatssecretaris tot minister promoveren heeft een zekere maar toch ook beperkte impact. De statuur en het standaard aanwezig zijn bij de Ministerraad maken zeker uit. Maar net zo belangrijk zijn meer eigen financiële en personele middelen en een sterkere coördinerende bevoegdheid (ook van de CIO Rijk).

Een groter verschil zou het maken als een dergelijke minister ook coördinatie zou mogen voeren op digitale onderwerpen die nu bij andere bewindspersonen zijn belegd en op digitalisering in de sectoren. Zoals de minister van Financiën oordelen mag vellen over financiële voorstellen. Niet om het over te nemen, wel om bij te dragen aan meer samenhang. Samenhang in de ICT-van het Rijk zelf en ook samenhang in het beleid ten aanzien van de digitale transitie van de samenleving.

Tot slot: in mijn eerdere reactie op het recente manifest Herprogrammeer de overheid deed ik nog meer voorstellen maar die zal ik hier niet allemaal herhalen. Wel constateerde ik toen ook al:

Tot slot: waar maatschappelijke en politieke ambities en mogelijkheden tot regie beperkt zijn, is ook minder ruimte voor digitaal leiderschap onder ambtenaren. Meer ICT-expertise leidt in een dergelijke context niet vanzelf tot betere oplossingen of tot minder projecten die uit de bocht vliegen.

Verandering vergt politieke ambitie, coördinatie met doorzettingsmacht en dus ook inperking van de autonomie. Autonomie van gemeenten, provincies, waterschappen en departementen en hun uitvoeringsorganisaties. Met ruimte voor centrale architectuur, generieke voorzieningen en aanwijzingen ten aanzien van digitalisering in sectoren. Dat is geen ICT-probleem, en ICT is daarbij ook niet de oplossing. Dat meerdere politieke partijen vragen om een minister voor Digitalisering, dat snap ik dus wel. Of dat helpt heeft vooral te maken met politieke ambities, politieke wil en het mandaat.