Verslag van een hoorzitting / rondetafelgesprek; Verslag van een expertmeeting, gehouden op 1 juni 2012, inzake ICT bij de overheid - Parlementair onderzoek ICT-projecten bij de overheid - Hoofdinhoud
Dit verslag van een hoorzitting is onder nr. 2 toegevoegd aan dossier 33326 - Parlementair onderzoek ICT-projecten bij de overheid.
Inhoudsopgave
| Officiële titel | Parlementair onderzoek ICT-projecten bij de overheid; Verslag van een hoorzitting / rondetafelgesprek; Verslag van een expertmeeting, gehouden op 1 juni 2012, inzake ICT bij de overheid |
|---|---|
| Documentdatum | 23-07-2012 |
| Publicatiedatum | 23-07-2012 |
| Nummer | KST333262 |
| Kenmerk | 33326, nr. 2 |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2011–2012
33 326
Parlementair onderzoek ICT-projecten bij de overheid
Nr. 2
VERSLAG VAN EEN EXPERTMEETING
Vastgesteld 18 juli 2012
De werkgroep ICT-projecten bij de overheid heeft op 1 juni 2012 een expertmeeting gehouden over expertmeeting ICT bij de overheid.
Van deze expertmeeting brengt de projectgroep bijgaand geredigeerd woordelijk verslag uit.
Aanvang 10.00 uur
Voorzitter: Van der Burg
Griffier: Lemaier
Aanwezig zijn zeven leden der Kamer, te weten: Van der Burg (vz.), Hachchi, Elissen, Biskop, Gesthuizen, De Lange en Braakhuis.
Deskundigen: De heer Boonstra, hoogleraar informatiemanagement; de heer De Bruijn, directie ICTU; de heer Dijkstra, voorzitter van de praktijk-groep ICT (Pels Rijcken & Droogleever Fortuijn); de heer Heeneman, senior Client Director Governement & Defense KPN; de heer Van Holst, senior IT-juridisch adviseur bij Mitopics; mevrouw Schönfeld, auteur van het boek Hoe IT-projecten slagen en falen: leren van pijnlijke ervaringen; de heer Veldwijk, ICT ondernemer en -publicist; de heer Weijman, oprichter en managing director AET Europe; de heer Zuurmond, Kafka-brigade; de heer Broeders, senior wetenschappelijk medewerker/ projectcoördinator WRR; de heer Hetzscholdt, cybercrime specialist; de heer Kamphuis, IT-architect & IT-strategie adviseur; de heer Prins, directeur FOX IT; de heer Verhoef, hoogleraar Computer Science VU en adviseur IT innovator Info Support; de heer De Winter, onderzoeksjournalist IT-beveiliging en privacy en de heer Zwenne, hoogleraar recht en de informatiesamenleving aan de Universiteit Leiden en advocaat te Den Haag.
De voorzitter: Welkom aan eenieder bij deze expert meeting over ICT-informatiesystemen bij de overheid. Ik heet alle deskundigen die hier vandaag aanwezig zijn en op zeer korte termijn bereid waren om tijd voor deze bijeenkomst vrij te maken, van harte welkom. Namens alle leden spreek ik onze erkentelijkheid uit voor het feit dat zij hier aanwezig zijn, op zo korte termijn. Ons doel als commissie is om zo effectief mogelijk te vergaderen. We stellen korte vragen en vragen van u korte antwoorden. We gaan geen introductierondje doen, want we hebben alle cv’s gelezen.
Aanbesteding
Mevrouw Gesthuizen (SP): Voorzitter. Ik heb een vraag aan de heren Heeneman en De Bruijn. Dat heeft te maken met de papers die ze ons hebben toegestuurd, en hoe ze aankijken tegen aanbesteding. Aan de heer Heeneman vraag ik of hij zijn stelling over het hybride model kan toelichten, waarin meerdere marktpartijen kunnen participeren, om afhankelijkheid van één partij te voorkomen en te garanderen dat er maximaal wordt geprofiteerd van de innovatiekracht van de markt. Dat lijkt op zich wel een beetje op datgene wat ik aan de heer De Bruijn wil voorleggen. Hij heeft het over het omvormen van een aanbesteding naar het realiseren van een partnership met de markt, waarbij pps-constructies een serieuze optie zijn. Graag daarop een toelichting. Wellicht is er een nuanceverschil tussen de visies van de beide heren.
Mevrouw Hachchi (D66): Voorzitter. Ik heb een vraag aan de heren Boonstra en Dijkstra. De heer Boonstra heeft het onderzoeksvoorstel van de Kamer in concept gezien. In hoeverre moeten we dat nog scherper formuleren of afbakenen als het gaat om het aanbestedingsdeel? Aan de heer Dijkstra vraag ik aan te geven, welke criteria we moeten betrekken bij dit onderzoek. Kan hij aangeven welke projecten we zouden moeten gaan onderzoeken op aanbestedingsgebied?
De heer Biskop (CDA): Voorzitter. Ik heb een vraag aan de heer Veldwijk. Hij heeft een opmerking gemaakt over het al dan niet betrekken van externe partijen, wat soms in tegenspraak is met andere deskundigen. Hoe zit dat? De heer Van Holst heeft het onder andere over ontransparante inkoopprocedures. Kan hij dat toelichten?
De heer Elissen (PVV): Voorzitter. Ik heb een vraag aan mevrouw Schönfeld en de heer Weijman. Mevrouw Schönfeld zegt dat we meer naar het buitenland moeten kijken. Heeft zij voorbeelden van excellente ICT-projecten in het buitenland, en zo ja, welke zijn dat? Wat kunnen we daarvan leren? Aan de heer Weijman vraag ik, welke rol de overheid zou moeten hebben als het gaat om standaardisatie en centralisatie met de markt.
De heer Boonstra: Voorzitter. De vraag aan mij was, of ik kan aangeven hoe de onderzoeksvragen kunnen worden aangescherpt of afgebakend. Ik heb aangegeven dat ik de onderzoeksvragen interessant vind, maar ook heel beschrijvend van aard. Ik raad daarom aan om, na een beschrijvend deel – hoe zijn bepaalde projecten verlopen – heel goed te gaan kijken hoe we ze onderling kunnen vergelijken. Verder zou moeten worden gekeken of er gevallen zijn van succesvolle aanbesteding, versus problematische aanbesteding, en daarbij ook de oorzaken te bekijken. Vaak wordt bij aanbesteding aangegeven dat het probleem is dat men vastzit aan een partij. Misschien kan eens worden bekeken of dat ook daadwerkelijk het geval is en waarom dat zo is. Vandaar dat ik heb aangegeven om niet alleen naar mislukte projecten en problemen te kijken, maar ook naar projecten waar het wel lukt, en waar hem dat precies in zit.
De heer De Bruijn: Voorzitter. Ik heb een aantal opmerkingen over de wijze van aanbesteden. Ik vind de vragen veel te veel uitgaan van micromanagement. Ik zou zeggen: laten we het proces eens fundamenteel anders aanpakken. De regels uit Brussel kunnen we hier niet veranderen, maar we kunnen wel heel veel leren van trajecten in de pps-sfeer, onder andere in de infrastructuur, waar Rijkswaterstaat en de Rijksgebouwendienst in de afgelopen jaren enorme slagen hebben gemaakt, door veel meer te denken in partnership en om met elkaar de koek groter te maken. We hebben elkaar de komende periode als markt en als publiek domein meer dan ooit nodig. Laten we daarop investeren. Daarvan zijn fantastische voorbeelden te noemen.
De heer Dijkstra: Voorzitter. Mij is een vraag gesteld over criteria voor het selecteren van projecten waarnaar je onderzoek zou kunnen doen. Ik denk dat ik me om te beginnen aansluit bij de heer De Bruijn: het kenmerk van veel IT-projecten is dat je een zekere flexibiliteit nodig hebt. Dat levert juridisch gezien nogal wat spanningen op met het aanbestedingsrecht. In de wereld van design, build, maintain, finance and operate is best wel wat ervaring opgedaan, vooral met de design-component. Ik denk dat het goed zou zijn om te kijken, wat we daaruit voor de IT-wereld kunnen leren. Daar wordt binnen de grenzen van het aanbestedingsrecht gewerkt, waarbij toch meer flexibiliteit voorhanden is dan we denken te hebben. Ik heb die projecten niet klaar liggen, maar ik zou er wel een paar kunnen vinden, denk ik. Dat zou een goede stap zijn. Een tweede punt waarover ik vanuit juridisch perspectief iets kan zeggen, is dat wij veel zouden kunnen leren van het buitenland. Nederland doet relatief heel weinig met de concurrentiële dialoog, een aanbestedingsvorm waarin je veel meer in overleg treedt met de leveranciers, waarbij je veel meer gebruik maakt van hun kennis, waarbij je niet een dictaat van eisen de markt in gooit, maar waarbij je luistert naar wat de opdrachtgevers en -nemers daarvan vinden. Wij doen dat in Nederland heel weinig, terwijl de Duitsers het twee keer zoveel doen als de Nederlanders, en de Britten vier keer zoveel. Ik weet niet of het daar overal heel goed gaat, maar ik denk dat het een heel interessante onderzoeksaanpak zou zijn om naar die landen te kijken,
en te bezien of hun methode van werken positieve resultaten oplevert in vergelijking met wat wij doen.
De heer Heeneman: Voorzitter. In veel landen om ons heen zien we dat, als er een succesmodel wordt ingezet, er ook wat te behalen was. Er zijn zoveel machtskolommen, onderdelen, afhankelijkheden en prioriteitsstellingen in financiële en functionele zin dat dat niet brengt wat het uiteindelijke doel was. Er staan te veel muren tussen. Door samenwerking aan te gaan met partijen die daarin hun brood verdienen, kom je tot veel snellere, meer doelgerichte oplossingen. Ik wil best wel iets meer vertellen over het hybride model, maar daar heb ik iets meer tijd voor nodig!
De heer Van Holst: Voorzitter. Mij is gevraagd, een toelichting te geven op de impact van de continuïteit van de personele kwaliteit bij aanbestedingen. Voor de beeldvorming: in de praktijk zou een IT-aanbesteding een harmonieuze samenwerking moeten zijn van mensen met verstand van inkoop, van de IT-kant, van de te ondersteunen organisatieprocessen, van de contractuele, privaatrechtelijke kant en van de aanbestedingsrechtelijke kant. Dat is dus bij uitstek een interdisciplinair feestje. In de praktijk zien we veelal dat die kennis ook bij de aanbestedende diensten van de rijksoverheid niet in die mate voorhanden is. Er is vaak wel inkoopkennis, maar die is vaak primair gericht op de klassieke facilitaire inkoop. Dan hebben we het over zaken als schrijfmiddelen en kantoorartikel. Aan de IT-kant is er vaak een sterke neiging om er een eigen speeltuin van te maken, en inkoop met een boodschappenlijstje op te zadelen. Inkoop heeft zelf geen verstand van ICT-inkoop, of gaat braaf het boodschappenlijstje uitvoeren. Dan krijgen we aanbestedingen in de markt die er heel scheef uitzien. Minstens zo vaak gebeurt dat men erkent dat men het niet weet, waarna de deskundigheid extern wordt ingekocht. Het klinkt wat vreemd uit de mond van iemand die van een dergelijk adviesbureau afkomstig is, maar dat is geen goede zaak. Per dossier wordt vaak externe kennis ingehuurd, die na afloop van de contractering verdwijnt uit de organisatie, waardoor de organisatie niet leert van eerder gemaakte fouten en er iedere keer opnieuw vaak vanuit inkoop druk ontstaat om op prijs te gaan sturen. Ik denk dat ongeveer iedereen aan deze tafel zal beamen dat prijs niet het belangrijkste factor is voor het succes van ICT-projecten. Vanuit IT bestaat altijd de druk om weer met de eigen boodschappenlijst te komen, wat vaak leidt tot een ontransparante insteek, want dan sorteert men vaak al voor op een oplossing, omdat men in de veronderstelling verkeert aan de huisleverancier vast te zitten, een veronderstelling die niet altijd waar is. Of men heeft zich zelfs psychologisch in een soort afhankelijke positie gemanoeuvreerd. Dan krijg je een soort herhaling van zetten, wat leidt tot heel veel frustratie aan de aanbodzijde. Daar krijgt men het gevoel dat met de geboden terugkoppeling weinig wordt gedaan.
Mevrouw Schönfeld: Voorzitter. Mij is gevraagd om een voorbeeld uit het buitenland waar het wel is gelukt. Die vraag wil ik graag beantwoorden, waarna ik graag terugwil naar het aanbesteden. Een succesvol buitenlands project noem ik graag, maar dat is niet omdat er zo goed is aanbesteed. Het project wat ik wil noemen, is de tweede keer dat de London Ambulance Service in 1996 werd uitgevoerd. Waarom was het succesvol? Omdat er heel veel geleerd had van het eerste project. Voor zo’n ervaring kunt u net zo goed in Nederland blijven, want ook DirectPay is de tweede keer heel goed geëvalueerd. Dat is een voorwaarde voor een goed project. Maar niet ieder project is een herhaling. Wat aanbesteding betreft is een concurrerende dialoog heel belangrijk. Maar dat wordt al voor een deel gedaan, wat in Nederland de haalbaar-heidstoets heet. In Nederland wordt al door de uitvoerende partijen naar het buitenland gekeken, maar veel minder door de toezichthoudende en de controlerende partijen, zoals de Tweede Kamer. De Tweede Kamer moet veel beter kijken op welke momenten zij kan ingrijpen en waar zij een rol kan spelen. Dat is natuurlijk in de voorbereiding. In mijn boek staat onder andere dat de ambitie van de Tweede Kamer, de volksvertegenwoordiging, vaak veel te groot is. Wat mij betreft zou de Tweede Kamer eerst die ambities moeten toetsen, onder andere door een dialoog met allerlei mensen, voordat ze zegt: doe ons een ov-kaart.
De heer Veldwijk: Voorzitter. Mij is gevraagd naar de rol van de toezichthouders in zijn algemeenheid. Een belangrijk element in mijn bijdrage aan het discours is dat de overheid een heel grote verstorende werking heeft op de IT-markt, niet als wetgever, of als controleur, maar als opdrachtgever. Als er dingen mis gaan, moet de rol van de toezichthouder per definitie worden geëvalueerd. Dat mis ik een beetje in de stukken. Sterker nog, ik zie staan: ergens in het vervolgtraject moeten we maar een partij, naar ik mag hopen met verstand van zaken, inhuren die dingen uit kan vogelen. Alle partijen die bezig zijn met toezicht houden, hebben natuurlijk boter op hun hoofd. Uiteindelijk zul je dingen naar je toe moeten trekken om dat te gaan doen. Als je kijkt naar mislukte projecten, zie je interessante dingen over het acteren van toezichthouders. De IT-branche zit een beetje in de sfeer van de banken, ten tijde van 2007.
De heer Weijman: Voorzitter. Mij is gevraagd, welke rol de overheid zou moeten spelen als het gaat om centralisatie en samenwerking. Naar mijn mening moet de overheid het initiatief nemen om voor bepaalde sectoren een besluit te nemen om, daar waar het voor de hand ligt, centralisatie in de IT in te voeren. Denk daarbij aan de gemeenten, de politie maar ook aan het epd. De overheid moet daarbij zelf een aantal doelen benoemen. Daar kan de Kamer een besluit over nemen dat op die gebieden waar het voor de hand ligt, wordt besloten tot centralisatie. Vervolgens moet de overheid de regiefunctie gaan nemen en ervoor ze zorgen dat ze zelf voor de aanbieders gesprekspartner wordt op de inhoud. Wij worden nu geconfronteerd met een overheid die inhoudelijk geen gesprekspartner is, die wordt vertegenwoordigd door juristen die alleen naar de vorm, en niet naar de inhoud kijken. Dat leidt tot heel veel frustraties bij de aanbiedende partijen. Vervolgens moet de overheid de aanbieder verantwoordelijk maken voor het resultaat. Ik pleit ervoor dat de overheid weer baas in eigen huis moet worden. Dat wordt je alleen maar als jezelf de kennis in huis hebt, dat moet je niet uitbesteden. Ik sluit me aan bij de heer Dijkstra: ga een dialoog aan, en geen dictaat! Dat past niet meer in deze tijd. Als ik kijk naar landen waar het wel werkt, dan zie ik dat daar altijd sprake is van aanbesteding, waar partijen met verstand van zaken verstandig over de inhoud praten. Partijen die hun zaakjes kennen, weten ook wat de kostprijs van hun product is. Daarover hoef je helemaal geen verstoppertje te spelen, daar kun je normaal over praten. Overheid, neem het heft in eigen handen.
De voorzitter: Complimenten voor de korte beantwoording! Zelf wil ik een vraag stellen aan de heren Zuurmond en Weijman. Het gaat mij om de deskundigheid bij de overheid als het gaat om aanbesteding. Is die deskundigheid voldoende aanwezig? Zo nee, wordt er voldoende aan gewerkt om die deskundigheid te krijgen? Hoe zit het met externe partijen die daartussen worden gezet?
Mevrouw Gesthuizen (SP): Voorzitter. Ik merk dat in het antwoord van de heren Van Holst en Boonstra terugkomt dat moet worden bekeken of die veronderstelde afhankelijkheid terecht is. Beiden menen dus blijkbaar dat dat niet altijd zo is. Wellicht kunnen zij daarvan een voorbeeld noemen.
Mevrouw Hachchi (D66): Voorzitter. De heer Van Holst had het over de kennis van aanbesteding. Hoewel wij allen naar een compactere en slimmere overheid willen, zit er een spanningsveld: je wilt kennis in huis halen en tegelijkertijd niet. Wat is de beste manier om dit voor de overheid te organiseren, in combinatie met de markt? En dezelfde vraag heb ik ook aan de heer Veldwijk.
De heer Zuurmond: Voorzitter. De vraag was, in hoeverre we de inkoop en de aanbesteding goed hebben georganiseerd. De inkoop en de juridische kant zijn inmiddels redelijk goed; inhoudelijk is er denk ik een veel groter probleem. De reactie van BZK op de e-overheid is wat mij betreft behoorlijk onder de maat. Met de ICT werk je immers toe naar een nieuwe overheid. Vanuit die visie moet je wel opdrachten geven, maar dat gebeurt te weinig. Dat is vooral een politiek, informatiekundig en organisatiekundig vraagstuk. Op dat niveau zie ik te weinig kennis. Wel goed is de huidige CIO-vorming en de gateway reviews, maar die zitten met alle respect toch nog wat meer aan de technologiekant van het vraagstuk. Ik plaag de CIO daar wel eens mee: hij is iets meer CTO dan CIO. De CIO praat namelijk met beleid en politiek over de vraag: als we dit politiek willen bereiken, is dit dan de meest handige manier om dit uit te voeren? Dat is erg beleidsinhoudelijk werk. Op dat niveau is de kennis van de e-overheid wat mij betreft te laag.
De heer Weijman: Voorzitter. Mij is een vraag gesteld over de deskundigheid van de overheid, kijkend naar de laatste aanbestedingen die wij hebben gedaan. Voor de Kamerleden: wij houden ons bezig met digitale handtekeningen op defensiepassen en rijkspassen. In alle gevallen is er bij de overheid zelf geen relevante deskundigheid aanwezig en is de overheid in de laatste vijf projecten al veertien jaar lang iedere keer door dezelfde groep van mensen vertegenwoordigd. Diezelfde groep van mensen bepaalt mede het beleid, dus het zijn allemaal collega’s van elkaar. Bij de laatste aanbesteding hebben wij vastgesteld dat diezelfde groep mensen opeens aan de andere kant van de tafel zit om bij een concurrent mee te schrijven op een aanbesteding, waarvoor hun collega’s juist de regels vaststellen. Terwijl diezelfde mensen ook aan de andere kant de klant vertegenwoordigen, waarbij de klant ons vraagt om een open calculatie te maken en al onze interfaces op tafel te leggen. Dat kan natuurlijk niet, want dat betekent effectief dat de aanbiedende partijen vogelvrij zijn. Ik pleit er daarom voor dat de overheid zelf mensen aanneemt met specifieke deskundigheid. Je kunt als overheidsdienaar heel mooie dingen doen in dat soort projecten. Ik denk zeker dat daarvoor mensen zijn te vinden. Op dit moment zijn de externe partijen a man in the middle tussen de aanbieders en de overheid. Ik heb laatst in een project vastgesteld dat tussen ons en de klant 70% overhead zit, die zich alleen maar bezighoudt met het beoordelen hoe wij ons werk zouden moeten doen, wat bijna tot ruzie met de klant heeft geleid. Als jezelf met die klant gaat praten, stel je vast dat de behoeften heel recht-toe-recht-aan zijn, en er helemaal geen behoefte is aan ellenlange discussies en evaluaties. Zij willen gewoon hun werk doen. Ik pleit daarom voor ingrijpen, en je niet afhankelijk maken van externe partijen.
De heer Van Holst: Voorzitter. De eerste vraag aan mij is, of ik voorbeelden kan geven van aanbestedingen met een onterechte beleving van afhankelijkheid. Een voorbeeld, dat direct illustreert wat de heer Zuurmond al aangaf, namelijk dat de IT-governance binnen overheden niet altijd op orde is, is dat van een provinciale overheid die twee jaar geleden een aanbesteding had lopen waarbij het serverpark werd vervangen, en waarbij als randvoorwaarde werd geformuleerd dat het huidige applicatielandschap, dat uiteraard in de huidige marktomstandigheden alleen maar Windows-software was – dat is niet vreemd –
ongewijzigd moest blijven. Aan de serverkant werd alles grotendeels op MS gebaseerd. Daar heb ik overigens niets tegen. Een half jaar later, nadat dit succesvol was uitgevoerd, ging het applicatielandschap op de schop. Maar de randvoorwaarde was dat het aan moest sluiten op het onlangs vernieuwde serverlandschap, wat MS-technologie was. Het zal geen verwondering wekken als ik zeg dat dat resulteerde in een oplossing aan de gebruikerskant die goeddeels op MS-technologie was gebaseerd. Er was immers afhankelijkheid. Dit was een afhankelijkheid die, door het als een technisch feestje te ervaren en door het hanteerbaar te maken, positief werd ervaren. Er was niemand geweest die een stapje achteruit had gezet en had gevraagd of de leveranciersonafhankelijkheid geen belangrijke factor was, ook in het kader van een overheid die snel moet kunnen inspelen op maatschappelijke veranderingen en haar organisatieproces en de ondersteuning daarvan snel moet kunnen aanpassen. Een ander voorbeeld dat ik onlangs voorbij zag komen is het volgende. Het ging om een pan-europese aanbesteding, waarbij een aantal Europese centrale banken gezamenlijk hun legacy – bestaande systemen waar ze niet snel van af komen – gebundeld wilden aanbesteden. Dan krijg je het interessante fenomeen dat uit een oogpunt van het feit dat de centrale bank van Malta wellicht afhankelijk is van een bepaalde leverancier, de Nederlandse centrale bank weer vrolijk licenties ging inkopen onder diezelfde vlag, vanwege de afhankelijkheid van de centrale bank van Malta. Terwijl die afhankelijkheid in Nederland misschien helemaal niet bestond, en er misschien functioneel aanbesteed had moeten worden. Met name de aanbestedingen van grote bundels software resellers zijn verdachte voorbeelden van een al dan niet vermeende afhankelijkheid. Als je gaat doorvragen, blijkt die afhankelijkheid een stuk kleiner te zijn dan in werkelijkheid. Hoe wil ik de kennis organiseren? Het is mijn stellige overtuiging dat het op de korte termijn goed zou zijn om een bureau als Piano, wat nu een programmabureau is, uit te bouwen naar een permanent laagdrempelig expertisecentrum. Toen ik nog gedetacheerd was bij het Programmabureau NOIV, was mijn ervaring dat er genoeg goedwillende inkopers binnen overheidsland rondlopen die heel graag specialistische kennis willen aanboren, zonder meteen naar een externe partij te gaan, in het vertrouwen dat er horizontaal collegiaal advies kan worden verleend. Ik weet dat dit in tijden van bezuinigingen een rare vraag is, maar ik zou zeggen: trek daar toch geld voor uit, zodat er permanent een groep mensen beschikbaar is voor centrale en decentrale overheden. Op de lange termijn is er een fundamenteel probleem binnen de rijksoverheid en de decentrale overheden. Je hebt namelijk drie soorten ambtenaren: de uitvoering, die is ondergewaardeerd en heel plat gezegd niet zelf mag nadenken, de beleidsambtenaren, die worden verondersteld eens in de vier jaar te rouleren over hun dossiers en de managers. Bij de overheid leeft de mythe dat een goede manager geen kennis van zaken hoeft te hebben, en derhalve kennis van zaken een teken is van een slecht manager. Andere smaakjes zijn er bijna niet binnen de overheid. Je kunt geen carrière maken binnen de overheid als je inhoudelijk expert wilt zijn.
De heer Boonstra: Voorzitter. Is de afhankelijkheidsrelatie altijd aanwezig? De afhankelijkheid bij aanbestedingen ontstaat door het feit van aanbesteding sec, maar ook door gebrekkige deskundigheid en juridisering van het geheel. Zaken die al zijn genoemd, zijn een grote deskundigheid, maar ook een groter partnership, bijvoorbeeld door al van tevoren gesprekken te voeren met eventuele partijen hoe men tegen het contract aankijkt, en door mechanismen in te bouwen, zoals resultaatverantwoordelijkheid en het delen van voordelen. Er ontstaat daardoor meer een partnerschap dan een wij/zij-situatie. Dat zijn de mechanismen waardoor er een gedeelde verantwoordelijkheid ontstaat en meer partnerschap, dan een meer juridische verhouding van een contract, waarbij een bedrag moet worden betaald als een bepaald technisch product wordt geleverd. Ik denk dat er mechanismen en praktijken te ontwikkelen zijn waardoor de afhankelijkheid en de eenzijdigheid kunnen worden verminderd.
Mevrouw Schönfeld: Voorzitter. Dezelfde vraag als die aan de heer Van Holst is aan mij gesteld: hoe kunnen we ervoor zorgen dat er bij de overheid voldoende kennis aanwezig is?
Mevrouw Hachchi (D66): Als u dit kunt koppelen aan de opmerkingen over de verantwoordelijkheid en de rol van de politiek, dan graag.
Mevrouw Schönfeld: Ik wil graag even het hele landschap bekijken, daarbij aansluitend bij het begrip IT-governance, ook al gebruikt door de heer Van Holst. Als we het hebben over betere aansturing vanuit de overheid, dan hebben we het volgens mij vooral over IT-governance. Dat behelst ook wel kennis, maar persoonlijk zou ik zeggen dat we grotere slagen kunnen maken als IT-governance wordt versterkt. Dat betekent onder andere dat de overheid zich nu moet realiseren dat ze niet alleen maar een beleidsorganisatie kan zijn, maar dat mensen niet moeten denken dat ze te deftig zijn om IT-kennis in huis te hebben. De DG’s en de SG’s moeten kennis van zaken hebben. Als ze dat niet hebben, moeten ze gewoon zorgen dat ze erover mee kunnen praten. Als de minister naar de Kamer gaat, dan moet de hoogstverantwoordelijke meegaan, en dan moet ervoor gezorgd worden dat er fatsoenlijke antwoorden worden. IT-governance is ontzettend belangrijk.
De heer Braakhuis (GroenLinks): Voorzitter. Ik heb een vraag aan mevrouw Schönfeld. Een project begint natuurlijk met een plan, waarna je gaat aanbesteden. Aanbesteden zit eigenlijk al in de route, want dan weten we al wat we willen. Maar juist bij dat aanbesteden is het toch juist van belang dat wordt gezorgd voor een soort schaalgrootte, en dat je juist op basis van eenduidige architectuur probeert in te kopen? Hebt u het gevoel dat dat nu goed belegd is? We hebben het wel over de governance van aanbesteden, maar die moet volgen uit een ander soort governance. Hoe ziet dat er dan uit volgens u?
De heer Biskop (CDA): Voorzitter. Ik zou graag de heer Heeneman willen vragen of hij wil reageren op wat net door de heren Weijman en Van Holst is gezegd. Als ik zijn paper heb gelezen, zou dat wellicht een wat andere insteek kunnen zijn dan wat er zojuist is gepasseerd. De heer Veldwijk begon met een leuke opmerking: de overheid heeft een verstorende werking op de IT-markt. Graag hoor ik hem daarover nog wat meer zeggen.
De heer Elissen (PVV): Voorzitter. De heer Weijman sloeg de spijker op de kop: de overheid moet de regie voeren en zelf gesprekspartner zijn op de inhoud. Dat missen we. Een ander punt dat mij toch wel intrigeerde was dat de aanbieder zijn verantwoordelijkheid moet nemen. Kan hij een voorbeeld geven van een succesvol project dat aan deze criteria voldoet? Van mevrouw Schönfeld hoor ik graag een voorbeeld uit het buitenland, dat vooral ziet op de aanbesteding.
De heer De Lange (PvdA): Voorzitter. Ik heb een vraag aan de heren Boonstra en Zuurmond. Aanbesteding vertrekt altijd vanuit een idee van wat je wilt. Op basis van wat ik heb gelezen, is mijn perceptie dat er op cruciale plekken binnen de rijksoverheid veel te weinig fundamentele kennis is over het veel slimmer organiseren van processen als je de ICT optimaal benut. ICT biedt mogelijkheden om processen anders en slimmer te doen. Tegelijkertijd moet de ICT ook aansluiten bij het bestaande proces. Die twee moeten naar elkaar toekomen. Welke drie dingen zouden er moeten gebeuren binnen de top van de rijksoverheid om tot een veel beter, dieper besef te komen waar we heen moeten?
Mevrouw Schönfeld: Voorzitter. De heer Braakhuis vraagt of er spanning is tussen de IT-governance op aanbesteden en het feit dat sprake is van sterke standaardisatie. Moet je niet van tevoren weten wat je wilt in verband met standaarden en architectuur.
De heer Braakhuis (GroenLinks): Waarbij ik vooral het belang van standaarden binnen de overheid wil duiden, omdat we zien dat er weinig connectiviteit is tussen de verschillende soorten systemen.
Mevrouw Schönfeld: U hebt daar een punt te pakken dat niet direct is aan te pakken. Ik weet niet hoe de heren aan tafel hierover denken, maar in mijn visie is de ICT nog lang niet zover uitgestandaardiseerd dat we daarin veel vrijheid hebben. Er is gewoon sprake van spanning. De afhankelijkheid die de overheid als klant hierin ervaart, wordt wel eens wat overdreven, maar ik vind het toch een heel zwaar punt. Natuurlijk is er heel veel te zeggen voor verregaande standaardisering. In mijn visie is het zo dat, doordat de ICT zich nog steeds doorontwikkelt, de klant zichzelf altijd zal blijven tegenkomen. Een rechtstreekse oplossing daarvoor heb ik niet; dat is een kwestie van heel veel gezond verstand, kennis en inzicht. Daarmee pleit ik niet tegen overheidsstandaarden, maar het betekent wel dat je inderdaad in een soort vast stramien zit, voordat je gaat aanbesteden.
De heer Van Holst: Voorzitter. Ik denk dat een relatief eenvoudige oplossing denkbaar is om het standaardisatievraagstuk binnen de ICT op een hoger plan te brengen. Het wordt nu continu als een technisch probleem ervaren. Binnen heel veel overheidskringen denkt men nog steeds in termen van standaardiseren op applicaties, en niet op informatiestromen. Wederom: het is een probleem van de bedrijfsvoering, wordt elders ervaren. Nu ga ik een politiek standpunt innemen: op het moment dat de Kamer zou kiezen voor het principiële standpunt dat burgers en bedrijven nooit zouden moeten worden gedwongen om bij een bepaalde leverancier te winkelen, dan zou dat betekenen dat de overheid ineens wordt herkend als een informatieverwerkende beleids- en beslissingsmachine, waarna keihard vanuit andere takken van de overheid de eis aan ICT wordt neergelegd om te regelen dat op een open manier kan worden gecommuniceerd met de ketenpartners, binnen en buiten de overheid. Dat zou wel een heel harde dirigistische maatregel zijn, maar het zou wel in één keer duidelijk maken dat het geen bedrijfsvoeringsprobleem, maar een overheidsprobleem is.
De heer Heeneman: Voorzitter. Soms moet je je wel eens afvragen of de overheid er is om ICT te ontwikkelen. Ik vergelijk dat wel eens met een bakker. Soms, als ik aanbestedingen lees, dan denk ik: als ik als burger een brood koop, dan doe ik dat bij de bakker met het lekkerste brood. Maar de overheid gaat de bakker vertellen hoe hij zijn brood moet bakken, waarna ze erachter komt dat het brood net iets te hard is, en dat ze het niet lekker vindt. De bakker zegt dan: ik heb het gemaakt zoals jullie het hebben willen. De overheid moet veel kennis in huis hebben om functionele vragen te stellen aan partijen, maar moet de overheid zelf ICT maken? Hebben ze programmeurs nodig? Dat lijkt me wat overdreven. Er zijn meer dan 100 ICT-afdelingen binnen de rijksoverheid, die allemaal zelfstandig binnen hun eigen domein ICT ontwikkelen en bouwen en daarvoor heel veel mensen inhuren, terwijl je de vraag kunt stellen wat de ontwikkeling van een bepaald pakket kost. Ga dat dan niet als één groot project neerzetten, maar zorg ervoor dat je betaalt per gebruiker, p maal q. Er zijn honderdduizenden voorbeelden om ons heen waar we dat dagelijks accepteren, van een mobieltje tot en met een lease-auto. Er zijn meer dan 10 000 mensen binnen de rijksoverheid hiermee bezig. Alleen al in de strafketen praat je al over 600 tot 800 applicaties die al dan niet aan elkaar gekoppeld worden. Je kunt toch ook een routing-systeem daarvoor laten ontwikkelen? Dan ben je efficiënt bezig. Al die systemen die allemaal als kleine stukjes aan elkaar worden verbonden, al dan niet met gestandaardiseerde vragen, past dat nog wel? Dat los je niet op met één rijks-CIO, want dan wordt het meer een technische kant. Beperk je tot de functionele vragen, en tot wat wil ik nou hebben, in plaats van aan de bakker te gaan uitleggen hoe hij het brood moet bakken.
De heer Biskop (CDA): De heer Heeneman schrijft dat ook het kasstelsel van het Rijk een belemmerende factor kan zijn. Hoe bedoelt hij dat precies?
De heer Heeneman: Dat komt aan de orde in het model dat hierna aan de orde komt. Die vraag zal ik straks beantwoorden.
De heer Veldwijk: Voorzitter. U vroeg mij naar de verstorende invloed van de overheid op mijn ICT-markt, die vooral bestaat uit applicatieontwikkeling. Overigens: er is al zoveel gezegd door mensen hier wat je daar direct op kunt toepassen. Ik zou bijna zeggen: wat moet ik nog zeggen? Je ziet nu dat men in de VS op het gebied van het ruimtevaartprogramma zo verschrikkelijk is vastgelopen, dat ze precies dat gezegd hebben: we gaan niet meer standaardiseren en precies vertellen wat Boeing moet doen, we gaan gewoon de hele zaak privatiseren. Voor een fractie van de kosten die de NASA maakt, heeft NASA gezegd: lanceer een raket en breng hem terug. Dat is gelukt voor een paar honderd miljoen, waar het de NASA miljarden kost. Dat is op ruimtevaartgebied precies datgene waar hierover gesproken wordt. Omdat alles op microschaal gebeurt, maakt het innovatie en concurrentie kapot. Ook over een aantal dingen die over standaardisatie wordt gezegd, kan best worden nagedacht. Waarom zou je standaardiseren op micro-gebied? Waarom niet standaardiseren op de belangrijke dingen? Zorg er bijvoorbeeld dat gegevens bij de overheid altijd hetzelfde betekenen. In het verleden is daar heel veel aan gebeurd, maar ik hoor daar eigenlijk nooit meer iets over. Zorg dat de belangrijke zaken goed geregeld zijn, en laat de markt vervolgens haar werk doen. De Boeings van deze wereld gaan nu gewoon raketten bouwen, in plaats van uitgebreid met allerlei NASA-ambtenaren te gaan praten over de standaardisatie van dingen en met software uit de jaren tachtig komen. Terug naar de vraag als zodanig. In mijn markt zie ik als econoom dat alles gebeurt op een volstrekt niet te rechtvaardigen schaal. Als ik een olietanker wil bouwen heb ik gewoon een miljard financiering nodig, dat is zeer kapitaal-intensief. Wat in mijn markt gebeurt, is bijna allemaal zeer kapitaal-extensief. Zelfs projecten die in de ogen van de Kamer heel groot zijn, kunnen vaak door een handjevol mensen gebeuren. Dat is ook mijn eigen ervaring geweest. Ik heb een aantal jaren in heel grote overheidstra-jecten gewerkt, die ik voortdurend heb zien mislukken. Als het niet mislukt, is sprake van een onnodig grote schaal. Ik zie dat zo langzamerhand IT’ers in mijn vakgebied of voor de overheid werken, of niet. Dat worden verschillende species, wat ik uitermate vervelend vind. Verstoring op alle niveaus. We zijn als overheid bezig deze markt te verpesten en heel veel belastinggeld onnodig in putjes te gooien.
De heer De Bruijn: Voorzitter. RWS is een prachtig voorbeeld. Niet lang geleden was ik bij de DG op bezoek, die me vertelde dat er nu haardvuursessies worden georganiseerd waarin ze entre nous met de bouwwereld bekijken hoe ze tot gemeenschappelijkheid kunnen komen. Weg met alle regels, sturen op vertrouwen. Ik denk dat dat een cruciaal punt is, willen we hieruit komen. Met al dat micromanagement verpest je het inderdaad. Een organisatie verandert pas als het gedrag van de mensen verandert, niet als er nieuwe regels worden gemaakt.
De heer Weijman: Voorzitter. Ik wil leven verifiëren of ik de vraag van de heer Elissen goed heb begrepen. Vroeg u mij of ik een voorbeeld kan noemen van een aanbesteding waarbij wel sprake was van kennis van zaken aan de kant van de aanbestedende dienst?
De heer Elissen (PVV): Wel kennis van zaken, alsook het feit dat de aanbieder de resultaatverantwoordelijkheid voor zijn rekening neemt.
De heer Weijman: Ik kan mij niet herinneren dat ik een aanbesteding heb meegemaakt waarin geen sprake was van een externe adviseur die over kennis beschikt. Bij alle aanbestedingen in de afgelopen veertien jaar was altijd sprake van een externe adviseur die over die kennis beschikte. Ik kan mij ook niet herinneren dat we verantwoordelijk zijn geweest voor het resultaat. Dat zouden we heel graag zijn. Lopende de aanbestedingen hebben we dat ook aangegeven: laat ons dat doen, wij denken dat we dat beter kunnen. Het antwoord op dat voorstel was een kort nee. Helaas.
De heer Elissen (PVV): Dan hebben we het dus over mensen die al 14 jaar bezig zijn op dit vakgebied, die die kennis ontberen. Dat is op zich een trieste constatering.
De heer Weijman: Een voorbeeld: wij hebben wereldwijd 20 miljoen gebruikers wereldwijd. In landen buiten Europa verkopen wij miljoenen exemplaren van dezelfde software. Bij de vier ministeries waarmee wij zaken doen moesten wij voor ieder ministerie een aparte variant van ons product maken. Ik heb de vraag gesteld of dat verstandig is. Toen werd gezegd dat het heel onverstandig was om door te gaan met vragen. Dan houd je dus je mond dicht. Dat is de realiteit, en dat is heel jammer. Het enige voorbeeld waarbij sprake is van interdepartementale samenwerking is de rijkspas. Weliswaar is bij de aanvang de botte bijl gehanteerd om het erdoorheen te drukken, maar het gaat wel werken.
Mevrouw Schönfeld: Voorzitter. De vraag was naar een goed voorbeeld van aanbesteding in het buitenland. Weer moet ik u teleurstellen dat er niet één voorbeeld is van waar het wel goed is gegaan. Dat is inherent aan de ICT. Als het zo zou zijn, zouden we het allemaal op dezelfde manier doen. Wel begrijp ik van leveranciers dat de Nederlandse overheid wel het meest dirigistisch is in vergelijking met de ons omringende landen. Onze overheid stelt er prijs op, de standaarden op microgebied te handhaven, terwijl in het buitenland meer om totaaloplossingen wordt gevraagd, die de leveranciers mogen uitwerken. Het gaat in mijn optiek niet aan om het idee van standaardisatie zomaar weg te gooien. Een belangrijke reden is dat je zo de markt op een goed moment wel open kunt maken, ook voor de kleinere spelers. Het heeft zijn redenen dat de overheid zo is gaan standaardiseren. We zijn daarin wel wat doorgeschoten. Van het buitenland kunnen we leren: iets minder dirigistisch.
De heer Boonstra: Voorzitter. Waar moeten we naar toe, was de vraag. Wat zouden de Top-3-issues zijn voor de overheid op langere termijn. Ik heb vaak de indruk dat aanbestedingsopdrachten veel te complex worden gemaakt. Zijn de huidige processen wel op orde? Zouden we onze eigen processen niet meer op orde moeten brengen voordat we überhaupt aan ICT denken? Dat zou één van de uitgangspunten moeten zijn. Bij ICT wordt te snel aan vergezichten gedacht, maar als je basisprocessen veel te gecompliceerd zijn, dan hoef je daar niet eens aan te beginnen. Verder wordt de ICT-infrastructuur heel vaak bedacht vanuit de top. Bekeken wordt hoe men grip kan krijgen op de processen. Als het dan uiteindelijk wordt uitgerold naar de werkvloer, ontstaan daar allerlei problemen. De vraag van versterking van het primair proces komt vaak veel te laat aan de orde. We moeten toe naar eenvoudiger processen, en er moet worden bekeken wie het uiteindelijk moet gaan gebruiken, en of het daar helpt.
De heer Zuurmond: Voorzitter. Ik sluit me aan bij de heer Boonstra. Een van de problemen met nieuwe technologieën is als verschijnsel al heel oud. Toen de benzinemotor werd uitgevonden, hebben we de eerste 40 jaar niets anders gedaan dan voor de postkoets de paarden weghalen en er een motor opzetten. Dat noemden we een automobiel, maar het was in feite een postkoets met hulpmotor. Dat doen we in feite ook met de ICT: we houden de oude bureaucratische orde en manier van werken in stand, we halen wat papier weg en vervangen dat door een digitale voorziening, maar de radicale herontwerpen doen we niet. Dan klagen we bij de ICT-afdeling dat het tegenvalt, maar dat komt omdat we in de spiegel kijken en onze oude technologie in de nieuwe technieken hebben gestopt. Je hebt eigenlijk de oude organisatie in nieuw beton gegoten, stel ik enigszins vrolijk vast. Daar zit het grote probleem. Alle opdrachten vinden plaats vanuit de hiërarchische structuur. Het werk is verdeeld over een aantal departementen en een aantal Kamercommissies, en elk van die partijen gaat op hun stukje van de postzegel een ontwerp maken dat op dat stukje past, maar niet in het grotere geheel. Kortom, het gebeurt te veel vanuit een hiërarchische, verkokerde, verticale aansturing, waarbij juristen, beleidsmakers en politici de beelden ontwerpen, wat ze met alle respect niet goed genoeg doen, want ze hebben geen idee van de nieuwe wereld.
Wat moet er gebeuren? Ik denk dat er opnieuw een veel betere reactie zou moeten komen op die e-overheid, en dat daarin de rapporten moeten worden verdisconteerd die eind jaren negentig hierover al zijn geschreven. Docters van Leeuwen heeft in een prachtig rapport beschreven hoe de overheid eruit zou moeten zien. De WRR heeft al in 1998 Staat zonder land geschreven, en ook de commissie grondrechten en ICT heeft een prachtig rapport geschreven, onder leiding van Hans Franken. Er zijn vier of vijf rapporten uit die tijd, zodat we het antwoord eigenlijk wel weten, maar in de laatste reacties over de e-overheid is dat helemaal niet teruggekomen. Zet een vooruitstrevend beeld neer van hoe de overheid er in de toekomst uit zou moeten zien, een soort bestemmingsplan. Verder zou ik de bestaande uitvoeringstoetsen verbreden. Stop in de uitvoeringstoets direct de toets op de administratieve lasten die ontstaan bij burgers en bedrijven, en stop daar ook in de vraag of het complient is ten opzichte van datgene, wat in het beeld en de visie is neergezet. Gaan we de nieuwe overheid neerzetten, of gaan we kiezen voor de postkoets met hulpmotor? Het project scheefwonen is een prachtig nieuw idee van de politiek. Dat is echter op een volstrekt achterhaalde manier ontworpen. Dan is het ook niet vreemd dat woningbouwverenigingen en burgers zich daartegen verzetten. Ten slotte zou je een rijksbouwmeester-achtige functie moeten creëren bij het CIO-gedeelte van de overheid, die zich de vraag stelt hoe de overheid eruit ziet en of alles klopt met het bestemmingsplan.
De heer Heeneman: Voorzitter. Nog een heel klein voorbeeld, omdat ik het woord postkoets hoorde. Is het bekend waarom er op maandag niet wordt vergaderd in de Tweede Kamer? Dat komt omdat in 1851 bij wet is vastgesteld dat de afstand tussen de postkoets en de plaats waar de gekozene ter kerke kan gaan, bepalend is voor de eerste vergadering, plus drie uren om de stukken door te lezen. Dat is sinds 1851 nooit aangepast. Nu zijn door de files de huidige reistijden wel weer enigszins op dit niveau, maar dit geeft aan dat de wetten blijven staan. Daardoor krijgen we stapeling op stapeling. Daar is de flexibiliteit totaal niet bij gediend.
Uzelf moet die wet uit 1851 misschien eens wijzigen, want er is al een tijdje een postkoets met hulpmotor.
Aansturing en uitvoering
De voorzitter: Ik heb een vraag aan de heren Zuurmond en Weijman. Gemeenschappelijke basisvoorzieningen en taal ontbreken, wat het allemaal heel erg lastig maakt. Wij hebben allerlei basisregisters. Er wordt wel eens gezegd dat we geen definities mogen maken. Hoe zien de heren de oplossing voor dit probleem? Hoe kan het dat ondanks allerlei basisregistraties die taal en die basisvoorzieningen ontbreken?
Mevrouw Gesthuizen (SP): Voorzitter. Ik heb een vraag aan de heer Dijkstra en mevrouw Schönfeld over iets wat een klein stapje verder ligt dan de aanbesteding, maar ook weer niet helemaal. Dat heeft te maken met wat ik heb begrepen uit de informatie die zij ons hebben toegezonden. Beiden zeggen dat er aan de kant van de opdrachtgever en van de opdrachtnemer geen realistische verwachtingen zijn en dat zaken niet goed worden aangestuurd, terwijl ook bij de opdrachtnemer dingen niet goed worden uitgevoerd. Dan zit je toch wel bij de uitvoering. Graag een nadere toelichting daarop, met name op de opmerking van mevrouw Schönfeld over een te groot leveranciersoptimisme, en op de opmerking van de heer Dijkstra over een gebrek aan regie bij de opdrachtnemer.
Mevrouw Hachchi (D66): Voorzitter. Ik heb een vraag aan de heren Heeneman en De Bruijn. Zij hebben iets gezegd over partnership en vertrouwen. De brood-metafoor aanhoudend: de marktpartij heeft ook een verantwoordelijkheid om te zeggen: overheid, als u het zo wilt, dan wordt het brood te hard. In mijn ogen gebeurt dat niet, waardoor dingen soms fout gaan.
De heer Braakhuis (GroenLinks): Voorzitter. Ik heb een vraag aan de heren Veldwijk en Boonstra. Waar bij de overheid leg ik nou wel centrale regie, dus tot op welk niveau, en waar geven we het weer weg? Juist op het informatiegedeelte is grote behoefte aan standaardisatie. Is centralisme daar wel op zijn plaats? Waar stopt het centralisme, en waar moeten we het juist hebben?
De heer Zuurmond: Voorzitter. We hebben inderdaad basisregistraties en een paar gemeenschappelijke voorzieningen, zoals ICTU en Logius, wat belangrijke onderdelen van de gemeenschappelijke voorzieningen zijn. ICTU is in potentie de partij die zorgt voor overheidsbrede ontwikkeling van de applicaties, Logius zou de partij zijn die zorgt voor beheer als die applicaties eenmaal zijn opgeleverd. Daar zou de kennis moeten zitten om aanbestedingen te doen. Het feitelijke produceren van die applicaties zou onder regie van de partijen moeten gebeuren. Het beheer hoeft niet door de partijen te hoeven gebeuren, maar ze kunnen daar wel op toezien. Er is nog wel een probleem: beide partijen worden volstrekt projectgefinan-cierd, wat een vrij magere vorm van financiering is. Ze hebben eigenlijk geen enkele mogelijkheid om kennis over het geheel overeind te houden. Je zou een stukje kennisorganisatie generiek moeten financieren, los van de projecten. Want anders moet je iedere keer externen inhuren. Beleidsdepartementen en de politiek gaan veel te veel daaromheen. Je hebt die voorzieningen wel, maar als er dan een politiek idee komt, zoals het tegengaan van scheef wonen, dan gaat de politiek met één of twee beleids-DG’s daarover nadenken en dan hebben ze oplossing eigenlijk al bedacht: als jij nou een querie doet in de ene database en het doorgeeft aan de andere database, dan gaat die laatste het wel even uitvoeren. Dat gaat volstrekt voorbij aan afspraken over hoe het zou moeten. Dan gaat het dus achteraf mis. Ook de politiek, u dus, zou zich aan afspraken en gewoontes moeten houden om dat te kunnen oplossen, en dat gebeurt te weinig.
De voorzitter: De CIO is er toch voor om dit te bewaken?
De heer Zuurmond: Zoals gezegd: de CIO zoals die door u geïnterpreteerd wordt, en door anderen wordt ingevuld, is vaak een Chief technology officer, die zorgt voor de efficiency van de inkoop, maar daarvoor zit ontwerp. Het ligt aan de beleidsafdelingen en de politiek dat zijzelf dingen beginnen te verzinnen. Als het klaar is, gooien ze het over de muur. Pas in de uitvoering komt de CIO aan de orde, wat veel eerder zou moeten gebeuren, in een rijksbouwmeester-achtige functie, meedenkend over de vraag of plannen wel in het grotere geheel passen.
De heer Weijman: Voorzitter. Ik sluit me aan bij de heer Zuurmond. ICTU en Logius zijn projectgefinancierd, wat een goede basis is voor het behouden van kennis. Ik pleit ervoor dat ICTU en Logius beschikken over eigen mensen, dus geen inhuurkrachten meer. Het moet ophouden dat externe partijen die aan beide zijden van de tafel zitten, mede bepalen welke regels gaan gelden bij aanbestedingen. Dat kan niet, dat moeten echt eigen mensen van de overheid zijn, op basis van eigen kennis. Zij moeten de regie voeren, dus niet zelf programmeren. Om het populair te zeggen: om te bepalen wie de beste boswachter is, huren we een stroper in, want die kent alle technieken. De overheid zou mensen met verstand van zaken moeten hebben, mensen die geen enkel belang kennen dan het overheidsbelang. Dan kun je een inhoudelijk gesprek voeren. Wat ook meespeelt, is de consensuscultuur in Nederland. De Romeinen hadden een heel effectief middel om een probleem op te lossen: de aanstelling voor twee jaar van een dictator. Is misschien iets voor een aantal ICT-dossiers. Er moet namelijk verantwoordelijkheid worden genomen. Twee weken geleden hoorde ik de heer Asscher uit Amsterdam daar een heel mooi voorbeeld van geven: de publieke zaak is van iedereen, maar niemand is verantwoordelijk. Dat kan niet. De DG’s en de SG’s moeten weer verantwoordelijkheid nemen, en zij moeten inhoudelijk voldoende op de hoogte zijn. Dan heb je een gesprekspartner. Dus niet zelf programmeren, de regie houden kan alleen als je zelf verstandig kunt meepraten over zaken.
De heer Dijkstra: Voorzitter. Ik heb wat minder wilde voorstellen, maar dat komt natuurlijk ook omdat ik jurist ben. Voorbeelden van gebrek aan regie aan beide kanten. Wat je bij aanbesteding wel ziet, is dat er door de leverancier een tenderteam wordt samengesteld: heel blitse jongens en meisjes die goede verkooppraatjes kunnen houden en vaak ook veel verstand hebben van de materie. Toch zijn zij commercieel gedreven en proberen zij de opdracht binnen te halen. Dan zie je dat bijvoorbeeld offertes worden gedaan terwijl de mensen die de uitvoering moeten gaan doen het komende jaar gewoon niet beschikbaar zijn, waardoor de opdrachtgever na de gunning een half jaar mag wachten op de uitvoering ervan. Dat is toch wel een gebrek aan regie. Als een opdrachtnemer een andere locatie moet betrekken, wordt de cliënt in buitengewoon grote problemen gebracht.
De overheid is erg goed in het stapelen van eisen. Het klassieke voorbeeld is dat van de helikopters van Joep van den Nieuwenhuijzen, die zo zwaar gespecificeerd waren dat ze niet meer konden vliegen. Dat gebeurt in IT-land ook: veel eisen stellen, die niet noodzakelijkerwijs consistent zijn. Maar de markt reageert daar ook niet altijd goed op, door te zeggen dat die eisen zullen worden vervuld. Aan het eind van de rit bouw je allerlei conflicten in de uitvoeringsfase in. Het leidt bijna altijd tot meer kosten, en tot ruzie. Je creëert een soort vechtkabinet. Dat heeft ook wel iets te maken met de regie aan de kant van de opdrachtnemers. Ik realiseer me wel dat dat een lastige positie is, want je moet opdrachten hebben om te overleven. Hier geldt wel iets van de Wet van de laagste moraal die zijn tol eist. Dialoogachtige vormen zouden misschien iets meer soelaas kunnen bieden, omdat je dan van gedachten kunt wisselen over de haalbaarheid van eisen.
Bij regie aan de kant van de opdrachtgevers zien we nogal eens dat er in de aanbestedingsfase een heel cluster deskundigen bij elkaar wordt gebracht. Dat is logisch, want het gaat vaak om veranderingsprocessen. Maar de overdracht van zo’n dossier naar de beheersfase is vaak «scharrig», althans in mijn waarneming, die een beetje een verstoord beeld geeft. We hebben geen a-selecte steekproef. Dit is een stukje regie dat de overheid naar zich toe zou moeten trekken.
Mevrouw Schönfeld: Voorzitter. De vraag ging over leveranciersopti-misme. Ik geef graag een kort voorbeeld, dat ook in mijn boek staat. Bij een grote geografische informatiedienst in Nederland werd door een leverancier in een heel vroeg stadium aangeboden dat met handhelds het veld in kon worden gegaan, wat vervolgens niet werkte. Dat is een voorbeeld van leveranciersoptimisme. Dit is een voorbeeld uit de oude doos. Het gaat mij erom dat er op zo’n moment een drive is in alle betrokkenen om met de nieuwste technologie te werken. Dan kom ik toch weer terug bij de rol van het parlement: Nederland is een behoorlijke voorloper op het gebied van de I. Als we dat willen blijven, lopen we het risico dat we met onvolwassen technologieën gaan werken.
De heer Heeneman: Voorzitter. Wat komt eerst: vertrouwen of samenwerken? In de rol van de industrie zit zeker enige vorm van commerciële vrijheid. Ik heb wel eens gehoord dat de Hoge Raad heeft gezegd dat je 20% commerciële vrijheid mag hebben in documenten. Welke hordes nemen we van welke kant? Als we zien welke eisen er gesteld worden, zijn die soms in één document tegenstrijdig met elkaar. Als je nee invult, want je hebt geen dialoog, dan mag je niet verder in de volgende ronde. Er zullen dus vele partijen zijn die gewoon ja invullen en zeggen: dat gaan we in fase 2 of fase 3 wel met elkaar onderhandelen, want dan zitten we pas aan tafel. Is dat dan vertrouwen, of niet? Misschien had de vraag niet zo gesteld moeten worden. Misschien had moet worden gezegd: ik wil een warm brood, in plaats van: ik wil een warm brood, en het moet zo gebakken worden. Dat is de horde van één bepaalde kant. Aan de andere kant moet je ook accepteren dat, als de industrie zegt dat het niet kan – daar heb ik tientallen voorbeelden van – dit niet wordt geaccepteerd. Want er is bijvoorbeeld vastgesteld, hetzij door de Kamer, hetzij door een ministerie, dat er iets op datum X moet gebeuren, meestal net voor verkiezingen. Maar sommige dingen kosten gewoon tijd. Ik kan niet bij drie vrouwen in drie maanden een kind baren, dat kost gewoon minimaal negen maanden. Dat heb je ook bij ICT-projecten. Maar dat wil men niet horen, dus zegt men: industrie, ga het alsjeblieft met drie vrouwen in drie maanden regelen. Dan krijg je opstapeling, op basis van een bepaalde druk die helemaal niets met het doel an sich te maken heeft. Een Belgische mijnheer noemde dat laatst het zombie-principe. Vervolgens worden er work-arounds gemaakt. Misschien ontstaat er daardoor een gebrek aan vertrouwen van de overheid in de industrie, of andersom, maar misschien moeten we dat omzeilen door bijvoorbeeld meer met hybride modellen te werken. ICT is ook vaak een biotoop. Sommige dingen, zoals krokodillen, veranderen in 450 miljoen jaar bijna niet, wat bij ICT niet is voor te stellen. Maar de dingen veranderen, waaraan de hele keten zich aanpast. Grote bedrijven kunnen vaak niet zonder mkb, ook al denken ze soms van wel, en de overheid kan ook niet zonder het bedrijfsleven. Daar zitten allerlei hordes in, waardoor men op basis van regels, wetten, beleid, aannames en beslissingen een richting kiest. Een voorbeeld: interne ICT-overheidsafdelingen gaan heel veel met elkaar inbesteden, een vorm van mkb-ondernemerschap binnen de overheid. Een van de hoofdredenen daarvan is omdat overheidsonderdelen onderling geen btw aan elkaar hoeven af te dragen. Als een bedrijf dat levert, zijn ze per saldo altijd 20% duurder dan de interne inbestedende diensten. Dat zegt niets over de kwaliteit, maar dan kom je wel onder het juk van het kasstelsel of andere stelsels. Willem Vermeend heeft ooit beslist dat provincies en gemeenten worden vrijgesteld van btw-heffing. Het voorstel was om dat door te trekken naar het Rijk, maar dat is ergens gesneuveld op de weg ernaartoe. Dat zou dat probleem oplossen. Dan zou de kracht van de industrie en haar partners veel meer kunnen worden opgezocht. Dan haal je die berg eruit.
De heer De Bruijn: Voorzitter. Ik heb altijd geleerd dat, als je vertrouwen wilt krijgen, je dat eerst moet geven. We hebben net gehoord dat er niet moet worden gestuurd op input of micromanagement, maar op output. Ik noem als voorbeeld de Toyota Prius. Toyota heeft een enorm lange historie van goed partnership van toeleveranciers. Een nieuwe directeur vond het nodig om strak te gaan sturen op prijs en input, met alle lelijke gevolgen van dien. Als je met elkaar gaat kijken naar het wenkend perspectief waarin we elkaar hard nodig hebben, en hoe we veel meer op verantwoordelijkheden kunt sturen, dan kom je daar gewoon uit. Er zijn meer dan genoeg voorbeelden te geven. Ik zou zeggen: aan de slag.
De heer Veldwijk: Voorzitter. Wat centraliseren en wat niet? Ik geef een voorbeeld van de Wet van de laagste moraal. Ik heb zelf meegemaakt dat ik een systeem had gebouwd met collega’s. De schade aan het oorspronkelijke project was 270 miljoen, systeem gebouwd 1 miljoen, en één van de eerdere leveranciers gaat naar de opdrachtgever en zeg: als je ons die vrijheid had gegeven, hadden wij het ook wel kunnen doen. Zo erg is het. Als je met die mensen gaat praten, vinden ze je volstrekt ethisch. Het lijkt allemaal zo beschaafd, maar het is gewoon a jungle out there! In antwoord op de vraag van de heer Braakhuis het volgende. Je moet dingen waar je zelf geen verstand van hebt niet simplificeren. Dingen waar je geen verstand van hebt, moet je niet centraliseren. Natuurlijk heeft het voordelen om te centraliseren. Ik kan van iedere centralisatie een business case maken, als ik maar genoeg dingen weglaat. Maar in de uitvoering zie je dat het helemaal niet zo is. Ik stel de business case van de modernisering van de GBA ter discussie. Verder stel ik de business case van de rijkspas ter discussie. Het is een basisgedachte bij heel veel mensen, niet in de laatste plaats Kamerleden, dat ICT de wereld beter en flexibeler maakt, terwijl ik gewoon zie dat er heel veel bureaucratisering en bestuurlijke complexiteit is. Dat kost heel veel geld, dat je ergens anders moet weghalen. Dan is de vraag: wat hou je over? Antwoord: dingen waarvan je verstand hebt. Kamerleden willen dat de bevolkingsadministratie op één plaats wordt geleverd, en dan is het misschien handig om dat goed aan te pakken. Dat project loopt al een jaar of tien. Ik zie iedere keer terugkomen dat er meer coördinatiemechanismen moeten komen. Dat betekent in feite dat je verantwoordelijkheid verdunt. Los van het Mussolini-gehalte in de opmerking van mijn rechterbuurman dat treinen op tijd moeten rijden: concentreer de verantwoordelijkheden bij heel weinig personen. Dat moet je doen. Laat iemand maar eens de credits krijgen voor iets heel moois, of desnoods de schande voor iets heel slechts. Wat hou je uiteindelijk over? De basisinformatiehuishouding. Daar liggen heel moeilijke dingen. De registratie van het onroerend goed bij het Kadaster is heel simpel: het valt precies samen met de taak van het Kadaster. Hardstikke simpel. Vervolgens zorg je ervoor dat niet allerlei andere organisaties een eigen kadastertje gaan opbouwen, maar ook dat is vrij simpel. Bij de polisadministratie ligt dat heel anders, maar ook die complexiteit kan worden gemanaged. Alle andere dingen moeten radicaal worden geschrapt. Iemand zei laatst tegen me: er is geen rijks-CIO, maar een rijks-CTO. Houd hem/haar adviserend, maak er een ombudsman van. Alleen de belangrijke dingen moeten in de hiërarchie worden gestopt, en daar enkele mensen verantwoordelijk voor maken. Dan is het te behappen.
De heer Braakhuis (GroenLinks): U zegt eigenlijk dat een centrale informatiebaas er wel zou moeten zijn.
De heer Veldwijk: Absoluut. De gegevenshuishouding van de overheid moet absoluut in één hand liggen.
De heer Braakhuis (GroenLinks): Dat is dan een verlicht despoot.
De heer Veldwijk: Nee, dat is iemand die gewoon business cases bouwt. Ik heb zelf pro bono als burger heel veel effort gestoken in de polisadministratie. Daar worden terecht gegevens opgeslagen. Ik zie vervolgens dat die gegevens weer aan anderen worden doorgegeven. Maar we hadden afgesproken om dat te centraliseren. Waarom moet ik daar als deskundig burger op wijzen? Dat soort basale discussies wordt nu gevoerd, waar ik de Kamer heel weinig in zie. Laat het aan de markt over. Vijf mislukkingen en vijf successen zijn veel beter dan 99 mislukkingen en één succes.
De heer Boonstra: Voorzitter. De vraag was, wat centraal moet en wat decentraal. Je hebt een aantal centrale uitgangspunten nodig: een toetsingskader waaraan de ICT moet voldoen. Ik denk dat een aantal principes is te noemen waaraan een applicatie sowieso moet voldoen om er überhaupt mee te beginnen. Ik denk dat je als rijksoverheid op centraal niveau best een aantal principes en uitgangspunten kunt formuleren, niet zijnde op applicatieniveau. Dat hoeft geen bureaucratisch geheel te worden, maar gewoon een aantal gezonde uitgangspunten. De toetsing zou je kunnen overlaten aan een CIO of een CTO. Hij of zij checkt of er geen wildgroei plaatsvindt op het gebied van ICT. Dat gevaar is namelijk levensgroot. Dat is kaderstellend, en daarbinnen zou je applicaties moeten kunnen laten ontstaan, dichtbij het primaire proces. Je hebt een globaal bestemmingsplan met uitgangspunten nodig. De gedachte van een rijksbouwmeester op IT-gebied spreekt me aan, die toetst. Vervolgens zou je lokaal en decentraal applicaties moeten kunnen ontwikkelen. Over de roep om een dictator het volgende. Ik snap, kijkend naar wat er allemaal rond de ICT gebeurt, wel dat er behoefte is aan regie en een sterke arm ter regulering, maar tegelijkertijd maakt een sterke regisseur dat andere partijen achterover gaan leunen. Ik wil dat idee dus niet zomaar omarmen.
De heer Biskop (CDA): Voorzitter. Er is iets gezegd over machtsko-lommen, en over een project dat 270 mln. heeft gekost en voor 1 mln. kon worden gerepareerd. Projecten lopen wel eens de verkeerde kant op. Als je dan kijkt naar de aansturing en de uitvoering gaat het erom, of wij de goede vragen stellen. Ik stel die vragen aan de heren Heeneman en Veldwijk.
De heer Elissen: Voorzitter. Ik heb een vraag aan de heren De Bruijn en Van Holst. Ik werd getriggerd door het voorbeeld van de openhaardsessies bij RWS: sturen op vertrouwen. Vertrouwen moeten we overigens niet gelijk stellen aan polderen, want daar neigt het vaak toe. Mijn insteek: vertrouwen is goed, maar controle is beter. Wie stuurt er op het resultaat? Graag ook in de context van centraal/decentraal.
De heer De Lange (PvdA): Voorzitter. Ik heb een vraag aan de heren Weijman en Veldwijk, ook over sturen op vertrouwen. Is voor een vertrouwensrelatie niet een zekere symmetrie nodig in kennis en begrip van de materie? Uit eigen ervaring weet ik dat er sprake is van een nogal zware asymmetrie in begrip van de materie. Als voorbeeld noemde ik Oracle.
De heer Veldwijk: Voorzitter. De markt is verstoord, en de ultieme verstoring is dat er belangen zijn dat dingen mislopen. De markt disfunctioneert omdat, als er zaken mislopen, je vervolgens de vraag stelt wie er hebben verloren en gewonnen. Heel vaak zie je alleen maar winnaars. Pak maar een willekeurig mislukt project. De kosten daarvan komen terecht bij mijn vakgenoten, maar ook bij ambtenaren. Het ambtelijke apparaat dat zich bezighoudt met ICT is gigantisch. Zij worden uiteindelijk niet slechter van mislukkingen. Zijn dat boeven? Nee, dat is niet zo. Ik ken mensen genoeg die de laatste tien jaar alleen maar aan dingen hebben gewerkt die niet tot werkende software hebben geleid. Dat is heel deformerend voor je vakmanschap. Een deel van die mensen verdwijnt namelijk, en gaat niet meer voor de overheid werken, en een ander deel gaat dat justificeren. Dat maakt de zaak echt kapot. Uiteindelijk zul je toch een situatie moeten creëren waarbij er een asymmetie is, en waarbij de schade voor de overheid ook moet leiden tot schade voor de uitvoerende partijen. Dat zijn precies de partijen die zeggen: ja, ik mocht alleen maar met ja antwoorden op uw vraag. Die partijen zijn niet oninteger, maar ze willen gewoon hun werk doen. Als ik praat met collega’s op de werkvloer hoor ik: we zijn binnengekomen, en we dachten dat we het wel bij zouden sturen. Dat werkt tot op zekere hoogte ook wel. In bijna alle gevallen zijn de aanbestedingen gebaseerd op fixed prices, wat niet helemaal hetzelfde is als resultaatverantwoordelijkheid, maar het komt wel in de buurt. Na een paar maanden is er geen fixed price meer. Alle extra euro’s die de overheid eraan uitgeeft, komen dan terecht bij mijn vakbroeders en bij een heel groot, steeds verder groeiend ambtelijk apparaat. Die hebben er dus belang bij. Ik noem als voorbeeld het bekende WIA-project, dat mislukte. Officiële schade is 89 mln. Een week later was het verhaal: we komen 60 mln. tekort bij de centrale ICT-afdeling. Toen begreep ik waarom ik nooit antwoord kreeg op mijn mails dat het project de mist in ging. Over symmetrie en asymmetrie het volgende. De overheid wil alleen maar met grote organisaties samenwerken. Daarmee maakt de overheid de markt kapot. De business is heel kapitaalextensief: heel grote dingen kun je met heel weinig mensen doen, maar de overheid werkt zoals gezegd alleen met grote partijen. Omdat er geen businesslogica is, zie je vervolgens weer dat die grote partijen massaal zzp’ers inhuren. Dan is het cirkeltje weer rond. Economisch is het volstrekt irrationeel wat er gebeurt. Dit is een voorbeeld van perverse symmetrie. Je zult als overheid veel meer belangentegenstellingen, zero-sumgames, moeten organiseren. Als iets misgaat, heeft iedereen daar baat bij. Ja, een abstractie als de belastingbetaler heeft er last van. Er ligt ook een aantal zaken in de designsfeer. Als de noord/zuidlijn mislukt, dan snapt iedereen dat. Maar zodra het IT is, ligt dat anders.
De heer Van Holst: Voorzitter. Mij is een vraag gesteld over vertrouwen. Ik vrees dat dat geen kort antwoord wordt. Om te beginnen een anekdote. Ik was ooit op een congres over inkoop van ICT, waar een leverancier zich beklaagde over een gebrek aan partnerschap in de markt. Een grijze dame stond toen op die zei: mijnheer, ik heb maar één partner, en die zit thuis. Dat vond ik wel een heel helder standpunt. Dit ter nuancering van alle standpunten tot dusverre over pps. We moeten ons wel realiseren dat er iets opgeleverd en iets afgenomen moet worden. Ik denk dat er zeker een noodzaak bestaat van meer dialoog, zowel vooraf in de aanbesteding als tijdens de uitvoering, in de regiefase. Maar voor een dialoog moeten mensen elkaar kunnen begrijpen. Het moet geen gesprek zijn tussen een kleuter en een volwassene, maar daar is vaak sprake van. Ik denk dat het weinig zin heeft om je op pps te concentreren zolang de symmetrie in kennis er nog niet is. Verder komt het vertrouwen aan de aanbodzijde er niet zolang er tegenstrijdige eisen worden opgestapeld, waarbij de antwoorden vanuit de markt niet geverifieerd worden. Ik herken heel sterk wat eerder is gezegd, namelijk dat je geen nee kunt zeggen tegen een aanbesteding, omdat je dan de klus niet krijgt. Je voelt je als ondernemer verantwoordelijk voor je mensen. Dat stapelen van die vragen heeft heel sterk te maken met het onvermogen binnen de overheid om bewuste keuzes te maken ten aanzien van de eigen organisatieprocessen. In een architectuurraamwerk zoals NORA zie je alleen architectuurprincipes, want er ontbreekt consensus over hoe de processen eruit zien. Ik kan u verzekeren dat bij de grote multinationals een handboek klaar ligt met hoofdlijnen voor de uitvoering van processen. Dan heb je dus houvast. Dat vraagstuk laat de overheid aan de markt over. Dan krijg je dus het bekende schaap met de vijf poten. Ik heb vaak bewondering voor het feit dat de markt er überhaupt chocola van kan maken. Dat er in de uitvoering veelal nog iets uitkomt, is nog knapper. Het vraagstuk van de overheid die kritisch naar haar eigen huishouding kijkt vanuit procesperspectief, is noodzakelijk om uiteindelijk terug te kunnen komen bij het vraagstuk van vertrouwen. Tot die tijd zullen we in dezelfde cirkel rond blijven dartelen. Juristen in overheidsland trekken in het algemeen een te grote broek aan. Dat heeft wederom te maken met het feit dat er geen keuzes gemaakt worden en dat moeilijke vragen vooruit worden geschoven naar de vraag of het mag of kan. Daarbij wordt men geconfronteerd met aanbestedingen die in vraag- en aanbodfase in hoge mate door juristen worden aangestuurd. Als juristen in overheidsland een te grote broek aantrekken, komt dat omdat ze daarvoor structureel te veel ruimte krijgen.
De heer De Bruijn: Voorzitter. Er wordt op dit moment overigens al met de markt gesproken: de rijks-CIO doet dat al. We moeten wel constateren dat dit soort dingen een lange adem heeft. Bij RWS is men een jaar of acht geleden begonnen met het principe te huldigen van de markt, tenzij, wat met heel veel vallen en opstaan gepaard is gegaan. Natuurlijk zijn er in pps-projecten heel duidelijke afspraken over verantwoordelijkheden en wie wat oplevert. Het gaat erom dat er gelijkwaardigheid qua niveau bestaat. Stuur je op verantwoordelijkheden, en investeer je op het hoogste niveau? Weet de legerleiding bij de overheid makkelijk toegang te krijgen tot de directiekamers van de ICT-partners? Zorg ervoor dat je veel meer mensen uitwisselt tussen publiek en privaat. Leer van het boek De Prooi van Jeroen Smits: we hebben de afgelopen jaren veel te weinig mensen uitgewisseld, waardoor iedereen vanuit zijn eigen koker en optiek naar elkaar zit te kijken. Daarmee staat het gemeenschappelijk winnen veel te weinig op de agenda.
De heer Heeneman: Voorzitter. Stellen Kamerleden de juiste vragen? Nee. Als je het niet ziet, wil dat niet zeggen dat het er niet is. Zwaartekracht zie je niet, maar het is er wel degelijk. Heel veel dingen worden niet gezien. In het laatste rapport over grote ICT-projecten zie ik heel veel niet-gelukte ICT-projecten er niet in staan, of omdat ze een andere naam hebben gekregen, of omdat is geconstateerd dat het geen ICT-project is, terwijl 80% tot 90% van de dingen die niet zijn gelukt bestaat uit ICT-projecten. De ICT-projecten bij de politie komen in het hele rapport niet voor. Ik heb voor 1,6 mld. aan ICT-projecten die ik af en toe voorbij zien komen niet genoemd zien worden in het rapport. Betalen voor mobiliteit is een 100%-ICT-project, maar ik heb het niet gezien.
Er zijn zoveel gestapelde diensten bij de overheid die ooit zijn ontstaan door de Kamer of door de uitkomsten van rapporten, diensten die nooit meer worden opgeheven. In 2002 hadden we het ICTU, dat alles moest koppelen. Vervolgens kwamen heel veel andere initiatieven. Hoezo centralisatie? Het geld zit altijd daar waar degene die iets met een project gaat doen er niet bij kan. Er zijn geloof ik 40 vormen van geld binnen de overheid: geoormerkt geld, geprioriseerd geld, geoormerkt geprioriseerd geld, enzovoorts. Dat komt omdat de ICT een sluitpostje is waar men ook nog iets mee moet, terwijl het de generator is van heel veel hervormingen. Het gaat om de hele informatiseringsketen: welke informatie wil je waarvoor hebben. We proberen het werk van de typekamer in de ICT terug te krijgen. Het antwoord op de vraag van de heer Biskop is dus nee, want er zitten te veel factoren in waardoor het bijna onmogelijk wordt om voor iedereen het totale speelveld te kunnen overzien. Ik hoop dat wij als specialisten daaraan een bijdrage kunnen leveren.
De heer Weijman: Voorzitter. Vertrouwen komt te voet en gaat te paard. Ik denk niet dat er kennis aan beide zijden nodig is voor het opbouwen van een vertrouwensrelatie. Leveranciers die overal ja op zeggen, dienen voor een bepaalde periode te worden uitgesloten. Wij doen wereldwijd aanbestedingen. Als wij daarbij liegen, is standaardprocedure een uitsluiting voor vijf jaar van iedere overheidsaanbesteding. Een heel simpel regeltje, dat je wel moet durven handhaven. Daar moet wel iemand verantwoordelijkheid voor nemen. En je moet rugdekking krijgen van de Tweede Kamer. Als wij te maken krijgen met een ouderwets degelijke klant, dan gunt hij je een opdracht. Er is altijd een gunaspect, die te veel wordt verwijdert. Dat gunaspect zou weer terug moeten keren. Een aantal grote partijen huren legers zzp’ers in, want daar zit de echte kennis. Als een klant erachter komt dat zijn leverancier hem voor de gek houdt, dan is het voor de eerste tien jaar exit. Als er kennis van zaken bij een klant is, maakt dat het gesprek een stuk makkelijker. Onze eerste klant, vijftien jaar geleden, was de grootste bank van Zwitserland. Daar tref je een Executive vice-president aan in de Raad van Bestuur die precies weet waarover hij praat. Dan ben je dus heel snel klaar. Maar je staat ook heel snel buiten, en je hoeft niet meer terug te komen als je dat soort klanten voor de gek houdt. Dan maakt het niet veel uit of die klant wel of geen kennis van zaken heeft, in de onderhandelingen en de techniek is het een groot voordeel als de klant dat wel heeft. Heeft hij het niet, dan moet de klant heel duidelijk maken: ik geef u vertrouwen. Je moet immers eerst geven om te kunnen ontvangen. Als u het vertrouwen beschaamt, is dat de consequentie. Zo zou ik hem willen insteken.
Mevrouw Gesthuizen (SP): Het klinkt heel logisch, maar zou het voor de commissie die een parlementair onderzoek gaat doen interessant zijn om te kijken hoe vaak dat wel voorkomt? Dus hoe vaak klanten beduveld worden door leveranciers?
De heer Weijman: Dat zou ik zeker doen.
Onderzoeksvragen
De voorzitter: Welke vraag willen de deskundigen stellen, en welke drie criteria worden gehanteerd?
De heer Zuurmond: Voorzitter. Ik mis het volgende: wat is de rol van politiek en beleid geweest? De vragen die u stelt zijn gesteld alsof het allemaal al goed bedacht is en alleen nog moet worden uitgevoerd, en wat er fout gaat in de uitvoering. De politiek en de beleidsafdelingen zijn de belangrijkste bronnen van de grote ICT-fouten. U moet veel meer upstream de vraag stellen wat uw rol is geweest in termen van wetgeving en beleid. De neiging in uw onderzoek is om anderen de schuld te geven, maar de fout is veel eerder gemaakt.
Een criterium is het kijken naar de manier van samenwerken tussen beleid en uitvoering. De Rijksdienst voor het Wegverkeer heeft wat dat betreft een goed trackrecord. Daar zit een heel goede politiek-ambtelijke combi.
Een volgend criterium is de vraag of er goed gebruik wordt gemaakt van de gegevensinfrastructuur. We praten te veel over ICT en te weinig over gegevens en informatie-infrastructuur. U moet vooral kijken naar de vraag of er goed gebruik is gemaakt van de informatie-infrastructuur.
De heer Weijman: Voorzitter. Ik zou als criterium willen gebruiken om te kijken naar die projecten die spelen in sectoren waar de overheid wordt geconfronteerd met enorme kostenoverschrijdingen. Denk aan politie en aan zorg. Dan praat je niet meer over klein geld. Bij de politie is nog steeds geen sprake van een landelijk systeem, en er zijn al miljarden verspeeld. Een boef in Noord-Holland zal toch niet anders zijn dan in Zuid-Holland, zou je denken. Maar er zijn wel 27 verschillende informatiesystemen. In welke sectoren is al sprake van druk op de budgetten, en ga daar eens kijken wat er met de ICT-projecten is gebeurd. Dat is voor mij het belangrijkste criterium. Ik vraag ook aandacht voor de rol van de politiek zelf. Ik breng in herinnering de Eerste Kamer en het epd. De Eerste Kamer heeft twee expert sessies georganiseerd om zich te laten informeren over het wel of niet doorgaan van het epd. Ik heb al die verslagen gelezen, en de experts waren eigenlijk min of meer unaniem. De Eerste Kamer besluit unaniem tegen. Welk belangenspel heeft daar in vredesnaam gespeeld? Ik ben daar heel direct bij betrokken geweest, en dat is mij nog steeds niet helder. Maar dat er iets niet klopt, is mij wel duidelijk. Wat?
De heer Veldwijk: Voorzitter. Ik heb aan mijn zienswijze een matrix toegevoegd van criteria van projecten. Wat dat betreft is dat redelijk panklaar. Wat mij betreft zet u die op de site, want het zou goed zijn als we daar breder over discussiëren. Los van criteria heb ik over projecten aangegeven dat je moet oppassen niet alleen maar te kijken naar mislukte projecten. Er zijn er veel meer dan zichtbaar is, maar het is nog veel erger, want er zijn ook heel veel systemen die het gewoon niet doen. Ik zie voortdurend businesscases die ik niet snap. Dan moet je als politiek bestuurder toch echt bij jezelf zijn. Een project gaat op twee plekken mis: in het begin – er is geen business case, waarmee het project eigenlijk al mislukt is – en op het laatst, als er enorm veel geld wordt uitgegeven om de zaak politiek boven water te houden, wat nooit lukt. Daar zit de winst. Ik waarschuw tegen de gedachte dat de politiek geen mislukkingen meer kan hebben. Ook in het bedrijfsleven gaat er ontzettend veel mis. Het verschil met de overheid is de enorme schaal waarop de zaak wordt opgeblazen als ze politiek belangrijk zijn. Ik praat dan over twee of drie keer zo groot. Een bestuurder zou de credit moeten krijgen als hij de stekker uit een project trekt. Dat kun je meten.
Een van de dingen die je verder nog bij de overheid ziet, is het keten-denken. Erg mooi vanuit instituties. Je ziet daar heel veel dingen misgaan. Een flauw voorbeeld: de informatievoorziening van NS en ProRail is een hightechverhaal geworden. Overal waar je ketens creëert binnen een bestaande structuur ga je aan de slag met mislukte IT-projecten. Wat onderzoeksvragen betreft, denk ik aan de eindfase van mislukte projecten. Wanneer wist iedereen dat het ging mislukken, wanneer is het uiteindelijk gestaakt en hoeveel geld is er toen uitgegeven?
Mevrouw Schönfeld: Voorzitter. Ik sluit aan bij wat de heer Zuurmond zei over de rol van de Kamer. Ik voeg daaraan toe dat het belangrijk is dat de Kamer gaat nadenken op wat voor manier ze haar informatie krijgt. Er wordt vaak gesproken over hoe je de informatie krijgt, hoe groot de projecten moeten zijn et cetera. Zoals ik al eerder zei, moet die informatie helder en gericht op de aansturing zijn, want daar gaat het mis. Of het nu grote of kleine projecten zijn: de Kamer moet ervoor zorgen dat de mensen naar de Kamer komen die verantwoordelijk zijn. Die verantwoordelijkheid is op zichzelf al een probleem.
Mijn criteria: het is heel belangrijk dat wordt gekeken naar projecten waar sprake is van samenwerking tussen verschillende organisaties. Er is verkokering en een grote autonomie van verschillende organisaties, wat de manier van samenwerking en de faalkans buitengewoon beïnvloedt. Wellicht een open deur, maar toch is het belangrijk dat daar de vinger op wordt gelegd.
Het lijkt me goed om te kijken wat het verschil is tussen de grote, duidelijk vanuit de Kamer geïnitieerde projecten en de projecten die duidelijk geïnitieerd zijn vanuit de ambtenarij. De ambitie van de Kamer moet duidelijk onder de loep worden genomen.
In mijn zienswijze staat dat dit een beladen onderwerp is. Voor mensen die in mislukte IT-projecten hebben gezeten is het niet makkelijk om daarover te praten. Ik raad u aan pensionados op te zoeken voor de beantwoording van de vragen, omdat ze niks meer te verliezen hebben en vaak een wat afstandelijker visie hebben, waarvan veel geleerd kan worden.
De heer Van Holst: Voorzitter. Ik heb in mijn zienswijze meerdere vragen aangegeven die ik nog mis in het onderzoek. Eentje wil ik benadrukken: een fundamentele hygiënefactor om te kunnen sturen op effectiviteit van ICT-projecten is het krijgen van een beter beeld van de kosten van de ICT bij de overheid. De laatste keer dat de Algemene Rekenkamer daarnaar keek, was het antwoord: we weten niet wat het kost, vanwege de diverse antwoorden die we krijgen van de ministeries. 80% van de ICT-kosten in de privaatrechtelijke sector is bestemd voor instandhouding. Het overgrote deel van de grote projecten zijn vervangingsprojecten. De businesscase kun je niet berekenen als je niet weet wat de kosten zijn van wat je gaat vervangen. Dat lijkt me een essentiële. Bij de criteria voor projecten zou ik toch nog steeds eerst naar de financiële omvang kijken. Verder noem ik de impact op de samenleving, waarbij de ov-chipcard een mooi voorbeeld is. Ook denk ik aan die projecten waarbij veel actoren binnen en buiten de overheid een rol spelen. Ook daarvan is de ov-chipcard een goed voorbeeld. Bedenk wel dat onderzoeken naar de bedrijfsvoering ook beladen zijn voor ambtenaren. Ook al zijn ze heel loyaal naar de Kamer toe, ze zien de bedrijfsvoering vaak als hun feestje, waar ze nog een beetje veilig zijn voor de hete adem van de Kamer. Het enthousiasme om hieraan mee te werken zal niet reflexmatig even hoog zijn als bij meer primaire beleidsterreinen.
De heer Heeneman: Voorzitter. Een vraag die ik een beetje mis, is hoe de hele financiële risicoanalyse gemaakt over het traject voor, tijdens en na. Je ziet vaak dat er heel veel onderdelen bij ICT-projecten aanwezig zijn – opleiding en herstructurering – maar ICT is ook een procesverandering, een organisatiewijziging. Die zie je vaak niet, ook niet in de risicoanalyse. Mensen zullen anders moeten gaan weken als men ICT krijgt, en men zal moeten worden herschoold. Soms ontdekt men dat pas als het geïmplementeerd is. Voor welk probleem wordt een oplossing gezocht? Hebben we nu de oplossing die het probleem heeft opgelost, of hebben we veel meer problemen? De drie criteria: financiën, tijd, actoren, zoals bij elk project.
De heer Dijkstra: Voorzitter. Er is zojuist gezegd dat je juristen niet te veel ruimte moet geven, want dan schieten IT’ers tekort. Toch wil ik een juridisch aandachtspunt aan u meegeven. Zowel voor de opdrachtverlening als voor de uitvoering van IT-contracten geldt dat je binnen de grenzen van het aanbestedingsrecht zult moeten blijven en dat een aantal van de problemen die hier uitvoerig zijn belicht mede hun oorzaak vinden in de aanbestedingsaanpak. Het zou dus goed zijn om, als u op zoek gaat naar mogelijkheden voor verbetering, ook te kijken welke rek er in dat kader zit om de mogelijkheden om de dialoog te benutten, te maximaliseren, er zo voor zorgend dat de verbetertrajecten ook daadwerkelijk juridisch houdbaar zijn. Want het is ook een heel contentieuze omgeving. Er wordt best wel veel geprocedeerd, wat de overheid heel veel geld kost. Je moet je grenzen dus goed in acht nemen. Het zou goed zijn om te kijken of zo’n dialoogaanpak werkt. Verder zou ik de vraag opwerpen wat de maximale ruimte is die het aanbestedingsrecht biedt om de suggesties die hier door inhoudelijk-deskundigen worden gegeven, ook daadwerkelijk vorm te geven.
De criteria rollen daaruit voort: wat zijn de dialoogprojecten geweest, hebben die goed gewerkt en kunnen we daarvan iets opsteken.
De heer De Bruijn: Voorzitter. Ik heb in mijn stuk al aangegeven dat ik de onderzoeksvraag iets breder wil formuleren. Ik zou die vraag vooral niet richten op ICT, maar op informatievoorziening: weg van die techniek en veel meer kijken naar de toepassing. Dat zou ertoe kunnen leiden dat het onderzoek een mooie enabler kan zijn om de komende jaren echt fors te gaan investeren op dit terrein. Ik adviseer de commissie vooral om te kijken naar succesvolle projecten, want die zijn er ook. Kijk naar de maatschappelijke baten, want we zijn er als ICT-sector ontzettend slecht in om inzichtelijk te maken wat de maatschappelijke baten van projecten zijn. De kosten zijn interessant. Als we praten over output, zou ik zeggen: laten we daar vooral naar kijken, want daar zullen we de komende jaren enorme slagen in moeten maken, willen we het welvaartsniveau in dit land vast kunnen houden. Kijk eens waar beleidsmedewerkers in een nieuwe rol hebben gezeten. Ik doel niet op mensen die in splendid isolation mooie plannen hebben bedacht om het vervolgens over de heg te kieperen bij de ICT’ers. Ik zou vooral aandacht besteden aan de rol van de CIO, waarbij de I vooral niet staat voor ICT, maar voor informatievoorziening, of misschien wel voor innovation officer. De C van de chief staat voor iemand die lid is van het hoogste gremium, dus niet voor iemand die driehoog achter zit.
De heer Boonstra: Voorzitter. De verleiding is groot om de focus te leggen op mislukkingen en tot een soort klaagzang te komen. Maar mijn suggestie zou zijn om te komen tot een kader van criteria waaraan toekomstige ICT-projecten moeten voldoen, een soort toetsingskader. Dat toetsingskader zou kunnen worden afgeleid van een analyse van projecten die hebben plaatsgevonden, waarbij ik aansluit bij de heer De Bruijn om niet alleen te kijken naar mislukte projecten, maar ook naar projecten waarbij het goed is gegaan. Mislukt en goed zou daarbij gespecificeerd moeten worden. Het valt mij in het onderzoeksvoorstel op dat het soms gaat om financiële mislukkingen dan wel successen, maar de effectiviteit ontbreekt, waardoor het allemaal wat warrig wordt. Waar richt het onderzoek zich nou echt op?
Ik denk dat je inderdaad moet gaan begrenzen. Complexiteit zit vaak in de samenwerking tussen vele actoren, dus niet alleen binnen een bepaalde rijksdienst of met leveranciers, maar ook met allerlei andere organisaties. Daar treden vaak problemen op. Daar zou je eigenlijk moeten komen tot criteria waaraan in de toekomst moet worden voldaan. Ook zou een project aan een bepaalde omvang moeten voldoen, want anders wordt het een bonte stoet aan onvergelijkbare projecten.
De voorzitter: Nu gaan de Kamerleden de vragen stellen
De heer De Lange (PvdA): Voorzitter. Mijn conclusie is dat we de juiste onderzoeksvragen nog niet te pakken hebben. Daarin werd ik bevestigd door onder anderen de heer Zuurmond. We zijn te veel downstream aan het kijken, terwijl de wezenlijke problemen op een ander vlak zitten.
De heer Elissen (PVV): Voorzitter. Ik heb een vraag aan de heren Weijman en De Bruijn. Kunnen zij een vraag formuleren waarbij we scherp krijgen hoe het zit met de sturing, en misschien vooral de sturingsconflicten, tussen de diverse lagen binnen de overheid? Ik heb zelf het gevoel dat daar een probleem zit.
De heer Biskop (CDA): Voorzitter. Bij het kopje aansturing en uitvoering zei de heer Heeneman al dat we niet de goede vragen stellen. Hem vraag ik nu: formuleert u even de vragen die wij wel moeten stellen.
De heer Braakhuis (GroenLinks): Voorzitter. Het lijkt mij dat we als overheid precies sturen op het verkeerde en uitvoering geven aan wat we niet moeten doen. Wat we wel moeten doen, doen we niet, namelijk sturing geven aan informatiemanagement, op het vraagniveau, dus het in kaart brengen van werkprocessen. Daar wil ik graag op ingezoomd hebben in de vragen. Hiermee gaat de oplossing beginnen. Ik stel die vraag in ieder geval aan de heer Boonstra, maar ook aan de heer Veldwijk. Hoe krijgen we daar de vinger achter?
De heer De Bruijn: Voorzitter. De vraag is in welke mate de sturingsconflicten tussen de overheidslagen kunnen worden opgelost. Ik denk dat dat helemaal niet zo ingewikkeld hoeft te zijn. Als je het gemeenschappelijk winnen heel nadrukkelijk naar voren brengt, dan komt het vanzelf. Als je inspeelt op concrete behoeftes – daar zijn prachtige voorbeelden van – dan gaat het vanzelf, dan zit niet iedereen vanuit zijn eigen koninkrijk naar elkaar te kijken. Als je in staat bent om met elkaar een scherp doel voor alle ketenpartners te definiëren, je hebt de juiste mensen aan tafel en je speelt in op concrete behoeftes, dan gaat het vanzelf.
De heer Weijman: Voorzitter. De vraag is helder, het antwoord is niet voor de hand liggend. Ik wil de vraag terugnemen als huiswerk.
De heer Elissen (PVV): Ik heb een verduidelijkende vraag. Ik zie uit naar het antwoord van de heer Weijman. Tegen de heer De Bruijn: mijn vraag was niet zozeer gericht op de oplossing, maar veel meer welke onderzoeksvraag wij moeten hanteren om de juiste onderzoeken te selecteren op dat element van sturing, c.q. sturingsconflicten tussen de diverse overheidslagen.
De heer De Lange (PvdA): Ook van mijn kant een verduidelijkende vraag. Kunnen alle genodigden vragen die nog bij ze opkomen als ze straks thuis zijn, naar ons toesturen?
De heer De Bruijn: Voorzitter. Ik denk dat het heel goed is om in te zoomen op die trajecten waar het moeizaam gaat. Haal daar een paar voorbeelden bij elkaar waarin die verschillende ketenpartners onvoldoende met elkaar samenwerken, en kijk in hoeverre je kunt leren van de voorbeelden waarin het wel succesvol is.
De heer Heeneman: Voorzitter. Aan mij is wel een heel open vraag gesteld. Ik denk dat de heer De Lange daar indirect via zijn zijvragen al antwoord op heeft gegeven. Zoals wij hier aan tafel zitten, kunnen wij best nog wel wat vragen neerleggen. Aan u om te kijken of u ze wel of niet wilt gebruiken. Er zijn overigens heel veel vragen waarop de antwoorden weer nieuwe vragen opleveren. Er is echt sprake van een keten. Soms moet je wat schakels uit een fietsketting halen als die ketting er steeds afloopt.
De voorzitter: Als er nog vragen bij de genodigden opkomen, kunnen ze die mailen naar de griffier, bij voorkeur voor dinsdag, eind van de dag. Wij zouden daar zeer erkentelijk voor zijn.
De heer Boonstra: Voorzitter. Er is gesteld dat de vragen op een hoger niveau zouden moeten worden getild. Welke besturingsprincipes zouden daarbij gehanteerd moeten worden?
De heer Braakhuis (GroenLinks): Het gaat mij erom dat de ellende blijkbaar begint met verkeerde governance. We kunnen van alles verzinnen, maar dat doet allemaal niet terzake als we het qua governance niet op orde hebben. Op de dingen die we nu centraal sturen, zouden we nu net niet centraal moeten sturen, maar veel eerder op eenduidigheid van informatiestromen en -beheer.
De heer Boonstra: Het is de vraag of je vanuit de projecten op de antwoorden komt. Het zou heel goed kunnen dat het bij de projecten helemaal niet goed is gegaan. De diagnostische vraag bij de projecten die geanalyseerd worden, zou zijn: welke besturingsfilosofie zat daarachter, en zouden die overeenkomen met een eventueel toetsingskader dat je gaat ontwikkelen? Je zou projecten als het ware kunnen scannen op bepaalde punten, waarbij het ene project dichter bij dat bestemmingsplan komt dan het andere project. Maar dan moet je wel weten waar je naar toe wilt. Daar geven die projecten misschien helemaal geen antwoord op. Vandaar dat u niet weet of alleen maar door het analyseren van projecten je tot beantwoording van de vraag komt.
De heer Braakhuis (GroenLinks): Dat is toch waar ik u om vraag. Ik meen namelijk dat één van de conclusies van het parlementair onderzoek zal moeten zijn dat we het bestuurlijk anders moeten inrichten. Dat is waar de Kamer nu net wel invloed op moet uitoefenen.
De voorzitter: Misschien kunt u de vraag ook uiterlijk dinsdag beantwoorden?
De heer Veldwijk: Voorzitter. Nederland is een informatiemaatschappij aan het worden. Op een gegeven moment moet je je gaan afvragen of de institutionele decompositie nog wel handig is. Die wordt voortdurend als een gegeven genomen, terwijl ik het daar voortdurend zie mislukken. Ik heb minister Donner na het mislukken van het project van de loonaangif-teketen was mislukt horen zeggen: er zijn genoeg toezichthouders, dat hoeven wij als overheid niet te doen, daar moeten we een externe toezichthouder voor gaan inhuren. Dat is de bestuurlijke werkelijkheid. Heel veel overheden kun je heel goed vergelijken met complexe bedrijven als banken en verzekeraars, waar het ook heel vaak heel erg fout gaat. De handigste methode is om niet allerlei zaken als een gegeven te beschouwen, maar als variabel. Dat klinkt heel simpel, maar daarbij raak je allerlei belangen. Daar valt enorm veel mee te doen. Ik neem afstand van de heer De Bruijn met zijn gedachte om beter met elkaar te communiceren. Allemaal prachtig, maar uiteindelijk gaat het om belangen. Bedrijven hebben er vaak belang bij om niet met elkaar samen te werken. Op macroniveau hebben we allemaal hetzelfde belang, maar zo werkt het gewoon niet. Waar zijn overheden heel informatie-intensief bezig, en moet je de boel niet anders gaan verdelen?
Een andere heel makkelijke opmerking, is openheid. Wij zijn betrokken bij de modernisering van de GBA. Als ik daar iets over wil zeggen, zou ik eigenlijk langs onze juristen moeten om te vragen of dat wel mag. Dat is toch van de gekke? Aan de ene kant vinden we dat alles open moet zijn, maar dingen die we bouwen zijn zo gesloten als de pest. Ik probeer er al tijden achter te komen hoe het toeslagensysteem van de Belastingdienst in elkaar zit, maar daar kan ik niet achter komen. Open die zaak, tenzij er een veiligheidsreden is om dat niet te doen. Dan ga je tegenkrachten organiseren die er nu niet zijn.
Mevrouw Hachchi (GroenLinks): Voorzitter. Er is nog één punt niet aan de orde geweest, iets waarover de heer Boonstra het in zijn schriftelijke inbreng wel heeft gehad. Overheid is een containerbegrip. Ik vraag mij af of we in ons onderzoek rekening moeten houden met de verschillende overheidslagen. Die vraag wil ik ook aan de heer Veldwijk stellen.
Mevrouw Gesthuizen (SP): Voorzitter. Ik heb een vraag aan de heer Zuurmond, die het meest duidelijk is in zijn onderbouwde kritiek op de aanpak van de Kamer. Wij zien ons geconfronteerd met het feit dat dé overheid natuurlijk niet bestaat, en hét bedrijf in dé ICT eigenlijk ook niet. Het zijn allemaal verschillende zaken. Dé politiek bestaat eigenlijk ook niet. Bij een parlementair onderzoek kijk je als Kamer naar de rol die jezelf hebt gespeeld. Daar komen we wel uit, maar het is toch heel erg belangrijk dat we de goede projecten selecteren, om een beeld te krijgen van hoe het nou zo verkeerd heeft kunnen lopen op een aantal plekken. De heer Zuurmond sprak onder andere over meer samenwerking tussen beleid en uitvoering, en het gebruik maken van de informatiestructuur. Wellicht heeft hij nog meer goede suggesties.
De voorzitter: Ik heb een vraag aan de heren Heeneman en De Bruijn. Welke onderzoeksvragen zouden zij acuut uit het lijstje van de commissie schrappen?
De heer Boonstra: Voorzitter. Er is mij gevraagd of ik het begrip overheid als containerbegrip meer wil specificeren. Ik denk dat die precisering meer zou moeten plaatsvinden op het type project waarop het onderzoek zich richt. Ik begrijp dat het onderzoek zich zal richten op de rijksoverheid, maar het type projecten dat wordt genoemd ligt veel breder. Moet je dat niet beperken tot projecten bij de rijksoverheid? Dat is mijn advies. Vervolgens zou je over het type projecten kunnen spreken, waarbij ik denk dat de belangrijkste problemen zitten bij het aantal partijen dat daarin actor is. Ga daar op focussen.
De heer Veldwijk: Voorzitter. Ik zou een heel referaat kunnen houden over de verschillen tussen allerlei soorten overheden, maar de uitdaging is juist om dingen zo simpel mogelijk te krijgen. Ik denk dat de overeenkomsten tussen overheden heel erg groot zijn. Het Waterschapshuis is iets bijzonders, maar doe toch maar niet. Houd het simpel. Waar is sprake van moeilijke ketens en perifere software? Daarbij kom je verschillende soorten overheden tegen. Als ik toch één ding moet noemen: zbo’s versus niet-zbo’s. Ik denk dat je bij nader onderzoek heel veel verschillen ontdekt in de kwaliteit van aansturing.
De heer Zuurmond: Voorzitter. Inderdaad, dé overheid en hét ICT-bedrijf bestaan niet, evenmin als dé politiek. Je moet meer in processen denken dan in personen. Ik gebruik het voorbeeld van het scheef wonen: het zou heel nuttig zijn om even terug te ploegen naar de vraag waar dat idee is geboren. Wie heeft dat punt in de onderhandelingen naar voren gebracht en hoe is het verder naar de beleids-DG’s gegaan? Ik bepleit een veel meer procesmatige benadering. Dan zult u zien dat wetgevingsjuristen gekke dingen hebben gedaan. Als ik na een lezing in mijn eentje eet, dan is die lezing succesvol geweest. Het beste was mijn lezing voor 150 wetgevingsjuristen. Ik heb ze uitgelegd dat het een discipline zonder discipline is. Wetgevingsjuristen houden zich niet aan belangrijke afspraken die voor hen gelden. In het hele proces rond het scheef wonen hebben wetgevingsjuristen begrippen geïntroduceerd waar de uitvoering niets mee kan. Wij weten bijvoorbeeld niet wat een gezin is. Als je in de wet een gezinsinkomen introduceert en je gooit dat over de muur van de uitvoering, dan zit iedereen daar met de handen in het haar. Het is een kleine casus, maar prachtig om uit te zoeken. Daarbij zie je dat er heel slecht is samengewerkt tussen beleid en uitvoering. Het beleid heeft een onuitvoerbaar idee bedacht en dat over de muur geflikkerd bij de uitvoering.
De andere casus is de Rijksdienst voor het Wegverkeer. Ik zie eigenlijk niet zozeer het verschil tussen zbo’s en niet-zbo’s. De departementen en uitvoeringsorganisaties die gedomineerd worden door juristen hebben een veel groter probleem als het gaat om ICT dan de uitvoeringsorganisaties die bijvoorbeeld worden gedomineerd door ingenieurs. De Rijksdienst voor het Wegverkeer heeft al vijftien tot twintig jaar een verschrikkelijk goede informatiehuishouding. De invoering van het nieuwe rijbewijs is zo vlekkeloos verlopen dat niemand het heeft opgemerkt. Die casus zou ik analyseren, daarbij de vraag stellend hoe het komt dat diezelfde club die zo graag een elektronische handtekening wil invoeren, daar niet in slaagt. Dan blijken met name de beleidsdepartementen dwars te liggen.
De heer Heeneman: Voorzitter. Ik heb twee vragen gevonden die wat mij betreft niet hoeven te worden gesteld. Wordt in de aanbesteding voldoende nagedacht over privacy en veiligheidsaspecten? Ik vind dat een rare scheiding, want ik zou daar alleen veiligheidsaspecten noemen. Die zijn al hard genoeg, dan komt privacy daar vanzelf wel onder. Dat zit overigens ook al verpakt in de vragen die daarboven staan. Ik zou die vraag dus iets nuanceren.
Een tweede vraag is de laatste: wat zijn de rijksbrede lessen uit ICT-projecten tot nu toe? Dat vind ik een heel aparte vraag. Er zijn 39 verhuisdozen met rapporten over ICT. Ik heb ze sinds 1993 tot ergernis van mijn wederhelft op zolder liggen. Daarin zitten heel veel rode draden. Een daarvan is: ga meer naar hybride modellen, maar je ziet dat nooit terugkomen. Als we deze vraag gaan stellen, ben ik bang dat al die rapporten weer langskomen, en dan wordt het zeker geen korte discussie. De richtlijnen voor de GBA zijn allemaal aangehoord en deels terzijde gelegd, en ze zitten niet meer in de huidige zaken. Ik weet niet of er een antwoord komt dat echt iets gaat bijdragen. Wat gebeurt er met al die rapporten?
De heer De Bruijn: Voorzitter. Ik zou proberen weg te blijven van het micromanagement. Ik vind een heleboel vragen toch weer gericht op details. Ik zou zeggen: kijk eens naar wat hoofdlijnen, ook in de sfeer van Einstein, die al wist dat je problemen niet moet oplossen op het niveau waar ze zijn ontstaan. Zorg ervoor dat dit onderzoek een enabler is om de komende jaren een aantal slagen te gaan maken, en voorkom dat we wegzakken in een angstcultuur of in allerlei andere dingen. Ik mis een zich richten op de top-80 van mensen in de informatievoorziening, zowel in de uitvoering als in het beleid. Dat zou een heel mooie aanvullende vraag zijn.
De voorzitter: Degenen die de moeite nemen om aan te geven welke vraag ze missen, kunnen uiteraard ook aangegeven welke vragen er volgens hen geschrapt moeten worden. We moeten immers ook opschonen.
Ik geef eenieder de gelegenheid tot een slotwoord, een statement.
De heer Boonstra: Voorzitter. Mijn statement zou zijn: keer het om, kijk naar de toekomst, en stel de vraag waar de projecten met een zware ICT-component aan moeten voldoen, en waar we globaal gezien heengaan. Niet te veel het accent leggen op terugkijken.
De heer De Bruijn: Voorzitter. Ik sluit me daarbij aan: zorg ervoor dat dit onderzoek een enabler wordt om in de komende periode de informatievoorziening enorme slagen te laten maken, want dat hebben we keihard nodig.
De heer Dijkstra: Voorzitter. Mij werd onlangs gevraagd om een retransitieplan te schrijven. Dat betekent dat je als opdrachtgever een waardeloos proces hebt. Ik hoorde de metafoor van de rijksbouwmeester: het zou heel goed zijn als dit onderzoek de vraag beantwoordt, hoe je ervoor zorgt dat je borgt dat alle opdrachtprocessen goed belegd wordt. Dat is nu namelijk niet het geval.
De heer Heeneman: Voorzitter. Richt u zich vooral op de informatievoorziening en de ketens daarachter. Je ziet daarin stapelingen, met processen die ook in de lijst staan. Het is eigenlijk één biotoop die het resultaat levert: informatie op de juiste plaats, bij de juiste persoon op het juiste moment. Al die projecten zitten in de ketens. Organisatie versus doelstelling: waar deden we het voor? Als er afdelingen zijn opgericht om problemen uit het verleden op te lossen, terwijl die problemen er nu niet meer zijn, haal die schakels er dan uit. De ketting van de racefiets loopt eraf. Ik geef als voorbeeld cyber: het is ongelooflijk met hoeveel initiatieven wij op dit gebied te maken krijgen.
De heer Van Holst: Voorzitter. Opdrachtgeverschap op alle niveaus: politiek en beleidsmatig. Vertaling naar wet- en regelgeving, naar organisatieprocessen, naar functionaliteit et cetera.
Mevrouw Schönfeld: Voorzitter. Waak tegen micromanagementbe-moeienis en concentreer je op hoe de Kamer blijvend een structurele rol kan spelen.
De heer Veldwijk: Voorzitter. Voor de korte termijn, volgend jaar, zou ik zeggen: haal taakstellend 3 mld. aan ICT-gelden weg, de helft structureel, de helft projecten. Ga er op een heel andere manier tegenaan. Voor de lange termijn: zorg ervoor dat iemand lijdt als dingen misgaan, en dat iemand ervan profiteert als dingen goed gaan.
De heer Weijman: Voorzitter. Ik sluit me uiteraard helemaal aan bij het laatste. Ja, naar voren kijken, maar willen we goed naar voren kijken, dan moeten we eerst leren van fouten uit het verleden. Ik sluit me aan bij de heer Zuurmond en zijn voorbeeld van het epd. Ik begrijp niet hoe het kan dat, als experts unaniem voor zijn, de Eerste Kamer unaniem tegen is. Ik kom zelf bij 30 zorginstellingen, en daar is het om te huilen. We kunnen daar miljarden besparen in de bedrijfsvoering. Als dat niet lukt, gaan we weer dezelfde fouten maken.
De heer Zuurmond: Voorzitter. Ik sluit daarbij aan. Mijn analyse van het epd-debacle zou zijn dat er geen visie was voor een deugdelijke informatiehuishouding. De Eerste Kamer heeft zich daar zorgen over gemaakt. Zolang die er niet is, hebben we een probleem. Het gaat om de informatiehuishouding en de effectiviteit van de toekomstige overheid, dus concentreert u zich daar op en niet op de ICT en de efficiency van de achterhaalde overheid.
De voorzitter: Ik denk dat de statements heel duidelijk aangeven waar de zorgen zitten. Ik wil iedereen heel hartelijk danken voor alle verstrekte informatie, maar ook voor alle openheid en duidelijkheid. Ik denk dat de commissie hiervan heel veel voordeel heeft. Wij zien heel graag de vragen tegemoet die volgens de genodigden echt gesteld moeten worden. Weest u ook heel kritisch op de nu genoemde vragen.
De expertmeeting wordt van 12.50 uur tot 13.30 uur geschorst.
De voorzitter: Ik heropen de expertmeeting.
Ik heet de deskundigen van harte welkom, en dank hen voor het feit dat zij tijd voor ons vrijmaken, en voor hun schriftelijke inbrengen, die buitengewoon nuttig zijn. Wij willen zoveel mogelijk kennis uit u schudden. Ik vraag u, de vragen van de leden kort en bondig te beantwoorden.
Mevrouw Gesthuizen (SP): Voorzitter. Ik heb een algemene vraag aan de heren Prins en Hetzscholdt. De vraag heeft te maken met een onderwerp dat net ook al is besproken, namelijk de mate van vertrouwen die nodig is tussen overheid en bedrijfsleven. Dat vertrouwen wordt nu aan de ene kant bekneld door aanbestedingen, terwijl aan de andere kant wordt benadrukt dat het niet altijd mogelijk is om elkaar helemaal op de blauwe ogen te vertrouwen, want dan kun je ook wel eens beduveld worden.
Mevrouw Hachchi (D66): Voorzitter. Ik heb een vraag aan de heren De Winter en Prins. De vraag gaat over benodigde openheid, zeker als er incidenten gebeuren, omdat zoals de heer De Winter al stelt, van elkaar leren heel erg belangrijk is. Wat gaat nu niet goed genoeg, en welke rol speelt ons onderzoek daarin?
De heer Biskop (CDA): Voorzitter. Ik heb een vraag aan de heer Verhoef. Hij geeft in zijn inbreng aan dat kosten en veiligheid elkaar bijten. Maar hoe verhoudt zich dat tot de budgetten die de overheid tot haar beschikking heeft? Die zijn namelijk niet eindeloos.
De heer Elissen (PVV): Voorzitter. Ik heb een vraag aan de heren De Winter en Broeders. Hoe goed beschermt de overheid gegevens van burgers? Is de overheid ook verantwoordelijk voor de gegevens van burgers die bij zbo’s worden opgeslagen? Als voorbeeld kan misschien worden ingezoomd op medische gegevens en de rol van de overheid daarbij.
De heer Prins: Voorzitter. Mij is een vraag gesteld over vertrouwen en het doen van aanbestedingen. Wij doen zelf eigenlijk zelden mee aan overheidsaanbestedingen, simpelweg omdat we die niet kunnen winnen, behalve als het wel goed gaat, met name bij opdrachten vanuit Defensie. Daarbij is veel vertrouwelijkheid vereist, vooral rondom het project. De opdrachtgever en leverancier kunnen daarbij dichter tegen elkaar aankruipen om te beschrijven wat het project moet doen. Dat zijn voorbeelden van projecten waarbij geld efficiënt wordt besteed, waaruit uiteindelijk veilige projecten voortvloeien. Dat kan alleen omdat er een discussie kan plaatsvinden tussen opdrachtgever en leverancier. Openheid over incidenten? Allicht kun je leren van incidenten en kunnen anderen daaruit lessen trekken en verbeteringen doorvoeren. In de praktijk zijn de lessen zo triviaal dat je niet per se incidenten nodig hebt om daarvan te leren. Een zekere mate van geheimhouding rond incidenten helpt wel. Ik denk dat het niet zo boeiend is om achteraf te analyseren waar de techniek heeft gefaald, het is interessanter om het proces daarachter te zoeken. Dat houdt niet in dat je een regel moet maken dat elk incident in de openbaarheid moet. Ik denk dat uit dit onderzoek van de Kamer heel veel lessen kunnen worden getrokken. Daarvoor is niet nodig om elk volgend incident tot op het bot te ontleden.
De heer Hetzscholdt: Voorzitter. Waar de problemen met name ontstaan, is waar opdrachtgevers heel snel switchen naar discussies over innovaties, tools, oplossingen en diensten en niet de tijd nemen om te kijken naar bijvoorbeeld de ervaring en omvang van bedrijven, en of men bijvoorbeeld weet wat het bedrijfssysteem van overheden is. Ik heb de luxe gehad om voor grote bedrijven te mogen werken. Mijn ervaring daarbij is dat zij vaak wel afdelingen hebben om met dat soort opdrachtgevers te dealen. Waar kleine bedrijven soms heel goede oplossingen kunnen aandragen, gaat het soms mis als daarop van beide kanten te snel wordt ingesprongen. Aan de kant van de opdrachtgever is dan sprake van een situatie waarbij wordt gedacht: hier is een oplossing, ik hoef er niet meer naar om te kijken, het komt vanzelf goed. Aan de kant van het kleinere bedrijf is problematisch dat men onbekend is met de administratieve procedures, de financiële afhandeling enzovoorts. Daar wordt het vertrouwen soms minder. Voor kleinere bedrijven is het vaak moeilijker om aan de verwachtingen van de wat grotere overheidsbedrijven te voldoen.
De heer De Winter: Voorzitter. De eerste vraag ging over openheid. Er vindt nog wel eens een bezuinigingsincident plaats en dat we een aantal uren later exact hetzelfde incident zien, en een aantal uren later nog een keer, waarbij zo’n tombola van incidenten zich maandenlang voortsleept. Een voorbeeld is een bepaald type database dat op sites veel wordt gebruikt, waarbij opeens alle beveiliging wordt weggehaald en er sporen worden achtergelaten dat dat heeft plaatsgevonden. Als je dat soort informatie met elkaar deelt, dan weten alle webmasters dat ze op dit soort dingen moeten gaan letten en dat er dus iets aan de hand is. Wat mij verbaast, is dat we dit niet als vanzelfsprekend ervaren, maar dat we het volledig normaal vinden dat, als er bijvoorbeeld iets gebeurt met een vliegtuig, de ene maatschappij de genomen maatregelen deelt met de andere maatschappij. Je deelt die informatie om de veiligheid te vergroten. Ik zeg niet dat je alles maar open moet gooien, maar het gaat erom dat er bepaalde technische kenmerken zijn die je met elkaar zou moeten delen, zodat je daar heel snel op kunt inspringen en de industrie met technische oplossingen kan komen die bijvoorbeeld zo’n database makkelijk detecteren. Dat verhaal van die database is begonnen in februari, en inmiddels zijn de aanvallen zo geavanceerd geworden dat dit als een methode wordt gebruikt om ook andere sites te gaan aanvallen. Er wordt zelfs een code aan die database toegevoegd, en niemand doet iets. Wat beveiliging van gegevens betreft, vind ik het altijd vervelend om de onheilsprofeet te moeten spelen, maar ik ga het toch weer doen. Op dit moment is het diep triest gesteld met overheidsbeveiliging van persoonsgegevens. Door standaardisatie op basis van normeringen kan die veiligheid voor een stuk worden gewaarborgd. Ik heb één gemeente, Haarlem, kunnen vinden die zich probeert te gaan houden aan geldende regels, want ze zit nog in het proces van certificering. De rest van Nederland doet dat gewoon niet. Zbo’s zijn doorgaans heel erg klein en niet heel erg goed in staat om hun verantwoording te nemen. Mijnheer Elissen vroeg heel specifiek naar medische gegevens. Vanmorgen heb ik een artikel geschreven op nu.nl dat de medische gegevens van twee ggz-instellingen op straat liggen door de fout van een leverancier, gelieerd aan het epd. Het vervelende is dat deze leverancier dit wel goed probeert te doen, maar ondertussen wel onbedoeld de gegevens van duizenden burgers, een heel kwetsbare groep mensen, lekt. Ook hier geldt de parallel met de luchtvaart.
De heer Verhoef: Voorzitter. U had het over kosten en veiligheid. Veiligheid is iets anders dan beveiliging. Ik neem aan dat we het hebben over beveiliging.
Een heel goed punt in de discussies die nu gaande zijn, is dat men zich veel meer bewust is van de zaken die niet over de functionele aspecten gaan. Je kunt als gebruiker het verschil niet zien tussen een kekke website en een kekke website die goed beveiligd is. Als je je wel gaat afvragen hoe het zit met de aspecteisen kun je je als Kamer afvragen of hier niet een soort policy op moet worden gezet. De Nederlandse overheid is, denk ik,
de grootste bezitter van persoonsgegevens. Bij willekeurige verzekeraars zie je soms de policy: er gaat nooit iets ongescript over het netwerk, er staat nooit iets ongescript in een database, er zijn nooit ongescripte persoonsgegevens waar dan ook te vinden. Dat is gewoon een overall policy die niets heeft te maken met een systeem of een apparaat. Het zijn regels die je van bovenaf verordonneert. Als je dat doet, en je gaat vervolgens iets bouwen, dan is de hygiëne: dat doen wij dus zo. We kunnen inderdaad niet 100% beveiligen, maar er is op dit moment gewoon een tekort aan dit soort overall views. Ik pleit ervoor dat jullie niet alleen kijken naar de kostenbeheersing, maar ook naar het feit dat zaken nu misschien goedkoop zijn, maar straks heel duur. Grote beveiligingsincidenten geven dat aan: als je de software van een server bij KPN kunt updaten, omdat er al een rapport ligt waar dat gewoon in staat, ben je veel goedkoper uit dan wanneer je twee miljoen email-adressen moet afsluiten en grote advertenties in de kranten moet zetten.
De heer Broeders: Voorzitter. De overheid zorgt vrij slecht voor zijn informatiesleutels. Voor een deel zijn datalekken onvermijdelijk. Het is een soort wapenwedloop, waar het altijd wel een keer fout kan gaan. WikiLeaks is daar een mooi voorbeeld van. Je moet nadenken over wat je wilt beveiligen, en wat je open wilt laten. De overheid wil nu alles zo dicht mogelijk bij zich houden, wat betekent dat je alles moet beveiligen. Ook daar kun je wellicht nog winst behalen door van bepaalde zaken te zeggen dat ze ook open kunnen. Op het moment dat je gegevens gaat delen in netwerken en gaat dataminen, veranderen de gegevens sowieso en vervluchtigen ze over netwerken. Beveiliging van gegevens lijkt iets wat heel statisch is, maar die gegevens migreren, dus zal de beveiliging mee moeten migreren. Ook daarover is vaak niet veel nagedacht. In hoeverre is de overheid verantwoordelijk voor gegevens bij zbo’s? Met name als er plannen zijn die vanuit hier worden gelanceerd, bijvoorbeeld een epd, laadt dat een grotere verantwoordelijkheid voor de rijksoverheid op zich om na te denken over de wijze waarop met die gegevens wordt omgegaan. Daar is de bewijslast voor de overheid groter. De hygiëne-factor kun je overigens ook gewoon opleggen, zoals Verhoef ook al zegt. Als je ervoor zorgt dat die processen altijd zo lopen, dan krik je het beveiligingsniveau flink omhoog.
De heer De Lange (PvdA): Voorzitter. Ik heb een vraag aan de heren Hetzscholdt en De Winter. Op welke niveaus binnen de overheid is er wel en niet voldoende besef van kwetsbaarheid van ICT-systemen en de gevaren van cybercrime, spionage door staten en/of georganiseerde misdaad?
De voorzitter: Ik heb een vraag aan de heren Zwenne en Kamphuis. Is er überhaupt voldoende bewustzijn aan de voorkant van de beveiligings-vraag en de privacycomponent? Daarbij denk ik aan zaken als privacy by design.
De heer Hetzscholdt: Voorzitter. Het antwoord dat ik ga geven, is ook van toepassing op het bedrijfsleven. Als het gaat om de overheid, is mijn ervaring dat we het daarbij om strategisch niveau hebben als het gaat om de noodzaak van vergroting van de kennis over dit probleem. Heel simpel: het is fijn als een minister van Landbouw ook iets over landbouw weet. Daarmee is het noodzakelijk dat een minister een gemiddelde kennis, en liever iets hoger, heeft van ICT. In het bedrijfsleven is exact hetzelfde het geval. Op andere niveaus zijn er dus heel veel capabele mensen, ook bij de overheid, met heel veel kennis en ideeën, maar die ideeën komen niet altijd geheel tot ontplooiing, omdat het management minder ervaring heeft met ICT en geen risico’s durft te nemen. Men heeft geen idee of de oplossing die door de eigen mensen wordt voorgesteld, daadwerkelijk een oplossing is, en of de ingeschatte gevaren en risico’s ook daadwerkelijk gevaren en risico’s zijn. Dat is volgens mij het grootste probleem. De vraag was echter op welk niveau er geen besef is van de gevaren. Op strategisch niveau zit het goed in elkaar, maar bij de mensen met de eindverantwoordelijkheid, daar ontbreekt het. In het bedrijfsleven hebben ze bijvoorbeeld gemerkt dat het niet helpt om eventjes snel CIO’s in de boardroom te introduceren. Dat is onvoldoende als er nog steeds een CEO is met onvoldoende kennis op dat gebied. De luchtvaartsector is al genoemd, waar dat ooit speelde.
De heer De Winter: Voorzitter. Er is mij een vraag gesteld over het niveau van bewustzijn van statelijke operaties. Het antwoord is tweeledig. Er zijn overheidsonderdelen die heel goed in de gaten hebben, welke problemen er spelen. Een departement als BZK, waar je het niet van zou verwachten, heeft geen flauw idee dat dit soort problemen speelt. Sterker nog: daar vindt de CIO dat je geen 100%-veiligheid kunt garanderen. Hij verkondigt daarna doodleuk dat men aan het overstappen is naar een iPad. Op het moment dat je dat niveau aanneemt, ben je totaal niet risicobewust en niet bezig met de gevaren als een hele rijksoverheid nog steeds niet voldoet aan de eigen regels. Op gemeentelijk niveau kan ik eigenlijk kort zijn: daar is wat besef, wat ook nog eens groeiend is, maar ook daar moet nog heel erg veel werk worden verzet. Ik merk overigens wel in gemeen-teland dat men aan het zoeken is naar antwoorden. Een organisatie als het UWV neemt andere partijen op sleeptouw om een soort expertisecentrum op te richten en op die manier onderling kennis te delen. Dat zijn heel bemoedigende, hoopgevende initiatieven. Maar grosso modo is het gewoon droevig gesteld.
De heer Zwenne: Voorzitter. Is er voldoende privacy-bewustzijn? Nee, dat is er niet. Aan de voorkant, werd gevraagd. Ik kan een paar voorbeelden noemen. Een beginsel als data-minimalisatie, dus gewoon niet vastleggen wat je niet nodig hebt, lijkt maar in beperkte mate een rol te spelen in de besluitvorming. Het paradigma lijkt te zijn: hoe meer informatie over mensen, hoe beter de besluitvorming. Dat is niet altijd per definitie het geval. Het hebben van informatie betekent dat je die kunt kwijtraken, kunt lekken. Misschien moet je je de vraag stellen of we het wel moeten hebben. Zo nee, dan hoeven we het ook niet te beveiligen. Ik zie daar wel verbetering komen. Vanuit de privacywetgeving ligt er ook gewoon de plicht om daarover na te denken, want het staat in de Wet bescherming persoonsgegevens. Verder komt er over één à twee jaar Europese wetgeving die hieraan nog veel strengere eisen gaat stellen. We zien al in verschillende wetgevingstrajecten dat er Privacy Impact Assessment (PIA’s) moeten komen en dat men daarmee worstelt, want er is nog geen standaard ontwikkeld. Maar er zit verbetering aan te komen. Ik mag hopen dat het goed gaat. Uiteindelijk is voor mij als jurist een belangrijke stok achter de deur dat het leidt tot aansprakelijkheden. De omstandigheid dat het misschien lastig is om de schade te bewijzen – probleem is vaak dat de causaliteit tussen lek en de concrete financiële of immateriële schade lastig is aan te tonen – maar ik zou als verantwoordelijke niet voor dat anker willen gaan liggen. Ik denk dat daar een behoorlijke stok achter de deur zou moeten zitten. Er zit wetgeving aan te komen die voorziet in mogelijkheden voor veel hogere boetes. De makke is dat die boetes in het bedrijfsleven zullen gaan vallen. Als een overheid een lekke website heeft, of een database blijkt lek te zijn, dan is die boete, als ze al kan worden opgelegd, vaak vestzak/broekzak. De Kamer moet omzien naar verdergaande waarborgen. Waar het bedrijfsleven al voorziet in allerlei maatregelen, zal dat bij de overheid toch bijzondere aandacht vereisen.
De heer Kamphuis: Voorzitter. Is er voldoende bewustzijn? Er zijn plekken waar veel en goed wordt nagedacht, maar de meeste mensen die ik tegenkom in de publieke sector van CIO-niveau tot de systeembeheerder denken daar helemaal niet over na. Op het niveau van de operationele mensen is het heel begrijpelijk, want die worden er helemaal niet op afgerekend. Ze worden op geen enkele manier beloond als ze dat wel doen. Sterker nog: vaak worden ze gestraft omdat ze steeds lastige vragen stellen en bezwaren hebben tegen mooie projecten die niemand wil. Aan de bovenkant van de overheidsorganisaties is er inderdaad zo weinig bewustzijn dat dat echt een bedreiging wordt voor het functioneren van de Nederlandse samenleving. We hebben totaal geen greep op de meeste overheidssystemen. Of het nu gaat om de kantoorautomatisering of de Skada-systemen die de sluisdeuren dichthouden, waardoor Amsterdam droog blijft, de overheid heeft geen enkel idee wat de problemen kunnen zijn, waar de bedreigingen vandaan zouden kunnen komen en wat de impact is als die bedreigingen werkelijkheid worden. Tot nu toe gaat het helaas nog niet fout genoeg, want als het maar wat fouter ging, kwam er misschien wat politieke beweging. We hebben nog nooit een overstroming gehad waarbij 200 mensen wegdreven richting Engeland, want dan wordt de politiek wel wakker. We hebben wel allerlei doorlopende problemen, bijvoorbeeld in de gezondheidszorg, maar daar is de causaliteit tussen het falen van de informatievoorziening en het komen overlijden van mensen of andere dingen niet zo hard te trekken. Dat is al heel lang zo, waar ik niets in zie veranderen. Ik vrees dat er een soort incident nodig is waarbij de causaliteit heel pijnlijk zichtbaar wordt, waarna er dan misschien iets gaat gebeuren. Maar inhoudelijke discussies worden niet gevoerd in de Nederlandse politieke cultuur. Mensen worden ook niet beloond om moeilijke vragen te stellen. Het is daarom heel begrijpelijk dat op de lagere niveaus, als de kennis er al is, die niet wordt uitgenut, want dat wordt meestal actief afgestraft
Mevrouw Gesthuizen (SP): Voorzitter. De heer Kamphuis heeft het met name over de overheid.
De heer Kamphuis: Ik heb het over de publieke sector, dus over ongeveer half Nederland.
Mevrouw Gesthuizen (SP): U had het wel specifiek over de publieke sector, en niet specifiek over het Nederlandse bedrijfsleven. Maar het lijkt er in uw verhaal wel op dat het niet alleen gaat om de typische veiligheidsaspecten, maar om een besef wat de ICT kan doen en wat er gebeurt als dat wegvalt. Ik doel op het belang van technologie. Ik kan me voorstellen dat de heer Verhoef daar ook antwoord op wil geven.
Mevrouw Hachchi (D66): Voorzitter. Ik heb een vraag aan de heren Broeders en De Winter. Veel ICT-projecten komen van grote uitvoeringsorganisaties, maar ook van lagere overheden. De Kamer krijgt daar redelijk laat inzicht in. Wat zou er moeten gebeuren willen we de Kamer sneller inzicht laten krijgen in wat daar gebeurt? De politiek moet, heb ik van de heer Kamphuis begrepen, wakker worden, want dan kunnen we hierop reageren. Is daarvoor centrale aansturing nodig?
De heer Biskop (CDA): Voorzitter. Ik heb een vraag aan de heren Zwenne en Prins. Het is een stuk tekst uit de inbreng van de heer Kamphuis. Hij schrijft in zijn inbreng dat de ICT-projecten op dit moment gebaseerd zijn op een naïef model van de werkelijkheid. Slimme ondernemers strijden op een open veld met elkaar om de gunsten van de overheid, die met verstand en visie inkoopt. Daar is het model op gebaseerd, maar als je kijkt naar de ICT-projecten dan is het model een corrupt moeras met verkeerde incentives, bevolkt door zakkenvullers en incompetente clowns, met een veel betere voorspelling over de afloop van de projecten. Als die twee modellen worden losgelaten op beveiliging en privacy, herkennen de heren dan het beeld van de heer Kamphuis?
De heer Kamphuis: Voorzitter. Nederland heeft een vrij unieke bestuurlijke cultuur, kan ik inmiddels bestuurlijke culturen in andere Europese landen kennende, zeggen. De hogere regionen van het Nederlandse overheidsapparaat zijn heel actief trots op dingen die zij niet weten. Bij de ICT is dat heel prominent. Vanmorgen werd de terechte opmerking gemaakt dat er een heel sterke correlatie is tussen de organisaties waar de ingenieurs hoger in de boom zitten, en organisaties waar dat niet zo is. In de eerste organisaties is de kans groter dat complexe ICT-projecten tot een goed einde kunnen worden gebracht. Het is een beetje de situatie van een dirigent van een groot orkest die niet alleen geen noten kan lezen, maar die ook bijna wekelijks aan alle leden van het orkest vertelt dát hij geen noten kan lezen. De leden van het orkest zijn per uur ingehuurde zzp’ers. Maar het allergekste is dat die dirigent geen enkele motivatie lijkt te hebben en zich helemaal geen zorgen lijkt te maken over het feit dat hij geen noten kan lezen. Ik heb er geen verstand van, en dus is het niet mijn schuld, lijkt de houding te zijn. Zolang die houding niet verandert, verandert er verder helemaal niets. Daar kan de Kamer overigens niets aan doen.
De heer Verhoef: Voorzitter. Het gaat over het besef van wat technologie kan doen. Het is al even aan de orde geweest: naar mijn smaak is er een schromelijk gebrek aan niveau in iedere overheidslaag als het gaat om kennis en kunde op dit gebied. Ik wil de private sector daarbij overigens niet uitvlakken. Laatst was in het nieuws dat, als je weet hoe het moet, je kunt inloggen op het pompstation in Veere, en dan zet je gewoon de boel uit. Er is niet zozeer sprake van heel slimme, onnavolgbare hackers, maar van iets heel anders. Als je hier geen regels voor stelt, dan gebeurt dat gewoon. Als je dat besef niet hebt, dan gebeurt het dus ook een keer. Er worden heel veel vergelijkingen getrokken met veiligheid. Daarbij is men ervan doordrongen dat alles wat er gebeurt, ook near accidents, wordt onderzocht. Daarvan leert men immers. Ik pleit ervoor dat dat hier ook gebeurt. Een meldplicht voor dit soort dingen is heel goed. Ik maak bezwaar tegen het woord lek. Als iemand het heeft over een data- of computerlek, dan is dat een beetje van: mijn band is lek, ik plak hem en daarna is het weer goed. Wij praten hier over fatale ontwerpfouten, dus dat is echt iets anders. Security by design, privacy by design, dat gaat over ontwerpen. Aan die fatale ontwerpfouten moet je paal en perk stellen.
De heer Broeders: Voorzitter. De vraag was hoe je meer inzicht kunt krijgen. Het enigszins onbeleefde antwoord is: door er meer interesse in te krijgen. De overheid mist dat besef. Lagere overheden hebben inderdaad hun eigen projecten, maar vaak zijn ze toch weer onderdeel van grotere horizontale netwerken, waar de rijksoverheid vaak bij is betrokken. Vaak komt het hier op de radar op het moment dat er iets fout gaat. Het zou al helpen als goed wordt nagedacht over de vraag wat voor informatiestromen eigenlijk op gang worden gebracht. Bij lagere overheden en uitvoeringsorganisaties zie je ook dat er behoorlijk geëxperimenteerd wordt. Enerzijds is dat heel goed, want dat is een bron van innovatie, anderzijds zie je dat het niveau van wat wel en niet mag niet hoog is. Men klust, en later wordt daar misschien nog iets aan gedaan. De vraag is, waar de burger is. Als je beseft dat dit zo werkt, kun je ook mechanismen tot stand brengen waardoor je hierover beter geïnformeerd wordt. Het is niet geheim, maar het is wel zoeken. Er is nu geen logische manier om het naar de Kamer te brengen, maar er is geen enkele reden waarom dat niet georganiseerd zou kunnen worden. Ik kan me voorstellen dat met de VNG wordt afgesproken dat, op het moment dat persoonsinformatie wordt uitgewisseld op een manier waarop dat voorheen niet gebeurde, dit moet worden gemeld. Je zou moeten kijken naar grote uitvoeringsinstellingen, die vaak ook CIO’s hebben. Laat die informatie aanleveren over dit soort systemen. En zorg dat je er op tijd bij bent. Ik zou zeker mijn licht opsteken bij de politie, want als ze ergens enthousiast aan het klussen zijn, is het wel daar. Die adressen zijn bekend, dus daar moet iets te vinden zijn.
De heer De Winter: Voorzitter. Het gaat eigenlijk vooral over regie. Als een ministerie als destijds Verkeer en Waterstaat denkt het invoeren van een digitaal buskaartje af te schuiven op de vervoersbedrijven, dan komt het eind van de rit toch in deze Kamer, als het niet goed blijkt te gaan. Die afschuivingsmentaliteit zou moeten worden doorbroken. Verder is er op dit moment eigenlijk geen echte controlestructuur op welk project dan ook is. Vanuit departementen lijkt daarvoor ook geen enkele interesse te bestaan. Als een journalist probeert dingen boven tafel te krijgen met WOB-verzoeken, dan verbaast het me te zien dat grote ICT-projecten kennelijk met een pagina of 30 te realiseren is. Meer documenten schijnen er dan opeens niet te zijn. Dat soort dingen moet worden verbroken. Op dit punt moet ik deze Kamer belerend toespreken. Bij de ov-chipcard hebben we gezien dat hoogleraren in deze zaal bij herhaling hebben gewaarschuwd voor zaken die niet goed gingen. Daar werd honend op gereageerd. Twee jaar later kregen die hoogleraren gelijk, en dan moet er binnen twee dagen een spoeddebat zijn. What’s wrong with this picture?
De heer Zwenne: Voorzitter. Zoals gezegd ken ik de context van het voorgelezen citaat niet goed. Bij de overheid zou sprake zijn van een zekere naïviteit of onprofessionaliteit. Er zou een kennis-asymmetrie zijn, waarvan ICT-bedrijven gebruik of misschien zelfs misbruik zouden maken. Ik vind dat nogal sterke bewoordingen. Wel denk ik dat niet altijd sprake is van voldoende kennissymmetrie, en dat de overheid misschien niet altijd weet wat ze wil inkopen. Net werd gezegd dat de overheid zzp’ers inhuurt, die een rekening per uurtje, uurtje-factuurtje, indienen. Dat is op te lossen door aan andere beloningsmethodieken te denken. Het hoeft natuurlijk niet uurtje-factuurtje te zijn, je kunt ook met succes-fees gaan werken. Je moet van tevoren hebben bedacht wat een systeem moet kunnen, en dan is niet onbelangrijk dat de ambitieniveaus niet te hoog liggen. Uit de stukken blijkt dat het belangrijkste probleem een te hoog ambitieniveau bij overheden is als het gaat om complexe ICT-projecten. Dat laat onverlet dat je kunt denken aan beloningsstructuren die dat probleem ondervangen. De mening dat er schandelijk misbruik wordt gemaakt van de naïviteit van de overheid wil ik niet onderschrijven, maar er is misschien wel sprake van een kennisachterstand. Het lijkt me oplosbaar door die kennis in te kopen, en dan niet op basis van uurtje-factuurtje.
De heer Prins: Voorzitter. Dat is een prachtige samenvatting, in iets andere woorden dan waarin ik het gezegd zou hebben, van mijn betoog dat ik aan de werkgroep heb gestuurd. Ik heb het over incompetente clowns en zakkenvullers die de ICT-wereld bevolken. Ik heb er trouwens spijt van dat we hebben gekozen voor Fox-IT, want daar rekenen wij onszelf niet toe. Maar sinds ministers dit kunnen uitspreken, laat ik de letters IT er maar in zitten. Ik denk dat betrokkenen juist handig zijn met het spelen met de vastgestelde regels. Dat is het gevolg van hoe aanbestedingen in elkaar zitten. Daar weten ze handig op in te spelen. Het zijn vaak de grote ICT-jongens die uiteindelijk graag projecten willen, omdat ze daarop in hun bedrijven worden afgerekend. Het lijkt er wel op dat projecten niet worden gedraaid om trots op te zijn omdat er iets moois is gemaakt voor de opdrachtgever. Uiteindelijk wordt dat georganiseerd door het woud aan juristen waarmee je te maken krijgt als je wel keurig volgens de regels opdrachten wilt verkrijgen. Zij zoeken meetpunten om te zien of geleverd wordt volgens opgave. Dit heeft een enorm nadelig gevolg voor de security. Je gaat afspraken maken op meetbare dingen, en security is verdomd slecht te meten. Er zijn heel moeilijk parameters aan te geven. Daardoor komt security uiteindelijk gewoon niet meer aan bod.
De heer Elissen (PVV): Voorzitter. We hebben vanmorgen gehoord dat er projecten ontbreken op overzichten. Zijn er systematische onderzoeken gedaan naar ICT-projecten bij de overheid? Zijn daarvan lijsten of overzichten beschikbaar van alle ICT-projecten, en zo ja, zou het wenselijk zijn om deze informatie vrij beschikbaar te hebben? De vraag is aan de heren De Winter en Verhoef.
De heer De Lange (PvdA): Voorzitter. Ik heb een vraag aan de heren Verhoef en Prins. Het beeld dat oprijst, stemt niet heel optimistisch. Ik doel op het beeld van te grote complexiteit en allerlei dingen die mis kunnen gaan, en veel opportunity kosten. Wat voor ideeën hebben de heren met betrekking tot het op een hoger plan brengen van de aansturing, en dan vooral als het gaat om de rol van de Kamer daarin?
De heer Braakhuis (GroenLinks): Voorzitter. Ik heb een vraag aan de heren Zwenne en De Winter. Ik heb vanmorgen geleerd dat de overheid precies sturing geeft aan wat ze niet moet doen: aan het begin van het proces wordt niet goed gestuurd, terwijl verderop in het proces, als er al is ingekocht, in de techniek wel wordt gestuurd. Speelt dat ook een rol bij security? We zien dat BZK de coördinatie zou moeten voeren over de informatie-architectuur. We zien ook dat BZK één van de ministeries is waar de security niet goed geregeld is. Kortom, dat zegt wel iets over de regiefunctie.
De voorzitter: Ik heb een vraag aan de heren Kamphuis en Prins. De maatschappelijke gevolgen van het mislukken van het epd, 20 000 onnodige doden, zijn niet in kaart gebracht. Er is nog geen begin van bewustwording op dit punt. Welke vragen moeten wij stellen om dit boven tafel en in beweging te krijgen? De Kamer heeft als eerste stapje de CIO ingevoerd. Zou de CIO qua bevoegdheden zwaarder aangekleed moeten worden?
De heer De Winter: Voorzitter. Ik heb geen flauw idee welke projecten de overheid allemaal uitvoert. Heb ik geprobeerd het te achterhalen? Ja. Heb ik het aan de verantwoordelijke ministeries gevraagd? Ja. Heb ik erop geWOBt? Ja. Maar daarna treedt er een zeer effectief, goed werkend orgaan in werking, dat voorkomt dat er enige vorm van transparantie uitbreekt. Is dit erg: Ja, dit is echt een heel groot probleem. In mijn eigen gemeente Ede had men een aantal jaren geleden een beveiligingsplan. De buurgemeente Wageningen had dat niet. Wat was ik gelukkig en wat hebben de buren het slecht! Je zou dit zo met elkaar kunnen delen. Ze weten van elkaar niet wat ze doen, wat ook geldt op rijksniveau. Als je die helderheid probeert te krijgen, is er geen lijst op te hoesten van projecten waar men mee bezig is. Je krijgt bits of pieces, en als je heel slim WOBt, met allerlei juridische trucjes, dan kom je er wel een beetje achter, maar dan komt er ineens een nieuw project uit de hoge hoed, dat niet op het lijstje stond.
De heer Braakhuis stelde een vraag over governance bij projecten. Zover ik van buiten kan zien, is die nagenoeg non-existent voor kleinere projecten. Er hangt een sfeertje van je vooral er niet mee bemoeien. Zie het als een vliegtuig dat aan het neerstorten is, waarbij gebeld wordt met de vraag of er niets nieuws moet worden ontworpen om het in gang zijnde ongeluk te voorkomen. Wij lopen inderdaad achter de feiten aan. Bij beveiliging is het heel simpel: als je er achteraf over gaat nadenken, is het of onmogelijk om het nog goed te regelen, of je moet zo’n idiote krachtsinspanning leveren dat het gewoon niet meer leuk is qua kosten. Beveiliging hoort echt vanaf het eerste moment in concepten te worden meegenomen. De heer Elissen heeft unaniem een motie door de Tweede Kamer weten te krijgen om privacy by design geïmplementeerd te krijgen. Ik moet nog het eerste document van de verantwoordelijke ministeries zien waaruit blijkt dat men ook maar voornemens is om naar de unanieme wil van de Tweede Kamer te gaan luisteren. De Kamer moet niet alleen meer gaan vragen, ze moet ook eens boos worden! De Kamer heeft het laatste half jaar een hele reeks moties aangenomen die allemaal van invloed moeten zijn op het inkoopbeleid. Ik heb nog niets daarvan gezien. Waar blijven de Kamerbrieven en de antwoorden op Kamervragen? En waar blijft de Kamer om een minister aan de haren naar de Kamer te trekken?
De heer Zwenne: Voorzitter. Governance is niet afwezig, of non-existent. Dat vind ik nogal zware bewoordingen. Het is er misschien wel, maar het schiet te vaak tekort. Dat moet de Kamer controleren via de daarvoor verantwoordelijke bewindspersonen. De kennis-asymmetrie is niet specifiek iets van de overheid. Ook bedrijven als Shell en Unilever moeten IT inkopen. Het is niet zo dat het in de aard van de overheid ligt dat het misgaat, het kan best goed gaan. Bij Shell gaat het vaker wel goed. Ik ben dus veel minder pessimistisch: het is oplosbaar. Er is wel governance, maar die is ontoereikend.
De heer Verhoef: Voorzitter. Ik voer zelf met enige regelmaat systematische onderzoeken uit, ook naar overheidsinformatie. Als de jaarrapportages uitkomen, dan pleeg ik daar eens naar te kijken. Ik heb daar iets over opgeschreven in mijn rapportage aan jullie. Inderdaad is niet alles aanwezig. Mijn stelling is dat dat niet erg is om een beeld te krijgen. Beschrijvende statistiek gaat precies over werken met onbetrouwbare data en daar toch een betrouwbaar beeld uit krijgen. Als je niet alles hebt en als niet alles perfect is, is dat helemaal niet erg. Als je gegevens hebt, hoe slecht of beperkt ook, krijg je toch een beeld. Ik heb wat beelden meegegeven over hoe het met de kostenbeheersing zit. Daar zie je het volgende: de initiële schattingen zijn niet goed, er wordt te laat herschat, herijkingen zijn te laag, maar uiteindelijk convergeert het wel. Je moet je de vraag gaan stellen wat dit eigenlijk betekent. Er zijn namelijk ook organisaties die altijd óverschatten. Dat heeft vaak te maken met de reden van dit soort schattingen. Bij de overheid heeft men vaak een bepaalde prijs als legitimering om mee te beginnen. Wat ook kan, is dat er een bepaalde prijs is, omdat degene die de zaak gegund heeft gekregen, een abnormaal lage prijs heeft opgegeven. Systematische onderzoeken halen dat allemaal naar boven. Zorg dat je aan zoveel mogelijk data van elk project van enige omvang komt. Als je daar creatief doorheen rekent, ga je heel veel beelden zien. Op basis van die beelden kun je gaan sturen. Meestal gebeurt het omgekeerde: dan ga je eerst sturen en daarna geef je de uitvoerders bijvoorbeeld maar een half jaar. In een half jaar kunnen ze niet te veel uitgeven. Dan propt men een project van een jaar in een halfjaar en wordt het 80 keer zo duur als wanneer je het in een jaar had gedaan. Sturen zonder data is dus niet zo handig. Je kunt het beter omdraaien: eerst kijken wat er aan de hand is, en vervolgens sturen. Daarom denk ik dat het niet verstandig is om naar vijf projecten te kijken, maar naar alle projecten. Al weet je maar hoeveel projecten je hebt. Voor zover ik weet is er geen lijst met alle projecten. Wel heb ik gekeken naar de grootste projecten bij de overheid, waar interessante, opmerkelijke beelden uit komen. Op basis van die beelden kun je nu al maatregelen nemen, ook al weet je nog niet alles. Maar het is zeer verstandig om wel alles boven tafel te krijgen.
De vraag van de heer De Lange was hoe we komen tot een overheid die beter aanstuurt. Een van de dingen waarmee je zou kunnen beginnen, is nadenken over licensering. Het begrip software-engineer is geen beschermde professie, iedereen kan en mag dit doen. Dat is ook helemaal niet verboden. Je moet je afvragen of je dat in deze setting nog wel wilt. Als je naar de huisarts gaat, kun je ervan uitgaan dat die huisarts ergens heeft gestudeerd en het wel zal weten. Als je naar een willekeurig IT-bedrijf gaat, dan ligt dat anders. We hebben te veel voorbeelden waaruit blijkt dat ze het niet weten. Hoe komt dat?
De heer Prins: Voorzitter. Ik vertaal de vraag als: wat voor incentives kun je organiseren als overheid waardoor dingen uiteindelijk veiliger gebouwd gaan worden. Misschien ten dele door dat alleen maar te doen met mensen die verstand van zaken hebben, wat blijkt uit een certificering. Ik weet niet of dat haalbaar is, want het blijft voor mij nog steeds moeilijk om te meten wie wel iets veilig kan doen, en wie niet. Er worden vaak vergelijkingen gemaakt met andere werelden, maar dit is zo’n dynamische, vluchtige omgeving dat ik me serieus afvraag of het ooit gaat lukken om een certificering te maken voor personen of organisaties die dingen veilig kunnen maken. Daarom zoek ik meer andere incentives: prikkels die ervoor zorgen dat falende organisaties daar ook pijn van voelen. Ik snap dat sancties niet bij het huidige kabinet passen, maar ik vind dat één van de belangrijkste taken van de overheid het zorgen voor de veiligheid van de burgers is. De overheid mag best hard zijn richting leveranciers.
De voorzitter had een vraag over 16 000 doden vanwege het epd, ofte wel de maatschappelijke effecten van sommige projecten. Ik leg de bal terug bij het spel tussen Kamer en minister: ooit is er een keuze voor een epd gemaakt. Een van de argumenten was: 27 000 medische missers per jaar, missers die niet meer of veel minder zouden voorkomen als het epd er eenmaal was. Waar komt dat vandaan? Medische missers blijken vooral te bestaan uit verpleegkundigen die het verkeerde potje medicijnen bij het verkeerde bed neerzetten. Dat los je niet op met een epd. Als je dat toch wilt invoeren, moet je je ook afvragen wat het verlies aan privacy is door invoering van het epd. Volgens mij is er vooraf nooit een discussie geweest over voor- en nadelen van het epd. Er is maar één plek waar die discussie kan worden gevoerd, namelijk in de Kamer.
De heer Kamphuis: Voorzitter. Vanmorgen zijn de business cases van de overheid al ter sprake gekomen. Volgens mij is de term business case voor de overheid bijna een contradictio in terminus. De overheid is namelijk geen business. Van Holst zei vanmorgen dat heel veel business cases nergens op zijn gebaseerd, omdat de overheid niet weet wat de kosten op dit moment zijn. Je vergelijkt op een gegeven moment de huidige kosten met de toekomstige kosten. Ik noem in mijn stuk over het epd de cijfers die zijn genoemd door de Raad voor de Volksgezondheid, VWS en Nictiz. Deze organisaties roepen dus, als hen wordt gevraagd naar de noodzaak van een epd: 1,4 mld. kosten per jaar, 1 200 tot 1 700 doden. Dat is hun motivatie voor een epd. Vervolgens krijgt de Stichting Nictiz een jaarbudget van 15 mln. om het probleem op te lossen. Dat heeft iets heel surrealistisch. Toen het epd om allerlei redenen die misschien helemaal niet de juiste redenen waren werd afgestemd, ging iedereen erg boos zijn over die 300 mln. Maar het gekke is dat zes opeenvolgende ministers van VWS aan de Kamer hebben gezegd dat ons dit 16 mld. en 20 000 mensenlevens heeft gekost. Daar hadden we dus al veel eerder veel bozer over moeten zijn. Of we besluiten dat die cijfers allemaal boterzacht zijn. Maar dan valt de hele business case van het hele project om, en dan moet je er gewoon mee stoppen. Twaalf jaar lang is een project gedaan – andere projecten in de zorg zijn daardoor stuk gegaan – en aan het eind denken we dan dat die 300 mln. ons probleem is. We kijken echt heel erg naar het verkeerde ding. Misschien is er wel een case,
mits beter bestudeerd, waaruit blijkt dat business cases bij de overheid de soliditeit van rook hebben. Aan alle kanten is het vrij surrealistisch.
Mevrouw Hachchi (D66): Voorzitter. Ik heb nog een brandende vraag aan de heer Verhoef over veiligheid. In zijn inbreng geeft hij aan dat er nog andere aspecten een rol spelen, zoals onderhoud. In hoeverre bijten die elkaar? Op welke manier kun je daarin een goede balans vinden?
Mevrouw Gesthuizen (SP): Voorzitter. Omdat ik bang ben dat we als parlement iets te veel de focus gaan leggen op alleen maar de binnenlandse veiligheid, wil ik een opmerking uit het overzicht van de heer Prins willen halen. Daarover heb ik een vraag aan de heren Kamphuis en Hetzscholdt. Het gaat over de veiligheid, die ver onder een acceptabel niveau zou liggen. In de praktijk merk je daar als land niet veel van, omdat het een kwetsbaarheid is die door inlichtingendiensten wordt uitgebuit; hun succes wordt zelden breed uitgemeten. Graag een reactie.
De heer Braakhuis (GroenLinks): Voorzitter. Ik heb een vraag aan de heer Hetzscholdt. In hoeverre speelt de variëteit in architectuur een rol in het veiligheidsvraagstuk? We weten dat de overheid nog heel veel oude legacy-troep heeft, die niet is ingericht op het aanbieden van frontent voor heel veel mensen. In hoeverre speelt dat soort door elkaar lopende technologieën, waarvan sommige gedateerd zijn, een grote rol in het veiligheidsvraagstuk?
De heer Verhoef: Voorzitter. Er zijn verschillende aspecten. Je kunt functionele eisen en wensen hebben, en over het algemeen heeft de overheid geen niet-functionele eisen, maar die zijn er wel. Ik heb dat samengevat in mijn stuk als RAMS SHEEP: Reliability, Availability, Maintainability, Safety, Security, Health, Environment, Economics en Politics. Dat zijn de belangrijkste negen aspecten waarnaar je moet kijken. Inderdaad bijten die elkaar. De veiligste tunnel is een dichte tunnel, de best beveiligde computer staat uit, enzovoorts. Al die dingen bijten elkaar. Iedereen wil dat al die aspecten allemaal maximaal benut worden. Natuurlijk moet mijn website 24/7 up zijn, natuurlijk moet die site ondertussen onderhouden worden, et cetera. Hoe maak je daar nou een goede balans? Het begint bij de eiser, naar mijn smaak de Tweede Kamer. Deze aspecteisen, zowel over betrouwbaarheid, beschikbaarheid, veiligheid, beveiliging et cetera kun je wettelijk vastleggen. Uitgaande van die eisen zul je moeten ontwerpen: privacy by design, security by design enzovoorts. Je praat veel breder. Al die aspecteisen moet je ontwerpen en je moet nadenken over hoe je de wens van de klant gestand gaat doen. Als jullie een brug nodig hebben die 100% beschikbaar moet zijn, dan maak ik er twee. Je kunt het niet omkeren, je kunt niet zeggen: ik heb toevallig een brug liggen, hoe ga ik die 100% beschikbaar maken? Nee, de eis is 100% beschikbaarheid, en de vraag is hoe ik dat ga regelen. Bij ICT is het precies hetzelfde. Als je de eisen hebt gesteld, start er een ontwerpproces. Dat noem je speciality engineering, afgekort als RAMS SHEEP. Mensen met verstand van zaken gaan kijken naar de aspecteisen om te zien hoe het ontwerp eruit moet zien. Ergo: je moet mensen hebben die weten hoe het werkt, je moet slimme lui hebben, mensen met een certificaat of met genoeg ervaring. Maar als je dat niet hebt, gaat het niet gebeuren. Als je beveiligingseisen stelt, dan vindt daarna het ontwerpproces plaats, maar niet omgekeerd.
De heer Hetzscholdt: Voorzitter. Ik beantwoord de twee vragen tegelijkertijd. Ik begin met de vraag over gedateerde hardware. Het is belangrijk om te beseffen dat er weinig initiatief is bij partijen die bijvoorbeeld een ICT-voorziening hebben neergezet om dan nog heel goed in de gaten te houden of het allemaal wel veilig is. Er is een grote financiële reden om dat soms niet te doen. Dat leidt tot de feitelijke situatie dat heel veel apparatuur blijft draaien, niet geupdated wordt, niet vervangen wordt en niet in de gaten wordt gehouden. Daar ontbreekt een bepaald financial incentive.
Er is nog iets anders aan de hand dan een gebrek aan aantrekkelijkheid om zaken te updaten en in de gaten te houden, namelijk dat er heel weinig besef is van de daadwerkelijke grensoverschrijdendheid van ICT. Als je jezelf niet goed op de hoogte stelt van waar data zich bevinden, kun je heel veel van de veiligheids-, beveiligings- en privacykwesties niet goed inschatten, en zelfs niet de mogelijkheid om misstanden op te sporen. Sterker nog: als je niet weet waar de data zich bevinden, wat is dan de effectieve reikwijdte van Nederlandse wetgeving? Het is zelfs mogelijk dat wij onze data in Nederland parkeren bij een bedrijf dat zijn hoofdkantoor in een ander land heeft. Of misschien wordt de security zelfs ingericht op basis van een standaard die in dat land relevant is, maar hier misschien wat minder. Idem dito voor de privacy en de vrijheid van meningsuiting. Heel erg belangrijk is in hoeverre het gebrek aan besef daarvan al die zaken die vandaag de revu zijn gepasseerd, ondergraaft.
De heer Kamphuis: Voorzitter. Ik onderschrijf wat de vorige spreker net zei: er is ongelooflijk veel naïviteit over de strategische implicaties van het feit dat ongeveer alles wordt geoutsourced. De overheid heeft meer ICT’ers in dienst dan Microsoft, Google en Facebook bij elkaar, maar als er een desktop moet worden uitgerold, dan wordt dat toch uitbesteed. Ik vind dat een bijzonder curieus fenomeen. Heel veel systemen waarvan Nederland totaal afhankelijk is voor haar dagelijkse functioneren, staan dus niet onder controle van de Nederlandse overheid, die daarover aan de Nederlandse burger verantwoording moet afleggen. Dat kan lopen van de computers op de ministeries, waarop beleidsstukjes worden uitgetikt, tot de systemen die sluizen en dergelijke verdienen. British Aerospace heeft enkele maanden geleden heel bewust afscheid genomen van een aantal Amerikaanse software- en IT-dienstenleveranciers, omdat ze sterke vermoedens hadden dat gegevens ter beschikking werden gesteld aan concurrent Boeing, waardoor ze significante contracten verloren. In Engeland kon men daarover een openlijke discussie voeren, evenals over het feit dat de JSF vol zit met software waar Nederland als koper geen inzage in krijgt. In het Pentagon zit dus een UIT-knop voor onze straaljagers. Engeland heeft gezegd: sorry, onder die condities kopen we ze niet, einde discussie. In Nederland voeren we die discussie geen eens. Sterker nog: als je die discussie wel wilt voeren, wordt er gezegd dat dat wel heel erg paranoia is. Ik denk dat het common sense is, als je je positie als soevereine staat serieus neemt. Als je dat niet meer doet, dan is het een heel andere discussie, dan zijn we een vazalstaat. De wijze waarop hiermee wordt omgegaan in Nederland is dramatisch slecht. Nederland heeft nauwelijks greep op de ondergrondse beveiliging van zijn informatievoorziening.
Onderzoeksvragen en selectiecriteria
De heer Broeders: Voorzitter. In de notitie valt me heel erg op dat ze heel sterk is gericht op ICT als techniek, en heel weinig op informatiestromen als proces. Vanmorgen heeft een aantal mensen daar ook aandacht voor gevraagd: denk nou na over de informatieprocessen, veel meer dan puur en alleen over de techniek. Het zou me een lief ding waard zijn als er een aantal vragen inkomt die specifiek ingaan op de informatieprocessen. Wat je dan ook veel meer in beeld krijgt, is de burger, want die ontbreekt ook op een aantal plekken. Het is nu vrij beheersmatig gericht. Er wordt over heel verschillende zaken gesproken, en de belangen zijn ook heel verschillend. Ik zou zeggen: haal de burger erbij. Er zijn drie domeinen: service, care en control, die steeds meer in elkaar gaan overstromen.
Informatie die op de ene plek wordt verzameld, wordt ook gebruikt en binnengehaald op andere plekken. Haal dat binnen, zou ik zeggen. Over de drie criteria: ik begin met vernetwerking van de informatie, dat centraal zou moeten staan. Vernetwerking is geen – let op, overheid – keteninformatisering, dat zijn twee verschillende dingen. De overheid heeft structureel de neiging om als het over netwerken gaat, het over ketens te hebben. In een keten kun je altijd terug naar vorige partijen om uit te zoeken waar het fout is gegaan, in een netwerk kan dat niet en moet je anders nadenken over verantwoordelijkheidsverdeling. In de netwerken zitten automatisch veel verschillende actoren, vaak op verschillende niveaus. Selecteer projecten waarbij function creep ingebakken zit. We hebben discussies gezien in de Kamer waarbij de verantwoordelijk minister zei: daar gaan we het nu niet over hebben, dit is het voorliggende voorstel. Maar regeren is vooruitzien, en iedereen kan zien dat iemand zal voorstellen om zaken te koppelen. Als laatste: selecteer dingen die direct aan de burger zijn gerelateerd. Privaty by design staat hier prominent in. Een jaar of tien geleden is er een motie van de heer Nicolaï aangenomen, die eigenlijk exact hetzelfde zegt als die van de heer Elissen. Daar is tien jaar lang niets mee gebeurd. Wat dat betreft is er nog wel wat werk aan de winkel om met de vuist op tafel te slaan.
De heer Hetzscholdt: Voorzitter. Ik wil het graag hebben over iets waarover we het nog niet hebben gehad. We hebben het gehad over de kapiteins, die een gebrek aan kennis hebben, zodat het minder relevant is hoeveel kennis de experts hebben. Ik ben van mening dat er veel experts met hoogwaardige kennis binnen de overheid werken, maar ja, zonder een goede kapitein op het schip heb je daar niet zo veel in. De derde vraag is, waar we de kennis vandaan halen om de problemen op te lossen. Daar houd ik een pleidooi voor een betere communicatie tussen de Nederlandse overheid en de hackercommunity. Dat doe ik vooral omdat andere overheden voor eenzelfde benadering kiezen. Het duurt te lang om helemaal aan te geven hoe dat zou moeten; het staat ook in mijn bijdrage. Het is vooral belangrijk dat zij beschikken over unieke kennis. Volgens mijn inzicht beschikt Nederland over de beste hackers in de wereld, wat niet is gebaseerd op het feit hoe goed ze zijn in het penetreren van systemen en dat soort zaken, maar ook op het feit dat ze een heel breed kennispakket hebben. Ze denken na over beleid, politiek en dergelijke zaken. Ik denk dat we daarvan veel beter gebruik kunnen maken om problemen te voorkomen en zaken heel snel op te sporen en op te lossen. Dat gebeurt al langer in het bedrijfsleven. Op die manier wordt zelfs gecrowdsourced, waarbij gebruik wordt gemaakt van de kennis van een grotere groep ICT-experts en hackers. Dat is iets wat de overheid volgens mij ook prima kan. Ik heb gezien dat het al wat normaler wordt om bij misdrijven toch een beroep te doen op de internetgemeenschap. Bij heel specifieke ICT-problemen zou in sommige omstandigheden gebruik gemaakt kunnen worden van de hacker-community.
De heer Kamphuis: Voorzitter. Ik kan dat alleen maar onderschrijven. Wij zitten hier allemaal als burger, maar wij zouden allemaal veel beter kunnen helpen als we meer informatie hadden, en liefst ook eerder. Dat zou betekenen dat de Nederlandse overheid de WOB niet alleen naar letter, maar ook naar geest zou uitvoeren. Dan kunnen we al heel veel ellende voorkomen, omdat heel veel mensen dan van tevoren kunnen waarschuwen en niet als er alweer een miljard door het putje is gespoeld. De belangrijkste vraag is niet zozeer bekijken wat er bij ieder individueel ICT-project fout is gegaan, hoewel dat qua casuïstiek misschien heel interessant kan zijn als voorbeeld, alswel om te gaan kijken hoe het komt dat ondanks allerlei hoogwaardige experts, de overheid zo ontzettend weinig kan en weet. De overheid gebruikt dat overigens zelf als excuus voor als er iets mis gaat. Dat is op een gegeven moment niet meer te rijmen met het feit dat diezelfde overheid mij als burger vraagt mij te vertrouwen met het volgende megalomane project. Hoe kan het dat de overheid zo weinig competent is, gezien het grote aantal mislukte dingen en wat kun je daaraan doen? Een van de middelen is radicale openheid. Als het gaat om onze straaljagers dan mag het niet op internet, maar bijna al het andere kan het net op, zodat iedereen kan meedenken en meeschrijven om het beter te maken. De meeste geheimhouding in Nederland is om onkunde te verbloemen, en dat is nou precies wat we willen uitroeien. Leveranciers die daar niet aan willen meewerken, die moeten misschien maar eens geen opdrachten van de overheid krijgen. De WOB en de belangen van ons gaan voor het vermogen van bepaalde private partijen om centjes te verdienen. In die volgorde moeten we het oppakken.
Ik zou als het gaat om de selectiecriteria eens kijken naar het gat tussen op een bepaald moment gebezigde aannames waarom iets moet, en de werkelijkheid. Verder moet eens worden bekeken, hoe het kwam dat dat gat er was. Hoe kan het dat er een business case wordt gemaakt die later blijkt te bestaan uit gebakken lucht? Er wordt heel veel tijd besteed aan vooronderzoek en aan allerlei consultancybureaus die allerlei dikke boeken schrijven, maar hoe kan het dan dat daarin toch zoveel aperte onzin kan staan, die je met een paar uur googelen volkomen lek kunt schieten?
Een ander belangrijk selectiecriterium wordt gevormd door de maatschappelijke kosten van het feit allerlei dingen niet zijn gelukt die wel hadden kunnen werken. Er zijn landen in Europa die goede epd’s hebben. Nederland heeft dat niet. Is Denemarken echt zo anders dan Nederland? Daar moeten we eens naar kijken.
De heer Prins: Voorzitter. Het lijkt wel of de commissie straks alle projecten afloopt met de vraag in het achterhoofd hoe het eigenlijk allemaal zit. Ik zie graag wat meer vragen die er op een afstand naar kijken. Als voorbeeld: wat organiseert Nederland op cybersecurity-niveau? We hebben het Nationaal Cybersecurity Centrum en de Nationale Cybersecurity Raad, er komt elk half jaar een cyber-dreigingsbeeld uit. Bij de inlichtingendiensten gebeurt wat, bij Defensie gebeurt wat. Gaat dat er straks voor zorgen dat we hier een beeld krijgen van wat er gebeurt aan digitale veiligheid in dit land, zodat je als Nederland kunt besluiten de Amerikanen eruit te sturen, zoals de Engelsen dat hebben gedaan? Hebben wij straks iets waardoor we dat beeld naar voren kunnen krijgen? Als de commissie dan toch naar projecten gaat kijken, dan hoop ik dat er op zijn minst één project tussenzit dat positief wordt beoordeeld, waarbij heel securitykritische dingen zijn gedaan, maar waarbij we tot nu toe kunnen vaststellen dat dat nooit gefaald heeft. Dan graag terugredeneren: als dat blijkbaar kan, wat is daarin dan anders gebeurd dan bij projecten die gefaald hebben? Die succesfactoren kun je dan misschien gaan kopiëren. Ik ben alleen bang dat dat dan weer projecten zijn die zo geheim zijn dat het moeilijk is om ze te bekijken. Ik wil daar graag bij helpen. Ik heb overigens nog geen voorbeeld, maar ik weet zeker dat ze er zijn. Ik word dagelijks aangevallen, en ze komen maar niet binnen.
De heer Verhoef: Voorzitter. Over de onderzoeksvragen het volgende. Ik ben onderzoeker, dus ik kijk wel vaker naar onderzoeksvragen. Klassiek zie je: er is een probleemdomein, namelijk ICT, er is een hypothese, namelijk dat het niet goed gaat, en er is een analyse, namelijk dat we het gaan uitzoeken. Ik raad de commissie aan het andersom te doen. Er is al een probleem, de ICT, maar maak eerst een analyse. Dat heeft exploratief onderzoek. Ik pleit voor een boedelinventarisatie. Niemand weet hoeveel systemen we hebben, wat ze doen, waar ze leven, wat ze kosten en noem maar op. Dat zijn ongelooflijk simpele vragen. Als je daar antwoord op krijgt, weet je in ieder geval wat je in huis hebt. Vervolgens kun je op basis van de informatie die je hebt beelden gaan creëren. Ik hoorde iets over requirement creep, wat je gewoon kunt zien als er voldoende informatie is. Ga niet uit van de hypothese dat het altijd slecht gaat, want het gaat ook wel eens goed. Hoe vaak zien we in de krant dat er bij de SVB iets verkeerd gaat? Dat is volgens mij nog nooit gebeurd. Laat je niet beperken in je onderzoeksoptiek door je hypothesen. Alles wat niet goed gaat, staat in de kranten. Ik ben het helemaal eens met Prins: er zijn systemen waar dingen wel goed gaan. Dus ik zou zeggen: boedelinventarisatie, dus gewoon exploratief bekijken wat we hebben en wat daarbij zit. Dat kun je op een redelijk grof niveau doen. Ergens bovenaan in grote organisaties wordt wel eens gezegd: we geven 6 mld. per jaar uit aan ICT, laten we eens kijken wat we in huis hebben. Gewoon, die simpele vraag. Het stellen van de vraag geeft zo vreselijk veel inzicht in hoe het allemaal werkt! Als mensen zeggen dat ze niet aan informatie kunnen komen, heb je eigenlijk al een oorzaak boven: geen transparantie. Maar misschien is er wel transparantie. Dus: ga niet werken vanuit een hypothese, ga werken vanuit het analyseren van de gegevens die je gewoon al tot je beschikking had moeten hebben, maar nog niet hebt. Wie heeft de boedelinventarisatie?
De heer De Winter: Voorzitter. Ook ik wil een lans breken voor het minder naar individuele projecten kijken, en een paar van die vijf te schrappen. Verder zou bij een aantal projecten een simpele vraag moeten worden gesteld. Bij de ov-chipcard zou ik willen weten wat die grap ons heeft gekost. Verder denk ik aan wat algemenere zaken, zoals de sfeer bij ICT-projecten. Hoe kan het toch zijn dat er zoveel ambtenaren zijn die het intern niet meer durven zeggen, dus maar naar mij toe komen? We hebben het nu over de losse bestuursorganen, maar kijk toch ook eens naar de keten. Daar bedoel ik een gemeente mee die richting het UWV data moet delen, waaraan twee compleet verschillende beveiligings-plannen ten grondslag liggen. Stel eens de vraag naar techno-optimisme. Als we gaan beginnen aan een ICT-project kan het alleen maar fantastisch zijn en kunnen we alleen maar dansen en feesten, zonder dat er ooit een risico is. Elke keer blijkt de realiteit anders te zijn. In het verlengde daarvan: kijk naar effectiviteit, dus naar wat we met maatregelen willen bereiken en in hoeverre we daar komen. Dat is eigenlijk een verkapte oproep om te stoppen met spelen en eens serieus te worden. Waarom wil Nederland open in verbinding niet lukken, een unanieme wens van de Tweede Kamer om open standaarden ingevoerd te krijgen, die onmisbaar zijn als systemen op elkaar moeten worden aangesloten? Hoe kan het voorkomen dat een ambtenaar twee maanden aan het zoeken is en dan met één A4-tje naar boven komt, terwijl ik exact hetzelfde document binnen twaalf seconden in Noorwegen heb gevonden, en binnen het uur geleverd heb gekregen van de Noorse overheid? Waarom krijgen wij als maatschappij niet waarom we gewoon vragen? Als we dat allemaal achter de rug hebben, gaan we daarna weer iPad-jes kopen. Als de commissie dat boven tafel kan krijgen, heeft ze ongelooflijke meerwaarde. Besef dat ICT de crux is van het functioneren van het openbaar bestuur.
De heer Zwenne: Voorzitter. Wat mij vanuit een privacy-perspectief interesseert, is in hoeverre bij het ontwerpen van systemen rekening is gehouden met de privacybeginselen. Is nagedacht over dataminimali-satie? Dat heb je nodig om later iets te kunnen zeggen over requirements creep. Privacy by design, privacy by default, in hoeverre hebben dat soort keuzes in het begin van het traject een rol gespeeld en wat is daarvan overgebleven aan het eind van het traject? Zit daar licht tussen? Ik vermoed van wel.
Over de criteria: ik ben een eenvoudig jurist, dus ik dacht om om te beginnen eens te kijken naar hoeveel mensen dit raakt. Dat lijkt me geen heel moeilijk te beantwoorden vraag, maar een zinvol criterium. De
volgende vraag: wat wordt er van die mensen vastgelegd? Hoeveel gegevens worden er per individu vastgelegd? Ik kan me voorstellen dat er over betrekkelijk weinig individuen gegevens worden vastgelegd, maar ik kan me voorstellen dat de omvang van de gegevens per individu zeer uitgebreid is. Dat kan een reden zijn om daar toch onderzoek naar te doen. Ten slotte de impact van het vastleggen van die gegevens, en misschien ook de potentiële impact, gelet op function creep-achtige ontwikkelingen. Dan kijk je ook naar de gevoeligheid van de gegevens. Het epd zou dan wellicht eerder in aanmerking komen dan andere projecten. Bij impact van de gegevens denk ik aan de impact op het individu, de personen over wie het gaat en toch ook, zij het in een iets breder perspectief, naar de samenleving. Een voorbeeld is de ov-chipcard: het systeem is lek, doet het niet goed en herbergt systeemfouten, allemaal problemen die door mijn buurman op televisie zijn gebracht en waarover is geschreven. De consequentie daarvan is dat er wellicht meer camera’s moeten worden gehangen bij die punten waar je de ov-chip kunt opladen. In termen van privacy heeft dat betekenis. Omdat een systeem lek is of niet goed werkt, ga je toe naar repressie: je moet meer gaan controleren in de trein, je moet uniformen in te trein hebben. Ik vind dat een ongewenst gevolg. Ik had liever gehad dat het systeem überhaupt niet lek had kunnen zijn, zodat we dat vervelende aspect achterwege hadden kunnen laten. Dat soort meer kwalitatieve criteria vind ik eigenlijk het allerbelangrijkste.
De voorzitter: Mocht u nog zaken zijn vergeten, schroom dan niet om dat door te geven aan de griffier. Als er onderzoeksvragen zijn die u veel te gedetailleerd zijn en/of niet de kern raken, kunt u dat ook aangeven. Dat schoont de lijst flink op.
De heer Braakhuis (GroenLinks): Voorzitter. Zijn de deskundigen van mening dat het HR-beleid bij de overheid tegen het licht moet worden gehouden vanuit het ICT-perspectief?
De heer Elissen (PVV): Voorzitter. Ik heb de indruk dat er veel wordt doorgemodderd. Ik worstel met de houdbaarheidsdatum, in relatie tot de exit-strategie, en of we in dat perspectief goede vragen kunnen krijgen om te selecteren in projecten.
De voorzitter: De overheid investeert in de kennis, ook op het hoge niveau, over ICT-informatiestromen. Is dat iets wat u wel of niet waarneemt?
De heer Broeders: Voorzitter. De eerste en derde vraag hebben verwantschap; beide kunnen met ja worden beantwoord. Je kunt niet van iedereen verwachten dat het er is, maar je kunt wel verwachten dat er wat wordt bijgespijkerd. Ik denk dat dat wel breed gedeeld wordt. Over houdbaarheidsdatum en exit-strategie: dat heeft alles te maken met hoe je aan het begin formuleert hoe je een pakket wilt aanpakken. Elk projectmanagement werkt in principe zo: we gaan dit doen, waarna we een interim-moment waarop we besluiten of we verder gaan, en zo ja, hoe. Daarna bekijken we of we ons gehouden hebben aan wat we gingen doen. Dat kun je gewoon inbouwen. Als zoiets hier voorkomt zou ik zeggen: prik hem erin, dat kan, er is geen enkele reden om dat niet te doen.
De heer Hetzscholdt: Voorzitter. Het antwoord op de eerste en de derde vraag is ja, waarbij vooral achter het eerste antwoord een aantal uitroeptekens. Ik denk dat dat de kern is van het probleem en dat zal blijken hoe moeilijk het is om daaraan iets te doen. Dat heeft te maken met het bedrijfssysteem van de overheid.
Over de tweede vraag: ik denk dat het heel belangrijk is om te beseffen dat er veel partijen bij zo’n project betrokken zijn. De samenstelling van de partijen heeft op zich een korte houdbaarheidsperiode, wat echt een probleem is. Ik heb in het verleden tegen Kamerleden wel eens gezegd dat ik het fantastisch vond dat ze in de bres waren gesprongen voor een bepaald issue en daarvoor geld wisten vrij te maken, waarna ik de vraag stelde of ze in de gaten houden hoe het geld wordt besteed. Het antwoord toen, vijf jaar geleden, was: nee, dat is niet onze verantwoordelijkheid en we hebben ook geen methodieken om dat te doen. Ik denk dat dat heel belangrijk is. Ik las in de documentatie dat er van de minister heel veel wordt verwacht. Maar als dat zo is, dus als er een bedrijf komt dat zich op ICT richt, waarbij de minister de eindverantwoordelijkheid heeft, dan moet de Kamer meer dan eens per jaar in de gaten houden of het geld nog wel op de juiste manier wordt besteed en of de resultaten wel worden behaald.
Mevrouw Hachchi (D66): Kunt u een link leggen met de hackers? Is daar nog een wereld te winnen, zonder dat we de hele rijksoverheid moeten herinrichten?
De heer Hetzscholdt: Het antwoord op die vraag is eveneens ja. Ik heb in mijn bijdrage beschreven dat het misschien mogelijk is, bepaalde risico’s uit te bannen, maar dan kom je weer in heel ander vaarwater terecht. Het antwoord is dus ja, met een aantal randvoorwaarden die ik heb genoemd in mijn document. Dat mag overigens worden gepubliceerd.
De heer Kamphuis: Voorzitter. Over HR-beleid het volgende. Op lagere niveaus hebben we in Nederland de heel gekke situatie dat het HR-bouwhuis voor de IT-professionals van de overheid is gekoppeld aan productcertificeringen. Als je op een bepaald IT-product bent gecertificeerd als systeembeheerder, ga je naar een hogere schaal. Als je ooit van dat product af wil, zijn er niet alleen allerlei technische vraagstukken, maar begint zelfs de HR-afdeling te klagen, omdat ze niet capabel zijn geweest om hun eigen HR-structuur te bouwen.
Op het hogere niveau is het tot nog toe zo dat niet-weten een legitiem advies is bij falen. IT en andere technische onderwerpen zijn daarin redelijk uniek ten opzichte van andere domeinen van kennis in de Nederlandse publieke sector. Als we het soort fouten dat we hebben in de IT bij Financiën zouden hebben en de topambtenaren aldaar zeggen dat ze niet veel verstand van geld hebben, dan kan ik me voorstellen dat dat op een gegeven moment personele consequenties heeft. Dat is hier nimmer zo, en dan verandert er dus ook niets. Ja, het is misschien heel duur om mensen naar huis te sturen als ze niet goed functioneren, maar ik denk dat we inmiddels zien dat het niet naar huis sturen van bepaalde mensen ontzettend veel duurder is, zelfs al komt het uit een ander potje. Ik wil nog een opmerking maken over het selecteren van projecten. Ik denk dat het belangrijkste hierbij is dat we naar cases kijken waarvan iets kan worden geleerd voor de toekomst. Als iets is bewezen door DigiNotar is het dat, hoe fout het ook gaat, er nooit sancties achteraf zijn voor wie dan ook. Zelfs als er in Iran 300 000 mensen worden afgetapt met levensgevaarlijke consequenties, zijn er nog geen consequenties voor leveranciers, ambtenaren en toezichthouders, tenzij men dat verandert. Het laatste zou heel mooi zijn, maar dat verwacht ik eerlijk gezegd niet. Het is dus handig om te kijken naar cases waaruit iets gegeneraliseerd kan worden, zodat we herhaling in de toekomst kunnen vermijden. Als dat aspect er niet in zit, heeft het niet veel zin om naar de projecten te kijken en kan de beperkte tijd misschien beter anders worden besteed.
De heer Prins: Voorzitter. Ik ga graag tegen de stroom in, bijvoorbeeld als het gaat om HR-beleid op de hogere posities. Ik kom alleen maar bij DG’s
en SG’s die verstandig genoeg zijn om mij uit te nodigen, dus die zijn altijd slim! De anderen zie ik niet, zodat ik daar geen mening over kan hebben.
Er werd net ook nog gesproken over het op de een of andere manier gebruiken van de kennis die bij hackers aanwezig is en hoe de overheid dat kan binnenhalen. Daar ben ik het niet automatisch mee eens, want het zou impliceren dat daar kennis zit die niet in een andere vorm ook beschikbaar is in dit land. Ik denk dat je dan eigenlijk voorbij gaat aan het grotere probleem, dat de overheid niet in staat is die kennis in te kopen die ze nodig heeft. Dan is het een beetje rare constructie om te zeggen: dan nemen we maar de mensen die we niet hoeven in te kopen, maar die het ook willen aanbieden. Ik noem ze wel eens de vriendjes van Benno, die natuurlijk heel veel weten aan te tonen wat er kwetsbaar is in ons land. Ik ben heel erg bang dat we dat gaan zien als de lat: als zij het goed vinden, dan is het wel goed. Heel veel van de incidenten die we nu zien hadden misschien een beveiligingsniveau van 10%, terwijl de hackers gemiddeld tot 50% komen. Dat vind ik eigenlijk een veel te lage lat. Ik zie uiteindelijk toch liever dat hackers als professionals worden ingehuurd.
De heer Verhoef: Voorzitter. Ik begin met het HR-beleid. Ja, dat moet beter. De exit-strategie: niets is zo winstgevend als een slecht project killen, maar ook niets zo moeilijk. Daar heeft de overheid dus nog wat te leren. Is er meer kennis aanwezig op het hogere vlak? Ja, men is hard bezig – CIO’s, rijks-CIO – maar nee, het is nog niet genoeg.
De heer De Winter: Voorzitter. Ja, ja. Over de exit-strategie heel kort: als een vliegtuig gaat opstijgen bij 80 knopen zegt de sturende piloot dat hij op 80 knopen zit, en de monitorende pilot zegt dat dat klopt. Klopt dat niet, dan trappen ze op de rem. Kun je nog stoppen, dan kappen ze. Niemand wordt dan boos en iedereen zegt: goh, wat fijn, je hebt een ongeluk voorkomen. Dat zouden we ook gewoon in de ICT moeten doen, dat zou geen schande moeten zijn. Als je dan een minister naar de Kamer haalt, dan is het om hem of haar een vette veer in de reet te steken, en niets anders dan dat. Het is een good catch, and that’s it. Je moet durven stoppen, waarvan we in het verleden goede voorbeelden hebben gezien. Daarna uithuilen en opnieuw beginnen.
De heer Zwenne: Voorzitter. Ja, ja. Het ligt nogal voor de hand om in je HR-beleid te kijken naar wat je nodig hebt. Als er wat kennis over ICT aanwezig is, dan kijk je daar natuurlijk naar. Dat vind ik een beetje vragen naar de bekende weg, met uw welnemen.
Voor de houdbaarheid en de exit-strategie geldt het volgende: dat is voor de overheid niet heel anders dan in andere complexe IT-projecten. In alle projecten waarbij ik betrokken ben, heb je uitvoerige discussies over de exit-strategie, waaraan je boetes kunt verbinden. Juristen hebben een heel scala aan instrumenten om dat in goede banen te leiden. Dat kan, ook in het kader van aanbestedingen. Geen enkel probleem.
De voorzitter: Ik wil u allen vragen om via de mail aan te geven of uw zienswijzen ook verspreid mogen worden, ook onder de andere deskundigen. In een aantal gevallen werden ze namelijk expliciet vertrouwelijk aan de commissie gestuurd.
U krijgt nu gelegenheid voor een slotstatement dat u deze commissie nog één keer wilt voorhouden.
De heer Zwenne: Voorzitter. Privacy en beveiliging in het begin van het project meenemen en je afvragen, waarom dat niet is gebeurd. Je moet aan elke projectinkoper de vraag kunnen stellen: op welk moment hebt u nagedacht over privacy? Laat het zien, het is allemaal gedocumenteerd, dat kan niet moeilijk zijn.
De heer De Winter: Voorzitter. Laten we stoppen geheimzinnig te doen over projecten, laten we in godsnaam open zijn, durf op de rem te trappen als het moet en wees bij het onderzoek vooral positief-kritisch. Durf een keer nee te zeggen als het moet.
De heer Verhoef: Voorzitter. Ik heb het al gezegd: probeer met zo min mogelijk aannames en eigen beelden aan de gang te gaan, maar kijk gewoon naar de feiten en vraag die op.
De heer Prins: Voorzitter. Ik hoop dat we naar een overheid toegaan die haar verantwoordelijkheid durft te nemen om te zorgen voor de veiligheid van haar burgers, wat ook inhoudt dat je soms ogenschijnlijk zware maatregelen moet nemen die tegen de stroom ingaan. Dat is het enige punt waarom ik nog blij ben dat er een overheid is: die moet voor mijn veiligheid zorgen.
De heer Kamphuis: Voorzitter. De Algemene Rekenkamer heeft het afgelopen jaar twee grote onderzoeken gedaan naar IT binnen de overheid. Het ene ging over de kosten van allerlei projecten, en het andere over open sources en het NOIV-programma. Beide onderzoeken kregen nogal veel kritiek van allerlei mensen zoals ik, en van anderen. Het belangrijkste excuus was toen: we hadden eigenlijk te weinig tijd. Laat u dat alsjeblieft niet overkomen. Ik begrijp dat de Kamer beperkte tijd, middelen en mensen heeft voor een onderwerp dat heel groot en heel complex is – dat is nu eenmaal zo – maar misschien is het beste wat ze kan doen: een heleboel interessante feiten verzamelen, die een beetje organiseren en dan tegen de rest van Nederland en uw collegaparlementariërs zeggen: luister, hier moet nog veel meer en dieper naar gekeken worden, want het gaat om zoveel geld met zoveel maatschappelijke impact, we kunnen dit niet in een paar maanden even afdoen. Waarschijnlijk hebt u veel te weinig tijd en middelen om dit goed te doen, wat niet uw schuld is. Maar laat dat geen excuus zijn om uw werk niet goed te doen. Breng dan als advies uit: veel vervolgonderzoek en wel heel snel noodzakelijk. Laten we toewerken naar een kwaliteitsstandaard, en niet naar de beperkingen van tijd en middelen.
De heer Hetzscholdt: Voorzitter. Ik vraag de commissie om continuïteit van dit soort toezicht in dit soort discussies op meerdere punten in het proces. Bij mijn weten zijn er heel veel commissies die worden gecontinueerd, ondanks een wisseling van de wacht. Dit onderwerp lijkt me belangrijk genoeg om iets voor in het leven te roepen dat met regelmaat ingaat op wat er gebeurt, kijkt naar de financiën en deskundigen uitnodigt.
De heer Broeders: Voorzitter. Het laatste is mij uit het hart gegrepen. Kijk naast ICT, de techniek en de kosten ook naar het niveau van informatie, omdat daar de prangendste vragen liggen. Betrek de burger erbij en ontwikkel iets van een strategische visie, waarin ook wordt ingegaan op de begrenzing, een punt dat vaak niet wordt meegenomen in dit soort overwegingen. Beleg dat ergens, want het is nu eigenlijk van niemand.
De voorzitter: Dank u wel. Mooie slotstatements. Ik wil iedereen heel hartelijk danken voor de bijdragen aan deze nuttige sessie. De toestemming die wij vragen voor het rondsturen van de bijdragen geldt vooral het versturen naar de andere deskundigen. Geef dat gewoon aan.
Sluiting 15.30 uur.