Ga niet kapot aan je eigen overheid - Bert Hubert's writings

Onze overheid heeft regels opgesteld voor hun gebruik van de cloud, AI en andere algoritmes. En ze houden zich er bijna nooit aan.

Dit wordt keer op keer vastgesteld, zoals door de Algemene Rekenkamer, waar men constateerde dat voor twee-derde van de overheids IT-projecten “in de cloud” in het geheel geen risicoafweging was gemaakt. Dus niet dat de risicoafweging niet goed was, nee, hij was er gewoon niet. Maar wel verplicht.

De overheid mag naar de publieke cloud volgens de bestaande richtlijnen, maar alleen met zo’n risicoafweging en na het opstellen van een “plan b”, een directe terugvaloptie. Recent was er een rapport van ABDTOPconsult, een interne onderzoeksclub, waarin we lezen: “Bij de geïnterviewde overheidsorganisaties is afgelopen maanden geprobeerd op basis van bestaande terugvalopties te testen of dat zou werken. Geen van die testen is succesvol gebleken”. De rest van het rapport is ook niet bemoedigend.

Ook is er de vraag of bijzondere persoonsgevens (artikel 9 GDPR) überhaupt naar Amerikaanse clouds mogen. Onderzoek in opdracht van de overheid geeft aan dat dit alleen mag met een extra beschermende laag encryptie. Maar daar stoort helemaal niemand zich aan, want het is te moeilijk. En let wel, dit gaat onder andere over onze gezondheidsdata!

Hugo de Jonge gebruikte zijn privé GMail-account voor werk omdat de overheidsmail te lastig zou zijn. En dat vond iedereen wel best, ondanks dat hij rechtstreeks de richtlijnen schond. Politici en bestuurders hadden er alle begrip voor - zij houden zich zelf ook niet aan de regels! Hugo de Jonge ging over de AIVD, overigens.

De politie bewaart al 20 jaar lang gegevens illegaal. En ondanks oordelen van alle instanties en rechters, inclusief de hoogste, besluiten ze daar gewoon mee door te gaan. Bij de AIVD en MIVD speelde net zoiets.

Kennelijk hoeven die regels allemaal niet meer. En gaan we druk door met het verplaatsen van onze overheid naar ongrijpbare clouds ver weg, bestuurd door plekken die het echt niet goed met ons voorhebben.

Heel belangrijk: dit lijkt geen bewust kwaad plan, maar er is ook geen interesse of capaciteit om iets anders te doen. Men rolt als overheid feitelijk achter het bedrijfsleven aan, zonder te beseffen dat een overheid geen schoenenwinkel is, en je niet je hele land kunt uitbesteden om pas daarna nog eens na te denken of dit nou een goed idee was.

En daar zit je dan

Ambtenaren die het opvalt dat hun werkgever onrechtmatig (of heel stom) bezig is weten me vaak te vinden, of ik hoor er indirect van. Dit kan toch niet? Er staat hier toch dat het niet mag? Waarom sturen we dit naar Google? Maar de machine gaat gewoon door. Een slimmerik ontdekt bijvoorbeeld dat het rijksbreed cloudbeleid technisch gezien niet geldt voor zelfstandige bestuursorganen, dus goed nieuws, we kunnen doorgaan met het naar Amerika schoffelen van onze diepste geheimen!

Of men komt weer met l*lverhalen dat het ok is, want Microsoft bewaart onze data op servers in de EU. Dit helpt helemaal niet, zoals Microsoft onlangs onder ede bevestigde. Desondanks noemde de belastingdienst het vorige week wel nog alsof het wat uitmaakte.

Niet alles is overigens strikt gezien onrechtmatig. Met voldoende papier kan je de gekste dingen rechtmatig krijgen namelijk, zoals het aan Google doorgeven van iedere AIVD sollicitatie (!).

Verder komt men ook met fantasieverhalen, zoals “de email en tekstverwerking gaan naar de cloud, maar de bestanden blijven hier”. Iedereen die even nadenkt weet dat die bestanden altijd uiteindelijk OOK in die cloud verwerkt gaan worden.

Ook worden ambtenaren onder druk gezet om goedkeuring te geven voor twijfelachtige dingen, “want we moeten toch door”.

En dat laatste is vaak helemaal niet zo - moet er nou echt nu een experiment gedaan worden met Copilot op gegevens van burgers? Wat zou dat opleveren?

Ik zie mensen persoonlijk kapot gaan aan dit proces, en dat doet vreselijk pijn. Je eigen overheid schendt wetten en regels, gaat bijzondere persoonsgegevens met AI verwerken op Amerikaanse servers, je probeert dat tegen te houden, en ineens ben jij het probleem.

En dat is afgrijselijk.

Je houdt het niet in je eentje tegen

Ik worstel hier zelf ook mee. Maar het is niet te doen. Geen enkel individu kan dit stoppen. Als een overheid collectief heeft besloten zich niet aan de regels te houden dan sta je daar in je uppie machteloos tegenover.

En het ergste is nog dat de mensen die de foute dingen doen geen monsters zijn. Ze werken binnen het systeem en willen “gewoon hun werk doen”. (Boekentip: Lentz).

En voor jou is dit een existentiële crisis. Want je bent bij de overheid gaan werken voor de maatschappij en om dingen beter te maken. En niet om het erger te maken (bijvoorbeeld door illegaal algoritmes in te zetten).

Het systeem is krachtiger dan jij. “De molen” heeft besloten dat het ok is om onze diepste geheimen tegen alle regels in naar Amerika te sturen en ons totaal afhankelijk te maken van de goede wil van Amerikanen, met hun AI.

Nou kan je denken, dat is toch niet zo, dat willen al die mensen toch niet? Daar kan je lang over nadenken, maar een wijs iemand concludeerde ooit “The purpose of a system is what it does” (boekentip: The Unaccountability Machine). En dit is what the system iedere keer does.

Dus het klinkt stom, maar geef het in specifieke gevallen op. Je houdt dit individuele geval niet tegen. En zeker niet door er lichamelijk en geestelijk aan kapot te gaan.

Wat dan wel?

Paar dingen. Om te beginnen, zelfs als je iets niet tegen weet te houden, je kan het wel veel langer laten duren. Als men eerst 4 onrechtmatige dingen per jaar wilde doen dan kan jij dat tot 3 terugbrengen. Big win. Dit stuk is mogelijk inspiratie. Mensen zich aan hun eigen regels laten houden is geen sabotage overigens. Gebruik hierbij vooral ook extern bewijsmateriaal, stukjes van opiniemakers bijvoorbeeld.

Ook is het mogelijk het “politiek duur” te maken. Dus dat iemand hoog in de boom op schrift moet stellen dat de wet geschonden moet worden. Dat kan later carrières kosten, dus topambtenaren schrijven dit soort dingen niet graag op. Het budget voor dat soort brieven is niet groot. Helpt ook alweer. Op kleinere schaal, je kan altijd senior mensen vragen om het nog één keer uit te leggen per email hoe het nou zit, “dan begrijp ik het beter”. Uitgeschreven zien pijnlijke dingen er al snel knap pijnlijk uit, namelijk.

Ook kan het lukken om de scherpe kantjes eraf te halen, of om voorwaarden voor gebruik te realiseren die het project later tot stilstand brengen (“een externe toets”).

Een andere pro-tip is een psychologische life-hack die ik leerde van een wijze journalist/activist. Haal niet je eer uit of het lukt al het onrecht te voorkomen. Maar wees trots en tevreden met je inzet. Soms helpt het, soms helpt het niet, en soms hielp het toch in een later stadium, maar wist jij dat niet. Dankzij jouw lichtend voorbeeld begon met niet aan een andere illegale cloudmigratie “want dat wordt vast ook weer gedonder”.

Haal je geluk uit het goede werk wat je doet, en doe dat zo slim mogelijk.

Want dat is de laatste belangrijke tip - er is een grote hindermacht te organiseren. Medezeggenschapsraden, gemeenschappelijke ondernemingsraden, vakbonden, veel meer mensen dan jij maken zich zorgen over wat er gebeurt. Ook je collega’s vinden het niet leuk dat hun medisch dossier op Amerikaanse servers wordt gezet.

Je zou kunnen denken, ik word klokkenluider, ik ga naar de pers. Maar als iemand met een WOO-verzoek ontdekt hoe we onze gezondheidsdata naar meerdere slecht beveiligde cloudproviders tegelijk sturen dan blijkt niemand er een stukje over te willen schrijven. Verwacht uit deze hoek dus ook niet al te veel. Ook daar lijkt men zich er bij neergelegd te hebben. Doordat ook de volledige pers naar de cloud is gegaan is het overigens heel lastig om veilig bron te zijn nog.

Hou vol, maar denk ook aan jezelf

De overheid en maatschappij binnen de lijntjes houden is het werk van velen. Individueel lukt het niet, en probeer dat ook vooral niet. Schep genoegdoening uit het vertragen van de verkeerde dingen, het heel zichtbaar maken dat het niet kan allemaal, en weet dat je met je werk toekomstige projecten op z’n minst uitstelt, of misschien ziet men er zelfs wel vanaf.

En weet, het ligt niet aan jou. Men is grootschalig verkeerd bezig, zoals bevestigd door de Algemene Rekenkamer en ABD Topconsult. En in het officiële rijksbrede cloudbeleid staat echt opgeschreven dat je na moet denken over nationale veiligheid, en de risico’s van je data neerzetten in landen waar de overheid mee mag lezen. En dat je ook een concreet plan moet hebben voor “direct vertrek”. Wedden dat dat plan er niet is? (Ik heb rondgevraagd, niemand heeft zo’n plan ooit gezien).

Laat niemand je dus vertellen dat dit document niet bestaat, of dat er geen schandalige dingen gebeuren (brief).

Succes!

PS: Er kan ook gestemd worden binnenkort, en er zijn kandidaat-kamerleden die ook vinden dat dit allemaal niet kan. Lijstje op NerdVote.nl.

PS2: Er komt ook een herzien ‘overheidsbreed cloudbeleid’ aan, maar er is grote onenigheid over, dus het duurt nog wel even.

Verder lezen

Het stuk On being useful kan mogelijk nuttig zijn om er (weer) moed in te krijgen.