Dinsdag 27 januari om 18:30 is er in Den Haag in de Tweede Kamer een rondetafeloverleg over de consequenties van de (beoogde) overname van Solvinity voor DigiD. Er komen diverse sprekers, onder andere namens Bits of Freedom, de Dutch Cloud Community, Clingendael, NLDigital (big tech), Stichting Digitale Infrastructuur Nederland. Ook zijn Brenno de Winter en Paul Timmers van de partij. En ik ben er ook.

En u kunt ook komen! Het zou weleens een leuk signaal zijn als de tribune vol zat - soms komen er maar drie mensen opdraven. Voor wie niet kan komen, er zal op Debat Direct ook een mooie stream komen.

Hier een iets verbeterde versie van het position paper wat ik ingediend heb. Mocht u nog inzichten hebben die ik kan delen, mail vooral bert@hubertnet.nl - en mogelijk tot dinsag!

Bekijk ook de overige position papers, of de opname van de technische briefing van ambtenaren over Solvinity en DigiD op 21 januari

Position paper: Overheid & operationele afhankelijkheden

Overheden hebben historisch gezien niet vaak kerntaken (diensten) overgelaten aan de markt.

Overheden zijn altijd afhankelijk geweest van de markt om dingen te bouwen en ontwerpen. Het waren geen ambtenaren die de afsluitdijk aanlegden. En dat is ook prima, zolang je maar je eigen expertise hebt om te bepalen wat er moet gebeuren.

Wat altijd veel zeldzamer is geweest is het uitbesteden van kerntaken. De wegen in Nederland zijn aangelegd door aannemers, maar ze zijn wel van de overheid, en die heeft er ook 24/7 mensen opzitten bij Rijkswaterstaat om die wegen werkend te houden.

In andere landen zijn er ook private aanbieders van (tol)wegen, waarbij het dus zomaar mogelijk zou zijn dat die private aanbieder er geen zin meer in heeft. Daarom wordt zoiets totaal platgereguleerd zodat zo’n wegbeheerder geen rare dingen kan doen, en de wegen altijd blijven werken.

Maar het principe staat verder overeind, overheden besteden hun kerntaken zelden uit. En als ze het al doen houden ze er zeer sterk grip op. De PTT was ooit onderdeel van de rijksoverheid, bij de privatisering tot KPN gebeurde dit met een “gouden aandeel” om initieel de controle te behouden, en ook met grote hoeveelheden telecomregulering.

En nu met de IT

Vreemd genoeg zijn we voor de IT stilletjes van dit beleid afgestapt. IBM, Capgemini (Tweedekamer.nl), reclamebureaus (Werkenvoornederland.nl), Solvinity en overige aanbieders (Microsoft) runnen (stilletjes) hele diensten voor de Nederlandse overheid. Dit gaat verder dan het beschikbaar stellen van het personeel, hele kernfunctionaliteiten draaien 24/7 bij private bedrijven.

Dit is feitelijk zo’n tolweg situatie, maar dan op basis van ’normale contracten’. Dit soort diensten is dus niet platgereguleerd zoals een tolweg. En dat is vreemd, want een tolweg kan je in geval van nood nog door iemand anders laten beheren. Als de weg maar sneeuwvrij is en de camera’s het doen zijn we in business.

Maar als een IT-club overgenomen wordt, en een vitale dienst in gevaar komt, neem je het niet even over. Ook al onderhandel je “step-in” rechten, het is gewoon niet te doen, de complexiteit is te hoog.

De Solvinity-casus is een uitstekend voorbeeld van dit probleem. Een deel van de afgenomen diensten daar is redelijk eenvoudig te verhuizen (het “platform” voor DigiD). Maar juist de diensten voor JenV zitten echt vastgeklonken.

Het is eigenlijk heel vreemd dat we zulke belangrijke diensten buiten de deur belegd hebben, en ook nog eens op zo’n manier dat we niet snel meer weg kunnen (in geval van de JenV diensten). En dit ook zonder de bijbehorende regulering die we eerder wel deden in zulke gevallen. De ARVODI en de AVG zijn te generiek en vrijblijvend voor dit soort situaties.

Waarom overheden dit niet zelf doen

Dit heeft meerdere redenen. Ik heb zelf vanuit het ene stuk overheid bedrijfskritische diensten proberen te leveren aan een ander stuk overheid, en zoiets loopt niet soepel. De overheid tekent doorgaans geen contracten met zichzelf, en zelfs als dat gebeurt zijn ze lastig af te dwingen. Kort gezegd, de ene minister doet dat de andere minister niet aan. Eventuele conflicten over de dienstverlening worden vervolgens wel “via de lijn” afgehandeld, wat buitengewoon inefficiënt is daar de lijn technisch niet erg onderlegd is.

Verder is het lastig om in een ambtelijke context bedrijfsmatige dingen te doen (zoals servers kopen). Ruwweg is de rijksoverheid een administratieve organisatie, dit geldt zelfs voor de uitvoeringsorganisaties. Er zijn wel uitzonderingen, zoals rond Rijkswaterstaat, maar ook daar worstelt men om voldoende expertise binnen te houden & niet alles aan de markt over te moeten laten.

Op IT-gebied zijn er een paar lichtpuntjes binnen de Rijksoverheid, maar het aanvragen van een enkele server daar duurt makkelijk 4 maanden, en kost vervolgens ook nog eens een vermogen. Ik kan de ervaring uit dit stuk persoonlijk bevestigen. Dit alles is ondanks de beste bedoelingen overigens.

Het is vrijwel niet te doen om binnen de regelgeving en cultuur binnen de Rijksoverheid slagvaardig en snel ICT-diensten aan te bieden, met moeilijk te plannen uitgaven en “inkomsten”. Dit is ook begrijpelijk: daar hebben we de Rijksdienst niet voor ingericht.

De geschiedenis van het Rijks Computer Centrum (RCC) is de moeite van het bestuderen waard. Als iemand een betere bron heeft dan hoor ik het graag!

Oplossingen

Er zijn in ieder geval drie opties voor het uitbesteden van voor de maatschappijkritische IT diensten.

1. Wel op de markt inkopen, maar platreguleren, vergelijkbaar met de tolwegen en telecommunicatie. De handelingsvrijheid van de aanbieder wordt hierdoor enorm beperkt, en overheden hebben ook grote hoeveelheden expertise nodig om de marktpartij tussen de lijntjes te houden. De aandacht mag nooit verslappen, want voor je het weet zit je in een situatie waar je nooit meer uitkomt. Het Nederlands Loodswezen BV is een voorbeeld van een pure marktpartij die een overheidsdienst vervult, ingekapseld door een speciale wet.

2. Alleen vervangbare gestandaardiseerde diensten afnemen. Vergelijkbaar met elektriciteit afnemen. Iedereen kan het leveren, je kan altijd switchen naar andere aanbieders. Voor computerdiensten vergt het wel heel veel opletten dat het alleen bij gestandaardiseerde diensten blijft! Op termijn gaat dit vaak mis en raak je toch vastgeklonken aan een enkele aanbieder.

3. Een Rijkscloudbedrijf wat buiten de overheid functioneert, maar wel geheel in handen is van de overheid

As we kijken naar de casus Solvinity, dan hebben we gekozen voor scenario 1, zonder stevig te reguleren. De (onterecht gebleken) hoop was dat het contractueel geregeld was.

1) Inkopen op de markt maar platreguleren

Dit is op korte termijn niet haalbaar omdat het de overheid ontbeert aan de kennis om zoiets goed te doen, en om scherp te blijven tegen de enorme juridische afdelingen van grote aanbieders. “Regulatory capture” ligt op de loer.

Een nuttige vergelijking zijn ook de ziektekostenverzekeraars die een integraal onderdeel zijn van ons zorgsysteem, maar ook private ondernemingen. Maar tegelijk zijn er hele autoriteiten en inspecties en wetten die de handelingsvrijheid van deze verzekeraars sterk inperken, maar daarmee wel garant staan voor de continuïteit.

Ook een relevante vergelijking is de telecomsector, waar de Rijksinspectie Digitale Infrastructuur via de Telecommunicatiewet grote bevoegdheden heeft om onderzoek te doen. En als ze dat dan doen blijkt het vaak een Janboel (KPN, Vodafone, Odido). Maar in ieder geval zijn dit soort bevoegdheden er.

Dit soort inspecties voor vitale diensten is dus geen overbodige luxe.

2) Gestandaardiseerde diensten afnemen

Hier is veel voor te zeggen. In technische termen, als er alleen servers gehuurd worden of containers of standaard SQL databases, dan kan je overal naartoe. Zo huurt de overheid op dit moment, naar verluidt, grote hoeveelheden servers bij Microsoft Azure om het boekhoudpakket SAP op te kunnen draaien. Deze servers zouden uitstekend bij een Europees of Nederlands bedrijf gehuurd kunnen worden, en een migratie naar zo’n lokale aanbieder is dan ook niet heel erg moeilijk.

Dit zou op korte termijn kunnen gebeuren en onze afhankelijkheid van partijen buiten zicht van Europees recht en regelgeving snel kunnen verminderen.

Een overheid kan met het huren van standaard diensten prijstechnisch goed bezig zijn en tegelijkertijd autonomie bewaren. Wel vergt dit een boel discipline om het te houden bij de standaard diensten. De neiging is groot om toch ook maatwerk af te nemen, of diensten die nergens anders precies zo beschikbaar zijn. Ik wijd hierover uit in dit stuk.

3) Rijkscloudbedrijf

We kennen in Nederland vele goed functionerende bedrijven die in staatshanden zijn. Schiphol, de Rotterdamse haven, TenneT en de overige netbeheerders zijn goede voorbeelden. Ook Prorail en de NS functioneren uiteindelijk best behoorlijk, net als de waterleidingbedrijven.

Een bedrijf in bezit van de overheid maakt het mogelijk snel te handelen, en leeft op voldoende afstand van de administratieve Rijksoverheid dat er concrete contracten mee gesloten kunnen worden. Contracten die vervolgens geen onderdeel zijn van politieke discussies, en die afgedwongen kunnen worden op een manier die “pijn” doet bij de aanbieder.

Het moet ook gezegd worden dat het loongebouw binnen de Rijksoverheid zich verzet tegen het waarderen van technisch talent. Geld is zeker niet alles, en je moet ook niet de salarisstrijd aan gaan met Google. Wij zullen nooit drie ton per jaar betalen voor een programmeur, hoe goed ze ook is. Maar het alternatief voor veel geld bieden is een gevoel van missie, het geven van respect aan, en het waarderen van de technisch medewerker, en ook dit is bijzonder lastig binnen de rijksoverheid. Aldaar waardeert men andere vaardigheden.

Er zijn overigens plekken binnen de overheid waar men er wel redelijk in slaagt IT talent te waarderen, te boeien en te binden (AIVD en MIVD bijvoorbeeld), maar dit zijn de uitzonderingen, en het kost moeite. Zo is er in het verleden ICT-talent aangewezen als “30% beleidsambtenaar” als truc om de functie een salarisschaal hoger in te kunnen schalen. Dat geeft de relatieve waardering al aan.

Een Rijkscloudbedrijf zou, “by design”, het hier veel makkelijker mee kunnen hebben. Ook kan de inkoop van apparatuur en diensten veel gemakkelijker lopen omdat deze in ieder geval veel minder onderhevig zijn aan de Aanbestedingswet 2012.

Keerzijde is wel weer dat zo’n Rijkscloudbedrijf dan zelf mee moet doen aan aanbestedingen van de Rijksoverheid, of in ieder geval op een specifieke manier concessies of gunningen moet krijgen. De vreemde wet Markt en Overheid, die toch meer voordelen biedt aan de Markt dan aan de Overheid, biedt hiertoe richting.

Afsluitend

Kerntaken moeten nabij de overheid zijn, en onder stevige controle. Het is lastig om ambtenaren het technische werk rechtstreeks te laten doen. Maar het gewoon aan de markt overlaten is ook geen succes gebleken, we zijn nu voor werkelijk alles afhankelijk van Amerika. We hebben dit laten gebeuren.

Een optie is om dingen aan de markt over te laten, maar dan zeer stevig gereguleerd, zoals we doen voor zorg(verzekeringen), telecommunicatie, en het loodswezen (als voorbeelden). Dit is niet makkelijk en vergt ook weer een hoop expertise om het goed te doen, en specifieke wetgeving.

Een tweede optie is om alleen diensten in te kopen die makkelijk uitwisselbaar zijn. In dat geval kunnen ook meerdere leveranciers tegelijk gebruikt worden, en kan men switchen als er gedonder is. Maar, het vergt een hoop discipline en expertise om dit strak te houden. Maar op korte termijn zijn hier al stappen mogelijk om een beweging richting lokale aanbieders te maken, specifiek bij de inhuur van servers.

De derde optie voor een Rijkscloudbedrijf verdient wat mij betreft ook stevige aanbeveling. De precedenten van Schiphol, de havens, TenneT geven aan dat zoiets kan. Zo’n bedrijf kan nooit overgenomen worden en indien nodig kan de directie vervangen worden. Ook kan er afgesproken worden hoe er toezicht wordt gehouden.

Maar wat we vooral niet moeten doen is kerntaken van de overheid overlaten aan het reguliere bedrijfsleven zonder een dikke deken van toezicht, regel- en wetgeving. Want zo geef je de staatsmacht uit handen zonder de touwtjes in handen te hebben.