Alwéér nieuwe ICT-fouten: overheid, laat ons hacken!

Foto: ANP

In een hoorzitting van de Tweede Kamer zal ik vandaag een somber beeld schetsen van overheids-ICT. De zitting is het begin van een groot parlementair onderzoek.

Vele mislukte projecten hebben het parlementair onderzoek getriggered. Bij de flops gaat het vaak om miljarden euro’s, beloftes die niet worden nagekomen en beveiliging waarmee het droevig is gesteld. Er blijkt veel te optimistisch gedacht te worden over dit soort projecten. Optimisme dat eigenlijk nergens op gestoeld is.

Bodemloze put
Sommige projecten bij de overheid zijn een bodemloze put. In 2008 opende de Socialistische Partij een meldpunt voor IT-projecten. Het toenmalig kamerlid – nu directeur van computergebruikersvereniging HCC – Arda Gerkens vermoedde dat er wel tot vijf miljard euro per jaar over de balk werd gesmeten. De Algemene Rekenkamer zou haar later meer dan gelijk geven.

Er zijn nogal wat voorbeelden. De problemen bij de Belastingdienst hebben honderden miljoenen gekost. De OV-chipkaart zou bij tijdige invoering in 2007 drie miljard euro kosten, maar ja … de kaart kwam te laat en ging zeker honderden miljoenen boven de inschatting uit. De geflopte invoering van het Elektronisch Patiënten Dossier (EPD) kost u nu al driehonderd miljoen euro.

Een systeem voor gevangenissen, Cajis, kostte twaalf miljoen euro en kwam er nooit. Het systeem SP Direct voor het plannen van bewakers viel twintig keer hoger uit. Wat de kilometerprijs door de jaren heen heeft gekost, wil ik niet eens weten.

De Algemene Rekenkamer kwam al eerder tot de conclusie dat er te grote risico’s werden genomen, het overzicht zoek was en dat er een ongelooflijk optimisme over de projecten heerste. Kritische geluiden zijn vaak aan dovemansoren gericht. Zo werd hoogleraar Informatiebeveiliging Bart Jacobs uitgenodigd zijn visie over de beveiliging van de OV-chipkaart te geven. Toen hij vervolgens stelde dat de kaart zo lek was als een mandje, werd hij weggehoond door politici.
Twee jaar later toonde ik het gelijk van Jacobs aan en was het parlement geschokt. In een spoeddebat moest de minister opheldering geven. Mijn kritiek kwam mij op een strafzaak te staan. Die werd geseponeerd, maar over de afwikkeling procedeer ik nog steeds, en dat zal – vrees ik – wel bij het Europees Hof eindigen.

Verbroken beloftes
En dan brengt deze ICT niet wat beloofd is. De OV-chipkaart leidt bij blinden, jongeren, ouderen, abonnementhouders en andere reizigers nog dagelijks tot irritaties. Ondanks moties in de kamer is de problematiek rond niet uitchecken niet opgelost. Ook de belofte om de klant niet te dwingen om over te stappen, maar juist te verleiden, werd vervangen door een ordinair door de strot drukken van de kaart.

Het EPD zou de zorg beter maken en levens redden. Maar automatisering is in veel zorginstellingen nog altijd problematisch. Door twee keer verschillende medicatie, dus dubbelop, aan mijn vader te geven, werd hij in coma geholpen. Het startte een tombola aan fouten, die tot zijn dood zou leiden. Ironisch genoeg werkte hij ooit aan een systeem dat dit soort fouten had moeten voorkomen. Dat systeem kwam er niet.
Het ziekenhuis Rijnstate in Arnhem toont aan dat het ook anders kan: goede automatisering hielp mijn moeder namelijk wel heel snel en efficiënt aan correcte behandeling.

Van de belofte serieus te kijken naar open-sourcesoftware, die gratis herbruikbaar en dus inzetbaar is bij de overheid, kwam in de praktijk niets terecht. Ambtenaren kunnen namelijk niet wennen aan een nieuwe interface. Nou, voor een speeltje als een iPad kunnen ze dat. Ook het verplicht gebruik van goed te volgen open standaarden kwam nooit lekker van de grond.

Onveilig
Dat laatste is jammer, want in de verplichte lijst staan twee beveiligingsstandaarden (ISO-27001 en 27002). U voelt hem al aankomen: de organisaties die gecertificeerd zijn, kun je op één hand tellen. Voor zover ik weet is alleen de gemeente Haarlem hard op weg gecertificeerd te worden. Ondertussen zijn er gemeenten zonder een fatsoenlijk beveiligingsplan.

Het gevolg is bekend: de beveiliging bij overheden bleek een complete puinhoop. Nadat ik op Webwereld oktober 2011 omdoopte tot Lektober en iedere dag een privacygevoelige maas liet zien, bleek heel Nederland lek. Tientallen gemeenten werden overhaast van DigiD ontkoppeld, bij honderden sites heb ik in stilte melding gemaakt van ‘reguliere’ lekken en met regelmaat bleek de hele verwerking van persoonsgegevens niet in lijn met de Wet Bescherming Persoonsgegevens. Het Diginotar-debacle was geen toeval, maar de weerslag van een ‘accident waiting to happen’.

Bij de ellende rond stemcomputers kon geen ambtenaar fatsoenlijk uitleggen wat die apparaten doen. Geen overheidsdienaar had de code van de apparaten ooit onder ogen gehad. Onze verkiezingen waren verworden tot een onnavolgbaar proces waar de burger het recht was ontnomen zelf alles te controleren. Een onderzoek bracht vernietigende conclusies en stemcomputers verdwenen.

Totale puinhoop
De overheids-ICT staat er ronduit slecht voor en ambtenaren gaan maar door met nieuwe plannen maken. Gemeenten lobbyen al jaren om vooral maar weer een stemcomputer in te voeren. Hun argumenten? ‘Tellen is zo’n gedoe’, ‘een snelle uitslag is het echte feest der democratie’ en ‘bij handmatig tellen worden er veel fouten gemaakt’. Dat laatste betekent kennelijk dat ambtenaren niet kunnen tellen. Ik zou zeggen: kijk weer eens naar Sesamstraat, want daar leren ze dat aan kinderen.

Onze vingerafdruk wordt opgeslagen in een computer bij gemeenten en moet uiteindelijk in een centrale database komen. Ook wordt keihard gewerkt aan een centrale opslag van persoonsgegevens, zodat hackers straks effectiever gegevens kunnen stelen. Ondertussen is boterzacht wie straks min of meer legitiem door uw gegevens mag grasduinen. Er wordt gewerkt aan een herstart van het EPD, waarvan ik vandaag aantoonde dat ook daaruit door fouten medische gegevens lekken. De OV-chiptrein dendert door zonder dat de klant beter wordt bediend.

Het parlementair onderzoek is hard nodig om de puinhoop op te kunnen ruimen en projecten beter te laten verlopen. Ik zal vandaag oproepen tot het nakomen van beloftes, het serieus nemen van vraagtekens bij riskante projecten en het veilig of helemaal niet verwerken van gegevens van burgers. Ik zal er ook voor pleiten dat hackers gewoon misstanden mogen aantonen zonder vervolging te vrezen. Fouten moeten worden onderzocht op het beter functioneren in de toekomst net als bij vliegtuigongelukken, en niet gericht zijn op straffen van hen die er niets aan kunnen doen.

Voor de journalistiek moet de overheidstegenwerking stoppen. Stoppen zodat verslaggevers zónder bedreiging met totale uitsluiting, zónder procederen voor overheidsinformatie, zónder duizenden euro’s aan kosten voor een paar velletjes A4, zónder vrees op vervolging en zónder eindeloze vertraging gewoon misstanden kunnen aankaarten. De schade van de mislukte projecten haalt de overheid maar bij leveranciers en niet bij de pers. Heel misschien wordt het dan nog wat met de Nederlandse overheids-ICT.


  • Ron

    Beste Brenno (en collega’s);
    Je geeft hier eigenlijk alle problemen al aan.
    Het niet nakomen van afspraken en het proberen monddood maken van journalisten.
    En dat allemaal, om hun eigen onkunde te verbergen !
    Misschien wordt het toch tijd, voor een politieke revolutie………..

  • Servicecentrum Zorgcommunicatie

    In de pers wordt gesteld dat EPD gegevens van een tweetal GGZ instellingen gelekt zijn door een hack op de applicatie van het bedrijf FarMedvisie. De link wordt gelegd met de doorstart van het LSP in gewijzigde vorm. Deze link is onterecht. FarMedvisie is momenteel niet gekoppeld aan het LSP en heeft nooit daadwerkelijke patiëntgegevens uitgewisseld over het LSP. Wel is FarMedvisie in voorbereiding daarop. Daartoe worden testen en kwalificatietrajecten doorlopen, waarbij testgegevens worden uitgewisseld. In 2007 is FarMedvisie gekwalificeerd tegen de toen geldende kwailiteits-eisen. Momenteel worden zij geherkwalificeerd tegen de huidige kwaliteits-eisen, maar dit traject is niet afgerond. Voordat aan deze zware eisen is voldaan, is het klanten van FarMedvisie niet toegestaan gegevens uit te wisselen via het LSP.