Hoe een vertragingstactiek het mislukken van Digitaal 2017 bloot legt

De opvolger van de Wet openbaarheid van bestuur (Wob) legt tijdens de behandeling in de Eerste Kamer een pijnlijk probleem bloot: overheden blijken massaal niet hun wettelijke verplichtingen te kunnen nakomen. Ook is het twijfelachtig of de ICT-ambities voor het tot 2019 vertraagde Digitaal 2017 ooit nog wel goed op de rit krijgt.

Voor het zomerreces keurde de Tweede Kamer de Wet open overheid (Woo) goed. Groot pijnpunt volgens de Ministers Plasterk en Blok is het maken van een register met de bij de overheid aanwezige documenten. In zo’n lijst staat welke documenten er bij een bestuursorgaan zijn. Een nogal cruciaal onderdeel wil je ooit nog stukken terugvinden.

Nu de wet bij de senaat ligt en wel eens realiteit zou kunnen worden, laat minister Blok spontaan onderzoek uitvoeren naar de kosten van de invoering van de wet. Het is een beetje laat in het proces en een doorzichtige truc om de nieuwe wet te frustreren, maar ook een helder signaal: de digitaliseringsslag is heel zwak rond de toegankelijkheid van de informatie. Het is een nogal cruciaal detail.

Lezen en begrijpen

Wat de situatie extra pijnlijk maakt, is dat de lijst nu al een verplichting is. De Archiefwet eist dat er een besluit komt of een document nou wel of niet in het archief hoort en hoe openbaar het document mag zijn. Het grote verschil is alleen met de nieuwe wet is dat dat de administratie niet na twintig jaar in orde wordt gemaakt, maar nu al. Je zou verwachten dat dit een logische stap is voor een overheid die uitsluitend nog digitaal wil communiceren met de burger.

Plasterk wat de Woo zou kosten aan … de Belastingdienst. Hoe toevallig zij verwachten dat zij in ieder geval 55 miljoen per jaar kwijt zijn aan het bijhouden van de administratie. De dienst verwacht geautomatiseerd de informatie aan de lijst te kunnen toevoegen, maar niet andere zaken. Het gaat dan om verwerken van de 16.000 klachten, 420.000 bezwaarschriften, twee miljoen notities van de Belastingtelefoon en 76 miljoen aangiften.

Het rubriceren zou 1-4 minuten duren en daarmee kost het ondoenlijk veel geld is de redenering. “Maar bijvoorbeeld een klacht moet gelezen, begrepen en geanonimiseerd worden. En de beleidsdocumenten zijn hier nog niet bijgeteld”, stelt een zegsvrouw.

Duurder

Dat dit slimmer kan, is evident want rubriceren mag gewoon heel algemeen gebeuren. Een klacht is een categorie op zichzelf net als een vraag. Maar belangrijker is de vraag: hoeveel kost het rubriceren als je 20 jaar later een wettelijk verplicht besluit over de stukken neemt?

Volgens Marens Engelhart van het Nationaal Archief stelt tijdens een hoorzitting over de Woo in de senaat dat achteraf behandelen het veel duurder is:

De Wet open overheid brengt eigenlijk de noodzaak naar voren om voor al die organen ook elementen met betrekking tot de openbaarheid in te regelen. Zodra organisaties namelijk archieven overbrengen naar een archiefinstelling, moet aangegeven worden wat het openbaarheidsregime is en of er beperkingen zijn. Als je dat pas doet op het moment van overbrenging, is dat heel veel werk en het is ook kostbaar om dit achteraf te doen. In het wetsvoorstel open overheid wordt dat moment naar voren gebracht. Er zijn dus twee elementen. Het gaat in de eerste plaats om meer organisaties en in de tweede plaats wordt het moment van openbaarheidsbeperkingen naar voren gebracht. Dat is effectiever.

Slechte archivering

Daarnaast wordt iets anders duidelijk: als er nu nieuwe kosten dreigen te ontstaan dan deugt de archivering dus niet. Volgens Blok moet nu worden uitgezocht wat het rubriceren van documenten kost. Al is het nu al een verplichting toch is dit kennelijk een grote onbekende.

Dus als de minister in 2019 überhaupt zijn digitaliseringsambities (Digitaal 2017) al weet waar te maken dan voldoet de overheid nog altijd niet aan de Archiefwet. Een conclusie die wel vaker wordt getrokken. Het parlement vraagt om goede archivering, maar krijgt dat niet.

Informatie verdwijnt dus in systemen waar het niet makkelijk is meer te vinden. Dat verklaart meteen waarom de huidige Wob-verzoeken zoveelk gedoe zijn. De informatie is er wel, maar zo goed verborgen dat zelfs de ambtenaren er maanden aan moeten werken om die ooit nog boven tafel te krijgen.

Jij-bak

Via een goedkope jij-bak schrijven ministers Plasterk (ooit als minister in het verleden verantwoordelijk voor de archieven) en Blok dat problemen nu toe aan de Wet open overheid.

De brief van Blok over het onderzoek naar de invoering van de Woo maakt iets heel duidelijk: Het echte probleem is niet de nogal doorzichtige vertragingstactiek om transparantie tegen te gaan, maar de onkunde de digitale archieven goed op orde te krijgen en het stelselmatig negeren van signalen. Dat probleem materialiseert zich ze met de huidige Archiefwet pas over een jaartje of 20.

 

Een vrij beschikbare bewustwordingstraining

Ieder bedrijf hoort aan bewustwording binnen de organisatie te doen. Dat is niet alleen een onderdeel van beveiligingsnormen, maar ook noodzakelijk om ieder beleid kansrijk te maken. Personeel zal dus moeten worden getraind. Radically Open Security ontwikkelt producten die vrij beschikbaar zijn om te gebruiken en ontwikkelden een bewustwordingstraining in opdracht van een van hun klanten.

De training is kosteloos en herbruikbaar beschikbaar. Hoe dat werkt vertelt Melanie Rieback, de oprichter van het bedrijf, aan Ad Reuijl van het CIP.

 

De documenten van de training zijn hier beschikbaar:

 

 

 

NZa: Niet lullen, maar poetsen!

De Nederlandse Zorgautoriteit bewierookt in een ronkend persbericht zorgverzekeraar CZ voor het openbaar maken van ziekenhuistarieven. Maar die verklaring is hypocriet. De NZa zit namelijk zelf op deze gegevens en houdt ze angstvallig geheim.

Zorgverleners betalen voor veel behandelingen via een standaard codering. Zo is te zien wat bijvoorbeeld het behandelen van een bepaalde beenbreuk kost. De prijs verschilt per ziekenhuis en contract. Het kan zijn dat jouw zorgverzekeraar meer betaalt dan een andere. En ben je niet verzekerd dan betaal je weer een ander tarief.

Database

Dankzij de codering moeten wij als patiënten gaan shoppen en de NZa, de marktmeester in de zorg, moet de transparantie bevorderen. De zorgautoriteit beschikt namelijk over een grote database met daarin alle behandelingen, die zijn gedeclareerd. Je kunt dus heel precies zien wat behandelingen kosten en het zou patiënten enorm helpen als die gegevens controleerbaar zijn.

Dus vroeg de Stichting Open State Foundation in 2014 met een beroep op de Wet openbaarheid van bestuur om die database geheel of gedeeltelijk openbaar te maken. Vervolgens zette de zorgautoriteit alles op alles om juist deze gegevens onder de pet te houden. Er viel nergensover te praten en voor tussenvormen van openbaarmaking stonden ze ook niet open.

Niet transparant

Toen ik voor de stichting naar de rechter stapte, zette de NZa de landsadvocaat in om juist transparantie te blokkeren. Flink investeren in schimmigheid om de zorgkosten geheim te houden. Dat dit betaald wordt van ons belastinggeld en onze zorgpremies laat deze overheid koud.

Inmiddels ligt de zaak bij de Raad van State waar NZa hun ‘no can do’-evangelie blijft verkondigen. Een belangrijke lijn van redenering is de angst dat zorgverzekeraars de kosten van zorgverleners zouden drukken. Zorgverleners zouden dat niet willen. Maar in het hoger beroep hebben we een verklaring van de MC Groep die namens vier ziekenhuizen zegt geen enkel bezwaar voor openbaarmaking te zien.

Hypocriet

Hoe hypocriet is het dat zodra CZ deze tarieven openbaar maakt  NZa in een persbericht de loftrompet gaat steken over transparantie?

De NZa hoopt dat deze stap een versnelling betekent in het beschikbaar stellen van informatie over kwaliteit en kosten van zorg; en dat andere zorgverzekeraars het voorbeeld van CZ volgen.

Of met statements als:

René Jansen, lid van de Raad van Bestuur van de NZa: “Een volgende stap is dat ook andere zorgverzekeraars aan de slag gaan met het inzichtelijk maken van de kosten van ziekenhuisbehandelingen. En uiteindelijk zouden verzekeraars ook meer informatie moeten gaan geven over de kwaliteit van de zorg; patiënten willen graag weten waar je het beste terecht kunt voor een bepaalde behandeling. Dat betekent dat verzekeraars bij de inkoop ook afspraken gaan maken over de kwaliteit van zorg.”

Het cynische van het verhaal is dat de sleutel voor een groot deel bij de NZa ligt. Zij kunnen vandaag nog dit probleem oplossen. In juli wezen we de NZa nog publiekelijk op wettelijke mogelijkheden hiervan. Maar dan moet je wel willen

De oplossing is simpel: maak vandaag nog zorgkosten openbaar

of anders gezegd: niet lullen maar poetsen!

Marieke van der Klaauw: Verstandig omgaan met sociale media

Sociale media zijn voor veel mensen zowel privé als zakelijke een vast onderdeel van het dagelijks leven. We wisselen informatie uit, hebben een mening en soms werk dat het net ingewikkeld maakt om daar goed mee om te gaan. Waar moet je allemaal rekening mee houden? En ooit komt de onvermijdelijke dag dat je het niet goed doet. Hoe ga je daarmee om? Dat vertelt Marieke van der Klaauw, van het Openbaar Ministerie.

De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.

Hobbyproject Stemcomputers

Dinsdag stemt de kamer over een experiment met een stemcomputer. Het hobbyproject ontbeert financiële dekking, sjoemelt met beveiligingseisen en lijkt op één leverancier toe te spitsen.

Het wetsvoorstel is een initiatief van VVD-kamerlid Joost Taverne. Hij wil proberen in een beperkt aantal gemeenten met een computer te stemmen. Wat de test moet kosten is onzeker, omdat de ontwerpen er nog niet zijn. Maar volgens Taverne moeten we rekening houden met een bedrag van minimaal 20 miljoen euro. Landelijk zou dit het tienvoudige zijn.

Geen dekking

Waar het geld vandaan moet komen is voor de VVD’er een raadsel. Daarom wees Minister Plasterk erop dat verkiezingen voor rekening van de gemeenten komen. De reactie van de Vereniging Nederlandse Gemeenten spreekt boekdelen. Na jarenlang roepen dat de computers zoveel geld besparen, hoeven ze hem opeens niet meer.

De rekenmeesters van de VNG zien de bui namelijk al hangen. Na aanschaf van de stemcomputers moet je manipulatie voorkomen. De software heeft updates nodig en fysiek is veel aan beveiliging nodig. Vooral dat laatste is enorm duur als je dat goed wilt doen. Manipuleren kan in seconden. Bewaking is dan ook een continu proces.

Onveilig

Daarnaast valt er al vóór de computer is uitgedacht te twijfelen over de beveiliging. De aangetrokken expertgroep besloot namelijk al heel snel de eisen naar beneden bij te stellen. Wie verkiezingen serieus neemt, zorgt dat mensen in vrijheid kunnen stemmen en dat geheim blijft wat ze stemmen. Ook moet je niet verkiezingen kunnen stelen.

Daarvoor moet je exact weten wat je computers doen: zowel de hardware als de software. Die les hebben we wel van het Volkswagen-dieselschandaal geleerd. Op de productie van de computers zelf zal er volledige regie moeten zijn. Alleen hebben de experts die eis laten vallen, omdat dan de kostprijs van de machines velen malen hoger wordt.

Met dank aan zeer verfijnde microtechnologie wordt het steeds lastiger manipulatie of het opslaan van stemgedrag te detecteren. Dat is allemaal theoretisch geneuzel zolang je de verkiezingen maar gelooft. Alleen als dat niet het geval is dan heb je een dijk van een probleem: verkiezingen gaan immers over het overtuigen van de verliezer.

Grondwettelijke regels

In Duitsland zijn daarom stemcomputers defacto verboden door het grondwettelijk hof. Dat redeneert namelijk zo dat iedereen altijd moet kunnen begrijpen hoe verkiezingen lopen. Kun je het systeem niet uitleggen aan mijn 84-jaar oude moeder dan houdt het gewoon op. Democratie hoort namelijk geen zwarte magie te zijn.

Maar Joost Taverne heeft een broertje dood aan rechters die op grondrechten toetsen. Hij negeerde de uitspraak van het Hof om doodleuk zijn mede politici in het debat te doen geloven dat juist in Duitsland stevig werd geëxperimenteerd met stemcomputers. Minister Plasterk corrigeerde hem hierop.

Ongeloofwaardig

En waarom doet Joost het allemaal? Volgens zijn Twitter-feed voor de gehandicapten, die dan zelfstandig kunnen stemmen. Nogal ongeloofwaardig als je bij de VVD hoort. De partij probeerde een paar weken geleden nog te voorkomen dat ondernemers hun winkels voor rolstoelen toegankelijk moeten maken of hun website vriendelijker voor blinden.

Dinsdag stemt de Kamer het wetsvoorstel waarschijnlijk af. Hoe de computers eruit gaan zien is nog onbekend. Maar waarschijnlijk werken ze ongeveer zoals Smartmatic, dochter van de Britse SGO Groep, ze maakt. Dat bedrijf mocht namelijk op uitnodiging van de VVD een lobbytocht langs politici maken. Ze leveren ook een prima oplossing als we alleen beveiligingseisen en democratische controlemechanisme loslaten.

Plasterk blijft vechten tegen transparantie

Nadat de Tweede Kamer op eigen initiatief een nieuwe wet voor transparantie heeft aangenomen, wil Ronald Plasterk door met de oude wet: maar dan minder transparant.

Nog geen maand geleden stemde het parlement voor de initiatiefwet van GroenLinks en D66 om de Wet openbaarheid van bestuur (Wob) te vervangen door de Wet open overheid (Woo). Een historische stap. Het gevolg is dat meer overheidsinformatie in openbaarheid mag en de burger minder lang hoeft te wachten.

Onfatsoenlijk

Maar voor de Eerste Kamer zich over de wet kan buigen heeft Plasterk een tweede wet ingeschoten bij het parlement. Die wet borduurt voort op de Wet openbaarheid van bestuur (Wob). Om te voorkomen dat golddiggers de wet misbruiken moet er een aanpassing komen: de dwangsom moet worden afgeschaft door wettelijke termijnen een onderdeel van overleg te maken. Ofwel: de burger de rechtspositie af te pakken.

Niet alleen is de methodiek ‘wacht maar tot je een ons weegt’ onfatsoenlijk, maar ook de gang van zaken. Het probleem van de golddiggers is namelijk in de Woo al opgelost en daarover heeft de Tweede Kamer al beslist. Probleem gefixt dus. Door nu de initiatiefwet van het parlement te doorkruisen met een eigen, mindere wet is ronduit onfatsoenlijk.

Dat documenten zo slecht toegankelijk zijn bij veel overheden valt onder verantwoordelijkheid van het Ministerie van Binnenlandse Zaken. En u raadt het al: echt meters maakt Plasterk niet met het fixen van de oorzaak van het laat beslissen op informatieverzoeken: de slechte systemen. Weer onfatsoenlijk, zeker als je beseft dat de Woo wél op die problemen ingaat. Dat is dus drie maal onfatsoenlijk.

Haast

Natuurlijk is er een redenering om dit onfatsoenlijke goed te praten. De minister heeft namelijk haast om dit probleem te fixen. Anders vloeit er zoveel geld weg. Daarom is het ‘spoedwetje’ nodig. Maar de spoedwet heeft wel twee jaar op zich laten wachten. In juni 2015 sprak de kamer er al over.

Dat de behandeling bijna een jaar heeft stilgelegen is op initiatief van Plasterk zelf. Hij schrok van een PvdA-motie. Die stelt namelijk dat de burger wel naar de rechter mag stappen wanneer de overheid de wettelijke termijnen aan de laars lapt. Inmiddels is die motie aangenomen … tijdens de behandeling van de Woo. Dus de spoed is nogal een misbruikt argument.

Sans gêne

De Tweede Kamer zou zich geschoffeerd moeten voelen door het überhaupt inbrengen van deze wet, de schijnargumenten van ‘spoed’ en de gebrekkige informatievoorziening. Deze wet reageert zeven jaar sinds de introductie op een probleem dat inmiddels door het parlement al is verholpen en hoopt duidelijk dat de Woo er nooit gaat komen. Ondertussen raakt het de rechtspositie van de burger. Plasterk is echt sans gêne en echt onfatsoenlijk bezig.

 

1-0

Met het aannemen van de Wet open overheid door de Tweede Kamer staat het 1-0 voor de burgers versus VNO/NCW en de Vereniging Nederlandse Gemeenten. Vooral die laatste club lijkt de eigen organisatie steeds belachelijker te maken.

VNG-directielid Kees Jan de Vet had het er maar druk mee de laatste weken. Hij had rode vingertjes van het sturen van brandbrieven naar de Tweede Kamer en het bellen naar de politici om vooral tegen meer transparantie te stemmen. Zijn verhaal is al jaren dat hij transparantie een warm hart toedraagt, maar de daden van hem en zijn vereniging zijn telkens anders. Zijn club adviseert al jaren in obstructie van transparantie, het op kosten jagen van burgers, het buitenspel zetten van digitale hulpmiddelen en het coördineren van verzet tegen iedere verandering.

Niks bereikt

Als het aan hem en zijn VNG had gelegen, gebeurt er niets. Want zoals de beste man al verkondigde bij een hoorzitting in 2014 wilde hij af van de druk om tijdig volgens de Wob zaken te leveren. De gemeenten zouden dan vanzelf transparanter worden. Een nieuwe wet was volgens hem echt niet nodig. Al eerder werd beterschap beloofd, maar ook toen veranderde er bitter weinig.

Maar transparantie en het leveren van informatie staat of valt met digitalisering van de documentenstroom. Van die stap is ook weinig terecht gekomen. Eerdere initiatieven om bijvoorbeeld het uitwisselen van gegevens te verbeteren zijn onder verantwoordelijkheid van de VNG onder aanvoering van Kees Jan op weinig uitgedraaid.

Geen rol

Hoe het ook zij Kees Jan was actief in het tegenwerken van de wet namens de gemeenten. Het leek goed te werken, want vooral het CDA had goed geluisterd naar de VNG. En ook Plasterk wees erop:

Dat is consistent, mede omdat ook andere overheden, bijvoorbeeld de VNG, kritisch hebben gereageerd op het voorliggende voorstel.

Wat de Minister en de VNG gemakshalve even vergeten, is dat de bestuurdersclub geen overheid is. Sterker nog: wil de VNG namens gemeenten spreken dan moet er een mandaat zijn en dat is er niet. In diverse gemeenten wordt veel transparanter geopereerd en gewerkt aan een digitale omgeving om aan de wet te voldoen. Kees Jan spreekt voor zijn beurt.

Yes we can

Als Kees Jan de energie die hij de laatste weken heeft getoond in het tegenwerken van de wet de laatste jaren had gehad bij voor elkaar boksen van betere archieven, betere transparantie, een cultuurveranderingen dan hadden we misschien geen wetswijziging nodig. Maar het typeert de negatieve houding van de VNG. Altijd ‘nee we kunnen het niet’ als boodschap. In plaats van een optimistische handen uit de mouwen slaan en dingen wel bereiken. Want de stappen om wel informatie toegankelijk te maken zijn niet moeilijk.

Ondertussen is Kees Jan bezig met een nieuw project: een commissie adviseren over het inrichten van het lokaal bestuur. Welke boodschap zal hij daar uitstralen?

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.