Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Remco Groet: Voorbereiden op een datalek

Iedere organisatie wordt een keer geconfronteerd met een datalek. Met die wetenschap kun je voorbereidingen treffen om de gevolgen te beperken als de situatie zich opeens aandient. Welke plannen moet je maken en hoe reageer je als er echt een datalek is. Remco Groet van de Informatiebeveiligingsdienst (IBD) gaat in gesprek met Brenno de Winter over het voorbereiden en het omgaan met een datalek.

Doelgroep: bestuurders en medewerkers van crisisteams die ingezet worden wanneer een datalek een feit is.

Leerpunten:
· Denk na over een datalek voordat het optreedt
· Wees transparant
· Oefen een datalek regelmatig
· Maak een goed communicatieplan

Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

 

SBS6’s Hart van Nederland:

Te gast bij Café Weltschmerz

“Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (Wob) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.”

Brenno de Winter is onderzoeker. Zijn onderwerp is IT en veiligheid. De Winter heeft ca. 2000 Wob (Wet openbaarheid bestuur) verzoeken gedaan. Er is volgens De Winter grote angst bij de overheid om documenten vrij te geven. Terwijl iedere burger in principe een beroep kan doen op de Wob blijkt dat de overheid het gebruik moedwillig frustreert. De overheid weigert bijvoorbeeld uit zichzelf aan te geven welke documenten er over een onderwerp aanwezig zijn en vervolgens worden bij aanvraag de documenten massaal geweigerd. Volgens De Winter kan je niet een maatschappelijk debat voeren bij het ontbreken van kennis over de inhoud. De overheid beroept zich bij weigering argumenten vaak op een waslijst van argumenten. Waarbij de risico’s voor de staatsveiligheid en de privacy van betrokken personen maar al te gemakkelijk centraal staan. Deze geheimzinnigheidscultuur maakt het onmogelijk hulp te verlenen bij organisaties die ontsporen, zoals bij de PGB en om te leren van fouten. Nederland is het enige land in Europa waarbij de informatie architectuur niet op orde is. Men weet niet welke documenten aanwezig zijn en het nazoeken en informeren daarover wordt gaandeweg gefrustreerd. Veel documenten worden daardoor niet gevonden of zelfs achtergehouden.

Valentijnsvonnis: Microsoft’s liefde voor partners

Microsoft heeft alle geldstromen van een zakenpartner platgelegd. De onderneming heeft zeer waarschijnlijk te veel geld aan de gigant betaald en dat is nu gestopt. Ook een zusterbedrijf dat helemaal geen Microsoft-producten gebruikt maar het concurrerende Linux levert, is getroffen door een beslaglegging.

Dat blijkt uit een vonnis waar de Amerikaanse gigant de pijlen richt op Wipa Nederland B.V. Een onbekende mkb-onderneming, die online werkplekken op basis van Microsoft-producten aanbiedt. Klanten loggen in op de server van dit bedrijf en werken zo in de cloud. In 2008 sluiten Microsoft en Wipa een zogenaamde SPLA-licentieovereenkomst af. Om sjoemelen tegen te gaan, kan er een audit op de boeken worden gedaan.

Geen audit

Zo’n audit naar de administratie komt er volgens Wipa en het vonnis nooit. Wel belt een persoon en doet hij alsof hij een nieuwe klant wil worden. Op basis van zo’n verkoopgesprek handelt Microsoft alsof ze een deugdelijke audit hebben uitgevoerd. Wat ontbreekt, is cruciale informatie of klanten zelf al beschikken over licenties, of het salespraatje correcte cijfers geeft of dat de medewerker slechts heeft geschat en welke klanten nu welke licenties nodig hebben.

Wat Microsoft niet doet, doe ik wel: de feiten controleren en kijken in de licentie-administratie. Als de mij getoonde informatie correct is dan kom ik tot een opmerkelijke conclusie: het mkb-bedrijf betaalt zeer waarschijnlijk duizenden euro’s teveel aan licenties. Wipa Nederland B.V. meldt niet altijd een licentie na gebruik af en voor sommige klanten met eigen licenties wordt soms uit voorzorg toch een licentie geregeld. De malversaties die Microsoft beschrijft, zie ik niet.

Ex-parte

Met flarden van het verkoopgesprek in de hand start Microsoft op 14 februari 2017 een procedure bij de rechtbank Amsterdam. Het gaat om een ex-parte zaak. Om geen slapende honden wakker te maken, mag de gedaagde partij zich niet verweren en gebeurt zo’n procedure in het geheim. De eis: leg beslag op de administratie, computers, servers en alle financiële middelen van het bedrijf, het moederbedrijf en een zusterbedrijf dat werkplekken levert op basis van open-sourcesoftware.

Volgens Microsoft draait de zaak om 170.000 euro niet-betaalde licenties. Dit gebaseerd op basis van een verkoopgesprek. Het komt een tikkeltje agressief over om zonder inhoudelijke verificatie vervolgens beslag op alle bezittingen te leggen en dit zes maanden te laten duren voor de inhoudelijke gronden worden aangeleverd. Je weet dat je daarmee een hostingbedrijf uiteindelijk naar een faillissement stuurt.

Dreigen

Natuurlijk heb ik Microsoft herhaaldelijk om uitleg gevraagd. Nogal onder de gordel volgde wel een vraag ‘uit persoonlijke interesse’ of ik bij Wipa betrokkenheid heb. Opmerkelijk voor een bedrijf dat net beslag heeft gelegd op de administratie van dat bedrijf en dat zelf zou moeten kunnen ontkrachten.

Uiteindelijk komt er het volgende statement van het bedrijf:

“We reageren niet op contractuele overeenkomsten met individuele klanten of partners en verschaffen ook geen informatie over lopende juridische zaken. Algemeen kunnen we wel stellen dat Microsoft zijn verantwoordelijkheid om mensen te beschermen tegen de aankoop van illegale of oneigenlijke software zeer serieus neemt. We passen daarvoor treffende maatregelen toe, waaronder contractueel overeengekomen auditprocessen en andere acties om het vertrouwen van klanten in ons partnernetwerk te waarborgen, en om de risico’s die worden veroorzaakt door illegale en oneigenlijke software te verkleinen.” – Microsoft

In het verzoekschrift om een beslag is de advocaat helder. In punt 15 legt hij uit dat er eerst beslag moet liggen om dan na het beslag Wipa uit te nodigen voor overleg. Dat had dezelfde dag nog gekund, maar anderhalve week heeft de reus uit Redmond die belofte niet waargemaakt. Dat zou kunnen duiden op een tactiek: intimideren tot een bedrijf zo onder druk staat dat ze alles wel tekenen om maar niet ten onder gegaan.

Wat deze Valentijnsdag mij heeft geleerd, is dat partners zo’n dag heel verschillend vieren. Waar ik mijn vrouw bloemen en een dinertje gaf, koos Microsoft als een femme fatale voor zijn partner voor een beslag. Ongeacht je eigen trouw kun je sommige relaties beter niet aangaan.

Openbaarheid bestuur: pak obstructie door overheid aan

Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (WOB) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.

 

Tegenwerking en het achterhouden van informatie komen veel voor, heb ik als onderzoeksjournalist gemerkt. In 2009 werden gevoelige documenten over de brand in het Catshuis, waarbij een schilder om het leven kwam, in het kantoor van de landsadvocaat bewaard in de hoop de stukken aan de WOB te onttrekken. In 2015 kwam het radioprogramma Argos erachter dat een ambtenaar van het ministerie van Volksgezondheid, Welzijn en Sport in opdracht documenten over onderzoek naar overtredingen van de drank- en horecawet vernietigde. De gedachte was: documenten die er niet (meer) zijn, hoef je niet te openbaren.

In de huidige jurisprudentie moet de verzoeker bewijzen dat documenten bestaan. Dat is lastig. Een lijst met bestaande documenten is er bijna nooit. In zeldzame voorbeelden in mijn praktijk lukt dat toch. Ambtenaren zien verwijzingen naar documenten over het hoofd of steken het verhaal wel heel knullig in elkaar. Maar in de meeste gevallen staat de verzoeker met lege handen.

De obstructie bij de overheid neemt toe. Sinds de laatste wetswijziging ‘ter voorkoming misbruik’ van de WOB heeft de verzoeker nauwelijks een drukmiddel. Hoe de nieuwe tegenwerking vorm krijgt, laat de gemeente Rotterdam zien. In een onderzoek naar mogelijke fraude ontving ze een WOB-verzoek naar standaard Excel-sheets die bestaan. De wettelijk termijn van vier weken werd niet gehaald, dus volgde een verdaging van vier weken. Ook na een bezwaar kwam er geen besluit. Onder dreiging van een kort geding volgde een brief met vragen die binnen veertien dagen moet worden beantwoord. Doet de verzoeker dat niet op tijd dan ‘kan’ de gemeente besluiten het verzoek niet te beantwoorden. Ook al waren de wettelijke termijnen verstreken, toch schortte Rotterdam de behandeling op.

In de wet staat dat de verzoeker niet hoeft te verklaren waarom hij iets vraagt. Toch bleek ook dat een reden voor het opschorten van de procedure. Toen deze horde was genomen, volgde een besluit door de gemeente. De meeste informatie werd geweigerd. Motivering ontbreekt. De opbrengst: drie A4’tjes met nietszeggende getallen.

De voorbeelden van zulk misbruik van de wet door overheden zijn talrijk in mijn praktijk: het niet overmaken van door de rechter bepaalde onkostenvergoedingen, vertragen, niet motiveren, terzijde schuiven van adviezen van bezwaarcommissies. Wat mij blijft shockeren is de minachting voor de wet die juist bestuurders uitstralen die horen te waken over de rechtsorde.

Eerder nam de Tweede Kamer een opvolger van de WOB aan, de Wet Open Overheid (WOO), die nu voor behandeling bij de Eerste Kamer ligt. Die wet moet zorgen dat er meer gegevens pro-actief openbaar worden gemaakt. Ook wordt een maas in de huidige WOB gedicht, waardoor organisaties die wel overheid of door de overheid gefinancierd zijn geen ‘transparantieverplichting’ hebben. Zoals de NS, de VNG en overheids-ICT-dienstverlener ICTU.

Maar iedere nieuwe wet is een dode letter als deze niet wordt nageleefd. Het probleem is dat het verantwoordelijk ministerie van Binnenlandse Zaken de wet niet handhaaft en dat niemand handhavend optreedt. Ook het parlement verzaakt zijn taak op dit vlak, waardoor de minister geen druk ervaart om een goede WOB-werking te waarborgen. Eens in de vijf jaar moet de minister de wet evalueren. De laatste evaluatie stamt uit 2004. Anders dan publieke druk is er voor overheden geen enkele druk om zich aan de wet houden. Het verbergen van de pgb-miljoenen kan voorlopig doorgaan.

Deze column verscheen eerder in NRC Handelsblad

De onderzoeksraad moet de Digitale Ramp Belastingdienst onderzoeken

Na de onthulling bij Zembla over hoe bij de Belastingdienst met gevoelige gegevens wordt omgesprongen komt de vraag op of er sprake is van een datalek. In antwoord op vragen erkent Staatssecretaris Eric Wiebes (VVD) dat 18 mensen de gevoelige gegevens op een USB-stick konden zetten. Tijd voor een onderzoek naar welke bedrijfscultuur kon leiden tot deze digitale ramp.

In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bij elkaar om zo op basis van big data-technieken fraudepatronen op te sporen. Dat klinkt misschien niet leuk, maar het is wel onvermijdelijk. Via vage grensoverschrijdende bedrijfsconstructies en handelsketens vinden transacties plaats die op een belastingaangifte niet meer terug zijn te vinden. Een minder orthodoxe aanpak is in dat licht wel begrijpelijk, maar die raakt wel de vrijheid van iedere Nederlander.
 
Governance

Bij deze aanpak gaat het om nogal wat gegevens: fiscale data, financiële transacties, reisgedrag, telefoongesprekken met de Belastingdienst, parkeergegevens, vastlegging van auto’s die onder camera’s doorrijden en ga zo maar door. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.
Het in januari 2017 verschenen rapport “Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst” naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:

‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’

18 ontheffingen

Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:

‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’

De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog iemand toestemming gegeven binnen de afdeling D&A om met een usb-stick te werken.
 
Niet geschreven

Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.
 
Onderzoek

Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijken naar de huidige situatie en de vraag of de Belastingdienst nu aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.
 
Allemaal belangrijke informatie, maar nog niet antwoord op de vraag: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Ambtenaren leggen falen ICT-plannen Plasterk bloot

De ambitie van Ronald Plasterk om per 2017 een overheid te krijgen waar je echt digitaal zaken mee kunt doen, is mislukt. Als de cijfers kloppen dan kost allen het inzicht krijgen in de documentenstroom al snel miljarden euro’s per jaar. Nederland ligt mijlenver achter op andere landen.

Dat is het droevige beeld dat ambtenaren (Drs. R.IJ.M. Kuipers, Drs. K. van der Steenhoven en J.B.M. Staal) schetsen in de “Quick scan impact Wet open overheid (Woo)” in opdracht van Plasterk. De centrale vraag bij het kijken naar de opvolger van de Wet openbaarheid van bestuur is wat een register met aanwezige documenten zou gaan kosten.

Alles met informatie (dus ook Facebook-berichten, video’s, foto’s en mails) is een document onder de Wob en ook onder de Woo als deze wet door de Eerste Kamer komt. Dat maakt zo’n register ingewikkeld en duur, stellen de schrijvers. Inmiddels is er al goed onderbouwde kritiek op het rapport die dat in twijfel trekt.

Achterlopen

Nederland loopt achter. Veel overheden hebben nog altijd niet een lijst met welke informatie eigenlijk in huis is. In landen, zoals Noorwegen bijvoorbeeld, worden documenten tot e-mails aan toe in een register opgenomen. Wie informatie wil zoekt die op een website op en krijgt die – tenzij het document niet openbaar mag worden – binnen drie werkdagen. Dat systeem heeft moeite gekost om in te voeren, maar de kosten zijn overzichtelijk gebleken.

In Nederland is dat anders. Het bijhouden van de documenten zouden al snel honderden miljoenen of mogelijk meer dan een miljard euro aan investering vergen. Het veranderen van de cultuur bij ambtenaren zou nogmaals honderden miljoenen gaan kosten. Om vervolgens documenten in het register te verwerken en actief ook documenten openbaar te maken zou nogmaals jaarlijks meer dan een miljard euro kunnen gaan kosten. Daarvoor zouden duizenden ambtenaren extra nodig zijn.

Duurder

Dat lijkt misschien vreemd, omdat we weten dat verschillende soorten informatie bij elkaar brengen niet zo ingewikkeld is. Bijvoorbeeld de NSA doet dat met het PRISM-systeem waar telefoongesprekken, e-mails, chatberichten, Facetime-gesprekken, Skype-gesprekken, Whatsapp-berichten, Facebook-postings, enzovoort opslaat. Die gegevens harkt de organisatie bij elkaar voor alle wereldbewoners waar ze maar bij kunnen komen. De beheerskosten van dat systeem zijn niet meer dan 20 miljoen dollar per jaar. Let wel: wij hebben het alleen over een index.

Voor een deel zit er een in verschil in de onbekendheid in het goed bijhouden wat je in huis hebt en stellen de makers van het rapport dat er miljarden nodig zijn om te lezen of documenten actief openbaar mogen worden. Maar dat verklaart nog niet waarom het maken van een index zoveel meer werk is. Ook fouten in het rapport met betrekking wat er moet gebeuren aan actieve openbaarmaking of het niet inzetten van kunstmatige intelligentie of big data kunnen dit allemaal niet verklaren.

Slecht geregeld

Terecht wijzen de ambtenaren op de excessief hoge kosten van de afhandeling van een Wob-verzoek. Waar dat in andere landen (soms binnen minuten) heel weinig kost, stelt de overheid al snel 5.000 euro per verzoek kwijt te zijn. De toegang tot documenten, het klaar maken om ze vrij te geven en het realiseren van de transparantie is dan ook veel duurder. Voor een goed gedigitaliseerd land als Nederland blijft de overheid kennelijk ernstig steken.

Dat is slecht voor het bestuur. Want volgens de opstellers van de quick scan zou met de introductie van de Woo een zee van 2,5 miljard documenten openbaar worden gemaakt. Documenten die u en ik nu niet zien ondanks al het actief openbaren en het wobben.

Het rapport – met alle tekortkomingen zoals het ontbreken aan harde onderbouwing – is een duidelijk nekschot voor de Wet open overheid. Maar pijnlijker is de snoeiharde beschuldiging dat fatsoenlijk grip krijgen op je documentenstroom als overheid en de inhoud ervan in tegenstelling tot veel andere landen miljarden kost. Plasterk’s erfenis van een overheid die geschikt is voor digitale communicatie is met het gegeven dat we niets een lijst van documenten kunnen maken volledig mislukt. Natuurlijk onder voorbehoud dat dit rapport klopt. Hopelijk gaat een volgende minister orde op zaken stellen.

Rotterdams referendum ontsnapt aan ICT-blunder

Als Rotterdam op 30 november 2016 naar de stembus gaat voor een referendum dan is het een zegen dat de burgers niet kunnen stemmen in de cloud. Volgens burgemeester Ahmed Aboutaleb kan dat namelijk veilig met DigiD. Uit stukken blijkt nu dat basale zaken voor het systeem als het voorkomen manipulatie van de stemmen of het bewaren van het stemgeheim niet zijn afgedekt. Voor de gebruikte software is niet eens een ontwerp beschikbaar.

Op 30 november 2016 stemt Rotterdam over de vraag of 20.000 goedkope woningen mogen worden gesloopt. Aboutaleb wil dat, maar er zijn veel burgers tegen. De burgermeester maakte bekend een referendum hierover in de cloud te willen organiseren, waarbij burgers met DigiD kunnen inloggen. Met een beroep op de Wet openbaarheid van bestuur(Wob) heb ik alle documenten over dit stemmen opgevraagd.

Eerlijke verkiezingen

Om een referendum eerlijk te laten verlopen, moet minimaal aan een aantal eisen worden voldaan:

  1. Waarborgen van het stemgeheim;
  2. Stemgerechtigden moeten daadwerkelijk in staat zijn om te stemmen;
  3. Het niet mogelijk is te rommelen met de stemmen door aanvallers of bestuurders;
  4. De burger kan controleren dat de verkiezingen kloppend verlopen;
  5. Het is duidelijk hoe het kiessysteem werkt;

Deze en alle andere eisen horen thuis in specificaties, systeembeschrijvingen en de beschrijving van gebruikte technieken. Dan kunnen we zien wat het systeem doet en of dat overeenkomt met de eisen. De gemeente Rotterdam heeft die documenten in het geheel niet. Wat de bouwplannen zijn van het systeem is voor gemeente en burger niet te toetsen. Hoe het gebruik van niet anonieme DigiD toch het stemgeheim waarborgt is een raadsel.

Dat is problematisch, maar nog niet onoverkomelijk. Bij ieder systeem draait het om wat er nu daadwerkelijk is gebouwd: de software. Uit de broncode, zeg maar de systeemcode die de programmeurs maken en die het echte programma vormen, blijkt pas echt of aan de eisen wordt voldaan. Maar ook die broncode heeft de gemeente niet. Daarmee ontbreekt ook aan de mogelijkheid om daarop gebruikelijke beveiligingscontroles uit te voeren.

Niet toetsbaar

Wat er geleverd wordt door de leverancier is schimmig en niet controleerbaar. De kiezer kan zelfs niet controleren wat de leverancier zegt te gaan bieden. Want die informatie is volgens Rotterdam een bedrijfsgeheim. Het gevolg is dat de verkiezingen niet toetsbaar zijn. Of het bedrijf te vertrouwen is weten we niet, want ook die naam wordt niet gecommuniceerd. Zelfs basale controles naar de organisatie kunnen we niet uitvoeren.

Wel is gekeken naar veiligheid en een zogenaamde penetratietest uitgevoerd. Daarbij kijkt een bedrijf of er zwakheden van de buitenkant te zien zijn en of daar aan een standaard wordt voldaan. Naar het hele systeem, de kwaliteit van de software of achterdeurtjes is niet gekeken. Ook beschikt de gemeente niet over testrapporten dat de leverancier zelf kwaliteit waarborgt.

Bij het testen is iets ontdekt wat zo ernstig was dat het gerepareerd is en daarna opnieuw getest. In de offerte voor die test staat: “Wel is uiteraard de balans tussen investering en risicoreductie in evenwicht gehouden.” Hoe goed is geïnvesteerd op de testen, wat de bevindingen zijn, is weer geheim.

Zwarte doos

Aboutaleb presenteert een zwarte doos waar nooit harde eisen zijn neergelegd voor een eerlijk verkiezingsproces, dat geen systeemontwerp kent en waarvan hij niet weet wat er uiteindelijk gebouwd is. Er is niet het begin van bewijs dat het DigiD-systeem eerlijke verkiezingen waarborgt. Wat getest kon worden, bleek onveilig en veel is niet getest. Dat is geen goede basis voor een gewoon systeem laat staan voor verkiezingen.

De Verenigde Staten laten zien dat de presidentsverkiezingen voor de machtigste baan onderwerp van discussie kunnen worden door elektronisch stemmen. Gelukkig heeft de gemeenteraad van Rotterdam een stokje voor stemmen in de cloud gestoken. Aboutaleb heeft namelijk geen flauw idee hoeveel Rotterdammers beschikken over een DigiD en hoeveel burgers kunnen stemmen.

Lees de Wob-stukken hier: