De overheid heeft te maken met een zich snel digitaliserende samenleving die ook nog eens steeds onstabieler en steeds moeilijker voorspelbaar wordt. Dit brengt tal van vraagstukken met zich mee. Bij consultant Cap Gemini Ernst & Young wordt over deze vragen nagedacht. Een gesprek met principal technology consultant Geert Jan van de Ven en chief technology officer Ron Tolido.
We hebben te maken met een overheid die bestaat uit een half miljoen mensen en die wil communiceren met 17 miljoen mensen in Nederland. Die overheid bestaat uit een smeltkroes van processen, hiërarchie, medewerkers en functies: een grote verzameling entiteiten die vanuit het verleden in grote mate van isolement functioneren en met elkaar communiceren. "Dat geeft een megacomplexiteit," zegt Geert Jan van de Ven, "maar het gaat natuurlijk vooral om de communicatie met die 17 miljoen mensen; dat zijn feitelijk de klanten voor wie je het doet."
Die burger wil een schuur in zijn tuin bouwen waarvoor hij een vergunning nodig heeft. Hij heeft echter geen zin om daarvoor een halve dag vrij te nemen, maar wil in de avonduren de benodigde documenten downloaden van het internet zodat hij de zaak gemakkelijk rond kan maken. Van de Ven: "De vraag voor de burger is: hoe kan ik door die grijze muur heen breken die 500.000 dienstverleners hebben opgetrokken? Een vraag die daar meteen uit voortkomt is deze: wil ik dat iedereen die bij die overheid werkt, zicht heeft op al mijn informatie?"
Berlijnse Muur
De half miljoen dienstverleners van de overheid worden gestuurd door de waan van de dag, door de politiek. Wat vandaag een hot item is waarin alle energie wordt gestoken, kan morgen iets anders zijn. Tolido: "De volatiliteit neemt enorm toe en ook de onvoorspelbaarheid ervan. Dit staat op gespannen voet met het idee dat je beveiliging op een gestructureerde, verstandige manier in de klauwen kunt krijgen en als een afgerond project kunt implementeren. De realiteit is echter een onvoorspelbare draaikolk die allerlei vormen kan aannemen. Je zou dan ook op een nieuwe manier met de feiten moeten omgaan."
Van de Ven: "De overheid is nu sterk gefocust op regelgeving. Iedere ambtenaar wordt bij wet uitgelegd waarvoor hij verantwoordelijk is. Het risico is dat die ambtenaar zegt: ik heb een wettelijke verplichting en daarop word ik afgerekend; ik ga dus stap voor stap wat aan die verplichting doen. Het probleem hierbij is dat het startpunt van het project tot het einde aan toe als uitgangspunt blijft gelden, terwijl de wereld verandert. In deze dogmatische benadering schuilt een groot risico.
Ik wil er dan ook voor pleiten dat ambtenaren vooral doen wat ze wettelijk is opgelegd, maar tegelijkertijd goed om zich heen blijven kijken wat de implicaties zijn van veranderingen in de maatschappij en in de eigen organisatie. De uitdaging is ervoor te zorgen dat je aan het eind van de rit niet alleen maar dat startpunt hebt geïmplementeerd, maar ook alle mutaties die zich in de tussentijd hebben voorgedaan aangevuld met een stuk naar de toekomst kijken. Je moet snel kunnen anticiperen op wat komend jaar gaat gebeuren. Je komt dan op een punt waarbij je constateert dat je niet meer honderd procent volledigheid moet nastreven omdat je constant in de situatie van risicoafweging zit."
Tolido: "Je zult beveiliging veel meer in de processtappen zelf moeten verankeren. Voorheen werd een soort van Berlijnse Muur opgetrokken die daar als iets aparts stond. Dat hield ontzettend op en had niets te maken met de realiteit. Het was niet veranderlijk of flexibel. Je zult het veel meer in de processtappen zelf moeten opnemen. Als je dat goed hebt gedaan, kun je deze processtappen ook veel gemakkelijker loskoppelen en combineren met andere stukken uit zo’n keten en nieuwe ketens creëren."
Verzuilde factoren
Veel ministeries hebben te maken met grote achterstanden. Ze zijn druk bezig om deze weg te werken. "Kortom, hard op weg om aan hun verplichting te doen", zegt Van de Ven. "Sommige ministeries reageren goed op ontwikkelingen in de omgeving, andere niet. Ministeries die het wel goed doen, hebben het aspect beveiliging in alle veranderingen meegenomen; het is onderwerp van het besluitvormingsproces. Als ik nu een proces ga aanpassen, een organisatie ga veranderen of een dienstverlening aan de burger ga wijzigen, heb ik te maken met financiële en personele aspecten, maar ook met betrouwbaarheidsaspecten en dus met kwaliteit van processen en systemen.
Deze ministeries spelen goed in op veranderingsvariabelen. Wat je vervolgens nog moet gaan doen – en dat is binnen de overheid heel lastig -, is nog een stap zetten en je afvragen hoe het er in de toekomst uit zal gaan zien. Om aan te sluiten bij een actuele ontwikkeling: ambtenaren zouden vooraf aan de verkiezingen al moeten anticiperen op hoe het politieke speelveld er na die verkiezingen zou kunnen uitzien. Lastig is natuurlijk dat je niet kunt weten wat er gaat gebeuren. Een extra complicerende factor is dat het gaat om een organisatie die sterk jaarbudgetgedreven is, een duidelijk nadeel ten opzichte van het bedrijfsleven dat daar flexibeler in is."
Volgens Van de Ven is de centrale vraag – of zou dat moeten zijn -: wat heb ik nodig voor het uitvoeren van mijn werkzaamheden om het proces waar die klant op zit te wachten goed te laten verlopen? "Deze vraag zou bij alle beslissingen een belangrijke rol moeten spelen. Bij de overheid bestaat echter een sterke focus op de zogenaamde PIOFAH-factoren: personeel, informatie, organisatie, financiën, algemeen en huisvesting. In het besluitvormingsproces komen deze factoren terug, vaak verzuild. Er worden dan aparte nota’s geschreven over de personeelsaspecten, de financiële aspecten en zo verder."
Taboes doorbreken
Het wordt steeds minder goed voorspelbaar via welke keten er contact optreedt. Tolido: "In beveiligingsland hebben we heel lang geroepen dat je een beveiliging moet creëren van het begin van de keten tot aan het eind. Je moet beveiliging door de hele keten heen kunnen garanderen. Wat we nu langzamerhand gaan zeggen is dat je nooit precies weet welke vorm de keten gaat aannemen; we gaan dan ook naar een situatie van vertrouwen van de ene entiteit naar de andere entiteit. Het gaat erom dat je weet met wie je te maken hebt. Via welke keten of welke kanalen het contact verloopt doet veel minder ter zake; het vertrouwen moet er zijn. Technologie moet dit ondersteunen. Het geeft veel meer flexibiliteit om bij wisselende omstandigheden dingen te kunnen doen die betrouwbaar zijn."
Zo langzamerhand accepteren we dat je niet meer altijd preventief kunt zijn. Tolido: "Preventief is niet hetzelfde als immuun. Je kunt niet alles zien aankomen. We bevinden ons in een dermate onstabiele omgeving dat je niet vooraf alles kunt dicht plamuren, tenzij je de paradox wilt omarmen die zegt: als je niets kunt, kan er ook niets fout gaan. We gaan naar een situatie toe waar we werken met immuunsystemen. Als er iets binnendringt, wordt het heel snel gedetecteerd zodat je daarop snel actie kunt ondernemen. Dit is in beveiligingsland altijd een taboe geweest; degelijkheid heeft altijd de boventoon gevoerd."
Vlieg er eens uit
Volgens Van de Ven is Schiphol hiervan een goed voorbeeld: "Op 11 september legde de IATA een grote hoeveelheid maatregelen op waaraan vliegvelden moeten voldoen. Daar hebben zij bepaalde informatie voor nodig. De marechaussee beschikt over informatie waarmee Schiphol de beveiliging van de luchthaven zou kunnen verhogen. Deze informatie mag alleen niet ter beschikking worden gesteld. Op zo’n moment komt er een proces op gang dat strijdig is met de snelheid die nodig is.
Er is in zo’n geval geen tijd om eerst een commissie te vormen die de zaak gaat bekijken. Je zou daar veel pragmatischer mee om moeten gaan. We bevinden ons in een tijd van toenemende transparantie. Dat zijn veel overheidsdiensten niet gewend. Zo gaan mensen elektronisch hun belastingaangifte doen. Dit betekent dat deze overheidsdiensten koppelingen moeten gaan maken en daar hebben ze last van: ze moeten een afgesloten stuk informatie-infrastructuur gaan openstellen. Je kunt daarvan een meerjarenproject maken of meteen op een praktische manier aan de slag gaan vanuit de gedachte van vertrouwen van de ene entiteit naar de andere entiteit."
Tolido: "Software die dit kan ondersteunen wordt onder meer ontwikkeld door Microsoft, bijvoorbeeld .NET My Services. Dit is een soort van digitale kluis die centraal vanaf het web kan worden benaderd. In deze kluis kun je zien wat de persoon die erbij hoort kan, wil en mag en waar deze dat vandaan haalt."
De overheid heeft zich lange tijd afzijdig gehouden van digitale ontwikkelingen en deze aan de markt overgelaten. Tolido denkt dat we nu op een punt zijn aangekomen waarop de overheid zijn verantwoordelijkheid moet nemen: "Hierbij zal ook zoiets als een digitaal paspoort horen. Dat leidt ook tot infrastructurele vraagstukken. Zo is het niet denkbeeldig dat je straks komt te spreken over de vraag of het feit dat niet iedereen in Nederland toegang heeft tot de kabel, inhoudt dat mensen de toegang tot informatie wordt ontzegd. Ik denk dat de overheid er niet aan ontkomt om ook op dit gebied een duidelijke rol te spelen."
