Het nieuwe jaar is (letterlijk) koud begonnen en de media maken al melding van het tweede overheidsprobleem met ict in 2013. Eerst moest DigiD een dag uit de lucht worden gehaald en vervolgens bleek de 'Mijn UWV'-portal al ruim een week niet meer toegankelijk voor uitkeringsgerechtigden.
Je zal maar een uitkeringsgerechtigde werkzoekende zijn die erop vertrouwt dat het met werk en inkomen weer spoedig goed gaat komen dankzij het UWV dat volledig digitaal gaat. Of erger nog, je zal maar een van de medewerkers van het UWV zijn die niet wordt vervangen door ict-voorzieningen en steeds met stoffer en blik achter ict aan moet. Beiden balen als een stekker maar geen van beiden heeft waarschijnlijk een verklaring voor de oorzaak van al die ict-ellende zo vroeg in 2013.
Ruby en DigiD
Is er eigenlijk wel iemand die de oorzaak van al die problemen kan verklaren? In de media lees ik daar immers niets over. Ik lees wel dat DigiD deze keer plat moest vanwege een ernstig beveiligingslek in Ruby On Rails. Dat blijkt een redelijk onbekend open source webapplicatie framework te zijn. Geschreven in Ruby en dat is nou niet bepaald een programmeertaal waarin veel it’ers bedreven zijn.
Met andere woorden: ons toch al kwetsbare nationale user-id met wachtwoord – DigiD – is afhankelijk van een open source product dat is geschreven in een taal die slechts weinigen beheersen. Achter zo’n open source product zou een open source community schuil moeten gaan bestaande uit een grote groep ervaren specialisten die in staat is zo’n beveiligingslek snel te repareren en zorgvuldig te testen. Een korte verkenning leert echter dat deze community minder dan drieduizend contributors telt, waarvan nog geen vijftig die meer dan honderd bijdragen hebben geleverd. In vergelijking met Linux en andere solide OSS-initiatieven slechts ‘anderhalve man en een paardekop’.
Dat Groupon en delen van Twitter ook met Ruby zijn ontwikkeld bevordert het vertrouwen in Ruby wellicht een klein beetje. Als die vijftig ervaren contributors bij een volgende lek echter toevallig allemaal met Kerstverlof zijn, kunnen er bij de Nederlandse overheid (DigiD) toch heel andere problemen ontstaan dan bij de handel in kortingsbonnen en het plaatsen van tweets.
‘Mijn UWV’ softwareprobleem tast ook hardware aan
DigiD wordt gebruikt door tal van Nederlandse overheidsinstanties zoals gemeenten en de belastingdienst. Ook door het UWV voor ‘werk.nl’ en voor ‘Mijn UWV’, dat al ruim een week niet kan worden gebruikt. De twintigduizend mensen die dagelijks inlogden voor het updaten van gegevens en verkrijgen van informatie, ontvangen hun informatie inmiddels weer ouderwets per post en de dienstverlening probeert men af te handelen via de telefoon en een Webcare-team. Of dat echt zoden aan de dijk zet mag worden betwijfeld. Het UWV heeft de gebruikelijke sancties, zoals korten op de uitkering, vanwege de storing niet voor niets tijdelijk afgeschaft.
Ondertussen neemt het UWV de tijd om de portal helemaal opnieuw op te bouwen. Uiteraard samen met de hulp van de oorspronkelijke ontwikkelaars (IBM en Unisys). Niemand heeft enig idee hoe lang dat zal duren en hoeveel geld dat gaat kosten. De storing ontstond bij een software update en blijkt hardnekkiger dan verwacht. Volgens het UWV moet het systeem opnieuw steentje voor steentje worden opgebouwd. Daaraan wordt dag en nacht gewerkt. Aanleiding voor de upgrade was de performance die met de toename van het aantal werklozen in de afgelopen maanden gestaag afnam. De portal is gebaseerd op een Oracle-database die draait op Windows-servers met x86-processoren en het .NET-framework van Microsoft. Een woordvoerder beweert dat door de softwareproblemen ook de hardware bleek te zijn aangetast. Dat klinkt niet alsof de deskundigheid van het UWV afdruipt.
Keus en kneus
Nederland is gestegen naar de nummer twee positie op de wereldwijde digitale dienstverleningsladder, maar de trede waarop we staan kraakt hevig. Ons DigiD is immers afhankelijk van een kleinschalig open source initiatief met bijbehorende programmeertaal en het UWV werkt met een platformcombinatie die door de hoeven zakt zodra de werkeloosheid toeneemt. Dat rechtvaardigt de vraag wie er verantwoordelijk zijn voor dergelijke keuzes en dan bedoel ik niet de bewindspersonen Plassterk en Asscher.
Gelukkig valt er tegenwoordig veel meer te kiezen dan in de decennia die werden beheerst door de legacy platformcombinatie ‘mainframe + Cobol’. Maar als er veel meer keuzes gemaakt kunnen worden, neemt de kans op een verkeerde keuze ook sterk toe. Zeker als de personen belast met de keuzetaak onvoldoende ervaren en competent zijn, of als zij aspecten als maturiteit ondergeschikt maken aan andere belangen. Of is er misschien helemaal geen overheidsdienaar verantwoordelijk voor deze keuzes omdat die taak werd overgelaten aan de leveranciers die de aanbesteding wonnen? Wie kan de keuzes verklaren? Ik schrik nergens meer van sinds René Veldwijk in de Volkskrant van zaterdag 15 oktober 2011 stelde dat de ict-kneuzen in den Haag werkzaam zijn.
Parlementair onderzoek
Sindsdien heeft vooral Ger Koopmans van het CDA zich hard gemaakt voor een parlementair onderzoek dat binnenkort op de rol staat. De tijdelijke commissie ict-projecten bij de overheid is daartoe geformeerd en heeft de aanbesteding gepubliceerd. Hopelijk ruimen de onderzoekers naar de falende ict-projecten bij de overheid ook wat tijd in voor de vraag wie inhoudelijk verantwoordelijk waren voor de platformkeuzes onder DigiD en ‘Mijn UWV’. Welke criteria werden daarbij door hen gehanteerd op het gebied van volwassenheid en bewezen schaalbaarheid?
Helaas vrees ik dat het parlementair onderzoek op dit gebied te weinig ‘lesmateriaal’ zal opleveren omdat DigiD en ‘Mijn UWV’ niet bij de zes geselecteerde onderzoeksprojecten horen. Maar laten we het positief benaderen, misschien speelde iets vergelijkbaars bij een van die zes projecten. Of er bij de overheid sprake is van onverklaarbare platformkeuzes kunnen we dan hopelijk over ruim een jaar beoordelen. Misschien hoeven we daarop niet eens te wachten omdat zich hier een ‘getuige’ aandient met een verklarende reactie betreffende de platformkeuze bij DigiD of UWV.
In de reacties ben ik het eens dat ‘obscuur’ op zijn minst slecht onderbouwd is. Maar wat ik nog mis is iemand die zegt dat het het gewoon onzin is.
RoR is echt niet ‘redelijk onbekend’, het is zelfs al jarenlang één van de bekendere webframeworks. Ik heb er zelf nog nooit mee gewerkt, dus ik ben niet bevooroordeeld. Maar ik houd wel gewoon mijn vakgebied in de gaten.