D66 wil het ‘opensource, tenzij’-principe opnemen in de Wet digitale overheid. Het uitgangspunt moet zijn dat software altijd opensource is, aldus het D66-kamerlid Hind Dekker-Abdulaziz. Alleen als het echt niet anders kan, mag dit principe worden doorbroken.
Dit bleek gisteren tijdens een debat in de Tweede Kamer over de zogenaamde novelle die de Wet digitale overheid regelt. Met deze aanpassing van het wetsvoorstel dat al bij de Eerste Kamer aanhangig is, komt staatssecretaris Alexandra van Huffelen tegemoet aan de kritiekpunten van de Eerste Kamer. Deze aanpassing voorziet in het verplicht opensource aanbieden van identificatie- en inlogmiddelen.
Maar D66 wil verder gaan. Queeny Rajkowski (VVD) deelt de voorkeur voor opensource, maar het moet geen heilige graal worden. De keuze voor opensource mag volgens haar niet ten koste gaan van de veiligheid.
Ook Danai van Weerdenburg (PVV) is voorstander van opensource. Maar het gebruik van bestaande opensource-codes is geen garantie dat software veilig is, betoogt ze, wat ook blijkt uit de Log4J-kwetsbaarheid. Ze vroeg zich ook af hoe ‘opensource’ precies wordt ingevuld.
Broncode
Door de openbaarheid van de broncode bij opensource kan iedereen die controleren en verbeteren, aldus Van Huffelen. Het idee is dat de community kan helpen om betere inlogmiddelen te maken. Het is nu nog niet mogelijk om alles voor honderd procent via opensource te doen, maar het streven is volgens de staatssecretaris wel om daar naar toe te groeien. De Kamer stemt as dinsdag over de motie ‘opensource, tenzij’.
Renske Leijten (SP) stelde vast dat ict en overheid geen goed huwelijk vormen. Ze verwees naar het toeslagen-schandaal. Leijten ziet weinig in het inzetten van commerciële partijen bij het aanbieden van inlogmiddelen. Die zullen, zo vreest ze, de verkregen persoonsgegevens gaan gebruiken om geld te verdienen.
Samen met Dekker (D66) diende Leijten een amendement in dat voorkomt dat private aanbieders met inloggegevens commercieel aan de haal gaan. Ze mogen data die zijn verkregen door het gebruik van digitale inlogmiddelen bij publieke diensten niet voor andere doeleinden aanwenden dan authenticatie.
Hoewel het wetsvoorstel regelt dat deze verkregen gegevens niet verhandeld mogen worden om geld aan te verdienen, regelt het wetsvoorstel niet dat deze gegevens niet gebruikt mogen worden voor bijvoorbeeld gepersonaliseerde advertenties. Leijten acht dat onwenselijk vanuit het oogpunt van privacy en gegevensbescherming. Haar voorstel voorkomt daarom dat private aanbieders gegevens van mensen in het contact met de overheid mogen gebruiken voor enig commercieel gewin.
Daar gaan we weer, niet gehinderd door enige kennis van zaken. Als ik de SP kamerleden was zou ik me ook even inlezen in GDPR richtlijnen en DPIA/DTIA werk wat reeds verzet is.
Ik onderschrijf de behoefte aan transparantie over de werking van software. Of Open Source daarvoor de oplossing is, is de vraag, maar à la.
Wat me wel blijft verbazen is dat de overheid zelf bij aanbestedingen nog steeds technologie voorschrijft, die hier niet aan voldoet. Zelfs producten van Big Tech voorschrijft ipv open source alternatieven.
En wat te zeggen van de transparantie van diensten als Google, Whatsapp, etc. waar burgers vaak verplicht gebruik van moeten makken in de communicatie met de overheid. En wat gebeurt er dan met de data van de burgers …..?
Voor transparantie van uitvoering van wet- en regelgeving hebben we alles al in huis. Maar wanneer gaan we daadwerkelijk aan de slag met het vullen van het algoritme register c.q. regels.overheid.nl met regelgeving, de daaruit afgeleide beslis- en rekenregels en de daaruit afgeleide software code, zodat de burger zelfs zelf kan nagaan of de uitkomsten van de overheid kloppen…?
Suggesties?
Daar gaan we weer: ondanks de laatste berichten over protestware in Vue.js, de dreigementen van RIAEvangelist om zijn bijdrage aan de ApachePLC4X te saboteren, de Log4J ellende en de zogenaamde “supply chain” risicos waar honderden commerciële- en opensource software producten open source modules gebruiken die outdated zijn (Synopsys 2022 Open Source Security and Risk Analysis Report) blijven onwetende politici drammen over de veiligheid van OS software “omdat iedereen de code kan inzien”.
Toon mij de ontwikkelaars in Nederland die de code van OpenSSL begrijpen en ik vertel u hoe veilig deze code (met 8000 forks en 1500 issues) werkelijk is. Als je, als bedrijf of overheid, zelf geen actieve bijdrage levert aan Open Source software heb je geen idee hoe (on)veilig de code werkelijk is.
Er is goede code en slechte code, soms Open Source (er is genoeg goede OS software) en soms commercieel. Je kiest voor de beste oplossing voor je probleem met de juiste argumenten. De huidige argumenten om voor Open Source te kiezen zijn te vaak steeds maar herhaalde uitspraken van politici die graag in sprookjes geloven.
Al jarenlang gebruiken de overheid en vele multinationals beveiligingssoftware (login-software) van commerciële partijen. Is er 1 IT expert in dit land die serieus denkt dat deze partijen met login-gegevens van gebruikers de markt op gaan? We hebben GDPR richtlijnen waar alle commerciële leveranciers zich aan moeten houden. Geldt hetzelfde voor OS communities? Ik dacht het niet..
Als opensource ssl niet veilig is welke dan wel ? En zouden die dan gebruikt worden door commerciele partijen. En je browser of email client ? Email internet relays ? DNS ?
8000 forks en veel issues is erg ? Hoe werd daar misbruik van gemaakt, zonder dat snel een patch beschikbaar kwam ?
Weer betalen voor diginotar dan maar ?
Wat zou Jort er van vinden, die verloor net een zaak tegen Google en Twitter. De rechter oordeelde dat deze commerciele partijen slechts een platform zijn en niet verantwoordelijk voor inhoud.
Mevr Leijten stelt dat overheid en IT geen goed huwelijk is. Dat blijkt maar weer uit dit artikel, hoog klok en klepel verhaal in Den Haag. Verschrikkelijk, alsof ze Meta willen gaan inhuren. Ga je huiswerk doen, en nu goed.
Marcel heeft klaarblijkelijk de GPDR niet zo goed gelezen want die is ook geldig voor open source communities, niet alleen voor commerciele aanbieders.
Open source als wat? Lijkt me een goed streven als de overheid de software die ze ontwikkelt beschikbaar maakt voor hergebruik. Natuurlijk zal niet iedereen de code kunnen lezen maar transparantie in de algoritmen is wel prettig, beetje als BRP maar dan beter:
https://github.com/MinBZK/OperatieBRP
De zorg van Leijten gaat voorbij aan de gegevensverstrekking vanuit BRP aan allerlei organisaties, uiteraard met de beste bedoelingen maar vaak zonder een actief consent. Uiteraard geldt dat ook voor betalingsgegevens welke commercieel misschien nog wel interessanter zijn dan persoonsgegevens.
Het rechtmatig verzamelen, verwerken en opslaan van persoonsgegevens is dan ook een dingetje als we kijken naar de doelbinding. En juridische achterdeurtje hierin is niet alleen de derdenverstrekking want onlosmakelijk gekoppelde attibuten zoals een IMEI zijn evengoed persoonsgegevens.
Allen,
Allereerst zeg ik niet dat OpenSSL niet goed is, ik vroeg me alleen af of er iemand is in Nederland die die code en alle forks bekijkt, begrijpt en beoordeeld op veiligheid. Maar ik weet het antwoord al.
Daarnaast is GDPR geldig voor iedereen, en dus ook voor OpenSource communities. Maar hoe wil je dat afdwingen bij communities van 4 personen die overal kunnen wonen.
Wat ik met mijn reactie wilde zeggen was, Open Source code en communities is gewoon code geschreven door gewone mensen. Dus niet naïef ophemelen en iedereen laten geloven dat het alle problemen oplost maar gewoon kritisch zijn en je altijd bewust zijn van de voor- en natuurlijk ook de nadelen.
Mensen mensen, ik denk dat mevr Leijten een stukje slimmer is dan menig matig IT manager die op computable reageert. Ze heeft heel goed door hoe er gewerkt en gehandeld wordt vanuit een winstbelang ‘in de markt’ en dat de samenleving niet de hoogste prioriteit heeft bij bijv Big-Tech.