Op 5 maart presenteert Lourens Visser tijdens de CIO Dag zijn update van de Strategische I-agenda Rijksdienst van de minister. Hij borduurt voort op de laatste versie, die voor de periode 2019-2021, en de vier prioriteiten daarvan: betrouwbare informatie en data; goedwerkende, samenhangende en robuuste ict; kennis en kunde; en strategische governance op I.
Visser wil naar een versteviging van het cio-stelsel, want: ‘Dat is nu soms nog persoonsafhankelijk en dat maakt ons kwetsbaar. Ik wil ook meer sturen op resultaten.’
Na de eerste honderd dagen in functie is één van de vragen die hem bezighoudt: ‘Wat zou je in de toekomst op een meer centrale manier willen aansturen en wat wil je houden op de federatieve manier zoals de overheid eigenlijk werkt en gewend is te werken, en zoals het ook in de Grondwet verankerd is? Dat vind ik een interessant vraagstuk dat over alle thema’s heen hangt.’
Governance
‘Als je kijkt naar wat nu in de Strategische I-agenda staat rondom ‘Governance op I’, dat is heel erg gericht op de cio-positie bij de kerndepartementen. Ik ben erachter gekomen dat we verschillende cio-types hebben bij het Rijk. Ik ging er vanuit dat de cio eindverantwoordelijk is voor de hele informatievoorziening, inclusief demand and supply en inclusief de delivery. Bij een aantal kerndepartementen echter is de cio vooral I-adviseur of I-controleur, die stuurt geen it-organisatie aan, maar heeft vooral als rol om ervoor te zorgen dat bij beleidsbeslissingen het aspect van informatievoorziening wordt meegenomen. Dan zijn er cio’s die wél een regieorganisatie hebben – dat had ik bijvoorbeeld bij DJI – met de verantwoordelijkheid voor een informatieplan, projecten, functioneel beheer voor allerlei diensten en ook de aansturing van it-leveranciers. En de derde, en dat is eigenlijk de traditionele cio, die is dus verantwoordelijk voor het geheel en stuurt ook een organisatie aan en maakt deel uit van de directie. Een UWV vind ik een mooi voorbeeld daarvan. Die drie types moeten we recht doen, een profielbeschrijving en een plek geven als we het stelsel willen versterken. Natuurlijk is het belangrijk dat de cio positie heeft, maar we zoeken het vaak in de structuur – als je maar een plek hebt en een formele titel, dan is het geregeld. Maar in de praktijk blijkt het niet altijd te werken. Bijvoorbeeld als je kijkt naar BZK, dan lijkt de positie en de ophanging van de cio structureel op orde, maar als ik kijk naar het mandaat wat de cio hier heeft, dan kan dat verder worden versterkt. Dan is dat vooral een I-adviseur, die eigenlijk niet zelf verantwoordelijkheid heeft voor het (laten) uitvoeren van projecten.’
‘Ik ben dus bezig om te kijken hoe we dat stelsel kunnen verstevigen, binnen het federatieve systeem dat we in Nederland kennen. We hebben de Grondwet, ieder departement heeft z’n eigen verantwoordelijkheid – ook voor de bedrijfsvoering en de informatievoorziening en ict – maar er zijn natuurlijk allerlei centrale thema’s waarop we elkaar kunnen helpen, elkaar nodig hebben en elkaar kunnen versterken.’
‘Een gedachte waar ik ook mee speel, is om een adviesraad in te richten voor de cio Rijk. Ik wil mij ook laten voeden door bestuurders, specialisten vanuit de markt en academici op bepaalde thema’s. Gewoon: benen-op-tafel sessies, zonder agenda en zonder te formaliseren, feedback krijgen op waar wij mee bezig zijn. Op wat we goed doen, op wat we minder goed doen, ook als het gaat om het vergroten van de I-capaciteit. Als je het hebt over het Rijk als één concern, dan zit dat voor mij niet zozeer in een centrale sturing, maar veel meer dat er een visie moet zijn op bepaalde thema’s. Bijvoorbeeld de (Rijks)cloud. Ik vind dat wij daarvan de trekker moeten zijn, die visie moeten ontwikkelen, maar die moeten toetsen, binnen het cio-beraad en ook de cto-raad waarin alle it-directeuren zitten. Vanuit die visie ga je naar de planvorming en dan pas kom je bij beleid. Beleid waarvan we zeggen: daar willen we een brief voor naar de Kamer sturen, over welke richting we op willen gaan met de cloud, of op het gebied van informatievoorziening of informatieveiligheid. Daarna kom je bij de kaders en de richtlijnen, en vervolgens is de laatste stap: houdt iedereen zich aan die kaders? Dat laatste betreft dan de monitoring- en de rapportagefunctie die wij hebben en waarvan we verslag doen in de Jaarrapportage bedrijfsvoering Rijk, de derde woensdag van mei, waarin onze stelselverantwoordelijkheid zichtbaar wordt.’
Stelselverantwoordelijkheid
Visser is er de man niet naar om alles in beton te gieten, zegt hij zelf. Neem de recente problematiek rond het lek in Citrix-software. ‘Eigenlijk vind ik het wel mooi in zo’n week, met al die ellende, dat je dan ook eigenlijk vanzelf ziet of dat werkt of niet. Waar is behoefte aan? Waar is geen behoefte aan? Mijn punt is dat ik een goed overzicht wil hebben van hoe het ervoor staat, waar de echte problemen zitten en hoe we daar bij kunnen helpen. Als ik een conference call heb met het cio-beraad tijdens het weekend, dan hoor ik verschillende verhalen, dan zie ik welke verschillende opties er zijn. Dat horen we ook van elkaar en zo kunnen we andere instanties, bijvoorbeeld de Tweede Kamer, helpen om naar scenario’s te kijken, alternatieven uit te werken en verder te komen. Dat vind ik een veel fijnere vorm van die stelselverantwoordelijkheid inrichten en dan later in de evaluatie kijken wat je wilt formaliseren in een protocol of een standaard. Die formele kant speelt zeker bij die versterking van het stelsel, want op sommige plekken vind ik wel dat dit nog teveel afhangt van de persoon die er zit. Die kwetsbaarheid wil ik eruit halen en aan de andere kant wil ik leren van de plekken waar het goed werkt, om te zorgen dat we die goede voorbeelden ook kunnen uitdragen.’
Visser zegt dat door zijn achtergrond in het bedrijfsleven hij vooral naar resultaten kijkt en niet teveel wil voorschrijven hoe tot die resultaten te komen. Hij glimlacht: ‘Dat is wel de neiging die wij hier hebben, terwijl dat ongelofelijk afhankelijk is van de situatie, ik zou bijna ook zeggen van de culturele setting.’
‘Kaders zijn voor mij vooral vangrails en daarbinnen heb je regelruimte, dat moet je ook naar eigen inzicht kunnen doen. Je moet wel de slagkracht hebben om dat te kunnen doen. Ik spreek ook liever van doorzettingskracht dan doorzettingsmacht. Doorzettingsmacht klinkt naar iemand die mandaat heeft en iemand die iemand aanstuurt, maar die besturing op I gaat verder dan alleen maar het cio-beraad, dat ligt echt op bestuurlijk niveau. Ik ben heel blij dat ik eens in de zoveel tijd in het secretarissen-generaal overleg (sgo) langs mag komen om daar te toetsen en inzicht te krijgen hoe het beeld is van hoe de informatievoorziening ervoor staat.’
Informatievoorziening is in feite het primaire proces geworden, stelt Visser en dat stelt ook eisen aan de rol van cio, ‘die dat hele ingewikkelde speelveld van informatievoorziening, waar ook privacy aspecten en informatiebeveiliging onder vallen, beheerst. Defensie heeft het nu zo georganiseerd dat het onderscheid tussen de militaire kant van de it en de bedrijfsvoeringkant ook niet meer gemaakt wordt. Dat kan ook niet meer, want informatievoorziening is het primaire proces geworden. Ook dat heeft de Citrix kwestie aangetoond: een van de kernprocessen van de Tweede Kamer is dat Kamerleden vragen moeten kunnen indienen via een applicatie. En als dat niet op afstand kan omdat de voorziening daarvoor niet beschikbaar is, dan moeten ze dus allemaal naar Den Haag komen.’
Verduurzamen
Voor wat betreft de opbouw van kennis en kunde zijn goede stappen gemaakt. Visser refereert aan de I-functies, de I-trainees, de ontwikkeling van I-Interim Rijk, maar ook de opleidingsprogramma’s van de Algemene Bestuursdienst (ABD) en het initiatief van Radio (Rijksacademie voor digitalisering en informatisering overheid).
In zijn nieuwe plan zet Visser ook stevig in op het verduurzamen van het bestaande ict-landschap. Aan de ene kant betreft het zogenaamde legacy systemen, waarvan hij zegt: ‘Dat is programmatuur die aantoonbaar werkt en als die support heeft van diensten en producten dan kan die wellicht nog tien jaar mee, geen enkel probleem.’ Aan de andere kant is er sprake van meer recente programmatuur of applicaties ‘die veelal als maatwerk zijn opgebouwd en daar zitten producten bij waarop de support langzamerhand verdwenen is, waardoor we kwetsbaar zijn. Verduurzamen is iets waar me met z’n allen voor moeten zorgen. Het gaat ons enorm helpen als we het inzicht daarin blijvend en actueel op orde hebben. Sommige partijen hebben dat voor zichzelf heel goed op orde, andere partijen nog niet, ook dat heeft de Citrix-kwestie aangetoond. Dat inzicht, daar heb ik zelf enorm behoefte aan, maar ik zou dat inzicht ook graag aan de Tweede Kamer of aan de burgers willen meegeven. Dus we werken aan een ‘dashboard van de toekomst’, waar niet alleen de grote projecten op staan maar dat een beeld geeft van hoe het staat met de informatievoorziening bij het Rijk.’
‘En: hoe staat het met innovatie? Spenderen we ook genoeg aan innovatie? Dat mis ik een beetje in de huidige Strategische I-agenda. Mijn doel is niet om allerlei innovaties te gaan opstarten of inrichten, maar ook hier geldt dat ik vind dat meer inzicht nodig is. Diederik van Leeuwen is vanuit I-Interim nu programmadirecteur op de innovaties en ik support dat van harte. Punt is: er gebeurt al wel veel op innovatief gebied, maar we weten het gewoon niet van elkaar en ik vind het belangrijk dat we daar zicht op hebben. Het is niet bedoeld om daarop te gaan sturen. Ik ben groot voorstander van het op drie plekken proberen uit te vinden van een nieuw wiel. Als dat dan maar een klein wieltje is en niet meteen een groot project. Want dat kan op verschillende manieren ingevuld worden, dat kan tot andere resultaten en inzichten leiden, en als je uit drie van die pilotprojecten de beste ervaringen kunt halen en dat gaat opschalen, dan ben je heel goed bezig. Maar het zicht daarop krijgen, het verbinden daarvan, en ook het aanjagen, dat is een taak voor de cio-Rijk.’
Digitale weerbaarheid
Visser heeft nóg twee punten op zijn agenda: het vergroten van de digitale weerbaarheid en het bevorderen van de data-gedreven overheid. Ten aanzien van digitale weerbaarheid: ‘Ondertussen is aangetoond dat we daar een heel sterke afhankelijkheid hebben en daarin trekken we samen op met partijen als het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en ook de veiligheidsdiensten.’
Eerder is ook al de komst van een ciso-Rijk, de chief information securtiy officer, aangekondigd. Visser hoopt die functie dit eerste half jaar ingevuld te krijgen, inclusief een ciso-stelsel.
Ten aanzien van ‘data-gedreven overheid’ merkt hij op: ‘Dat is een gemeenschappelijke deler in alle informatieplannen. Het UWV vind ik een mooi voorbeeld, maar ook het ministerie van Buitenlandse Zaken is erg actief waar het gaat om het bevorderen van data-gedreven besluitvorming; analyses, maar ook algoritmes, dus het automatiseren van besluitvorming.’
‘Ik zit volgende maand bij de Europese Commissie, want ook die lijntjes wil ik wat aantrekken. Niet alleen maar afwachten wat er uit Europa aan plannen op ons afkomt, maar vooral ook inzicht krijgen in wat daar op de agenda staat en welke zaken we mede kunnen beïnvloeden om te zorgen dat er wat eruit komt en dat we daar ook echt iets aan hebben.’
Zo is er vanuit Duitsland gevraagd om aan te sluiten op Gaia-X, het Europese ‘data cloud’ initiatief van Duitsland en Frankrijk om de strategische risico’s bij afhankelijkheid van Amerikaanse en Chinese bedrijven te vermijden en privacy te waarborgen.
Dit artikel is ook te lezen in GOV magazine nummer 17 van Atos.
Wát een goed idee, een ‘adviesraad’!
“ministers bevorderen de instelling van zo mogelijk één adviesorgaan voor het deelgebied dan wel de deelgebieden van de informatievoorziening, waarvoor zij eerstverantwoordelijk zijn. Het adviesorgaan kan de verantwoordelijke minister desgevraagd of uit eigen beweging van advies dienen.” Art. 6 lid 2 Besluit informatievoorziening in de rijksdienst 1990.
Dat idee is dus exact 30 jaar en 2 maanden oud!
Het Besluit IVR 1990 is nog steeds van kracht.
Ik heb nóg een goed idee : “genoemde ministers stellen voor het desbetreffende deelgebied van de informatievoorziening een structuurschets op. Zij stellen de structuurschets bij als de ontwikkelingen op dit deelgebied daartoe aanleiding geven.” Art. 6 lid 3 Besluit IVR 1990.
En wácht! Ik heb nóg een goed idee : “Voordat een geautomatiseerd informatiesysteem wordt ontwikkeld, ingevoerd of gewijzigd, waarbij aanzienlijke risico’s bestaan, laat de minister wie het aangaat een onafhankelijke contra-expertise verrichten.” Art. 12 lid 1 Besluit IVR 1990.
Oh nee, daar hebben we inmiddels het BIT voor, ingesteld 25 jaar na dato.
En waratje, het wérkt!
Visser : “Daarna kom je bij de kaders en de richtlijnen, en vervolgens is de laatste stap: houdt iedereen zich aan die kaders?”
Ehhmm, nee, al méér dan drie decennia niet. Het Besluit IVR 1990 was tóen immers al bedoeld om paal en perk te stellen aan een voortdurend falende overheids-ICT.
“Wie de geschiedenis niet kent is gedoemd ze te herhalen” (Santayana, 1905).
Outside-the-Box-denken wil óók wel helpen.
Zoals een forse update van het Besluit IVR 1990 naar een Besluit IVR 2020, mét tanden.
Want alle oplossingen die destijds zijn bedacht zijn grotendeels nu nog steeds bruikbaar, want de problemen van destijds zijn grotendeels nu nog steeds aan de orde.
I-adviseur
I-agenda
I-capaciteit
I-controleur
I-functies
I-interim
I-ronie
I-trainees
Na het stuk driemaal van onder naar boven en vice versa gelezen te hebben ben ik weinig wijzer geworden van wat het beoogde doel is. Ik lees dat er aandacht is voor i-governance maar tot op heden voldoen 7 van de 10 overheidsinstanties (nog) niet aan de normeringen die het grondwettelijke (en universele) recht om onbespied te mogen leven eerbiedigen. Steeds vaker wordt de (r)overheid door de rechter terug geroepen in de ambities van een iOverheid welke alleen maar de burger criminaliseert, de belastingbetaler als pinautomaat zorgt voor een groeiende maatschappelijk onvrede.
De informatievoorziening van het Rijk is in de provincie bekend als de Haagse Kaasstolp, realiteitsbesef bij bestuurlijke elite aangaande ‘dashboard van de toekomst’ is nogal lachwekkend omdat wet & budget telkens weer de koe in de kont kijkt. En de Commissie Elias maakte duidelijk dat fundament van een goedwerkende, samenhangende en robuuste ICT bij de overheid mist. De strategische governance op I zonder de operationele capaciteit waardoor je de huichelaars van Atos in moet huren geeft wel aan waar de nieuwe kleren van de keizer om gaan.