In de Wet digitale overheid komt geen verplichting tot het gebruik van opensource bij het aanbieden van systemen voor elektronische identificatie. Staatssecretaris Knops (Binnenlandse Zaken) voelt daar weinig voor. Ook privacy by design wordt niet meegenomen in deze kaderwet.
Knops schrijft dit aan de Eerste Kamer. Ter voorbereiding op een later deze maand te houden voorbereidend onderzoek waren vanuit de Senaat hierover vragen gesteld. De vaste commissie voor Binnenlandse Zaken had daarin aangedrongen op een verplichting om middelen voor elektronische identificatie (e-id) opensource aan te bieden. Dit zou de privacy en veiligheid ten goede komen. Als de broncode van de aangeboden e-id-systemen wordt gepubliceerd, kan de gebruiker controleren of die beide zaken goed zijn geregeld.
Volgens Knops is transparantie ook te realiseren met ‘gesloten software’. Opensourcesoftware wordt, zoals hij dat stelt, beveiligd door openheid. Closed-sourcesoftware kan veilig door beschermende maatregelen te nemen.
De staatssecretaris vindt het niet noodzakelijk dat middelen opensource worden aangeboden. Transparantie kan ook met aanbieders van gesloten software worden afgesproken, stelt hij. Belangrijk is de veiligheid van de software, aldus Knops. Met name moet worden gelet op het onderhoud ervan en de garanties voor de continuïteit. Belangrijke processen zoals e-id vergen overzichtelijke componenten. Dit betreft niet alleen de software zelf maar ook de totstandkoming en het onderhoud. Het enkel beschikbaar zijn van een opensourcepakket ‘as is’, dus zonder enige garantie op kwaliteit, zekerheid of een transparant servicepakket, biedt geen meerwaarde. Daarom is ervoor gekozen om opensource niet te verplichten en de eisen inzake veiligheid en continuïteit centraal te stellen. Dit betekent niet dat de mogelijkheid om van opensource gebruik te maken wordt uitgesloten. Over de veiligheid van ‘closed source’ wil Knops afspraken maken met de leveranciers.
Schrik
De Kamercommissie is ook bezorgd over de mogelijkheden die commerciële partijen krijgen door inloggegevens te koppelen en vervolgens gevoelige data te vergaren. Tot haar schrik ontbreekt in het wetsvoorstel een verbod om inlogregisters te gebruiken voor andere doeleinden dan de werking van het identificatiesysteem zelf. Knops denkt dit te voorkomen door het principe van doelbinding. Persoonsgegevens mogen volgens de Algemene Verordening Gegevensbescherming (AVG) alleen worden verzameld voor wel omschreven doeleinden. Het is uitdrukkelijk verboden deze data als handelswaar te gebruiken. Volgens de staatssecretaris is het overbodig om privacy by design in het wetsvoorstel op te nemen. Dit beginsel, dat inhoudt dat er reeds bij het ontwerpen van producten en diensten wordt gezorgd voor een goede bescherming van persoonsgegevens, is al in de AVG vastgelegd.
Wanneer het geen opensource is, vraag ik mij af, hoe ze het voor alle systemen werkbaar willen maken.
Dan moet het via een web-interface, of in Java(script) gebeuren.
Het zal mij benieuwen, hoe ze e.e.a. in een openstandaard vaatje willen gieten, voor meerdere besturingssystemen.
Een paar bemerkingen op de beweringen van de heer Knops:
“Volgens Knops is transparantie ook te realiseren met ‘gesloten software’.” Vraag: Hoe kun je transparantie realiseren door black boxes te gebruiken ?
“Opensourcesoftware wordt, zoals hij dat stelt, beveiligd door openheid. Closed-sourcesoftware kan veilig door beschermende maatregelen te nemen.” Vraag: Als je de werking van software niet mag weten, hoe kun je dan beschermende maatregelen definiëren ?
Het lijkt mij vertandig om te kiezen voor gelaagde beveiliging: Een slotgracht, sloten op de poorten, poortwachters én een kluis voor de waardevolle zaken. Ofwel: Beveiliging door openheid van software én maatregelen om software en gegevens te beschermen
“De staatssecretaris vindt het niet noodzakelijk dat middelen opensource worden aangeboden. Transparantie kan ook met aanbieders van gesloten software worden afgesproken, stelt hij.” Vraag: Hoe kun je transparantie afspreken over ‘gesloten software’ en voor wie is de (ver-)werking dan transparant ?
“Belangrijk is de veiligheid van de software, aldus Knops.”. Hoe kun je software als ‘veilig’ beschouwen als de werking niet bekeken mag worden ?
“Met name moet worden gelet op het onderhoud ervan en de garanties voor de continuïteit.”. Open source software is publiekelijk beschikbaar en biedt daardoor een betere continuïteit dan software die verloren kan gaan bij omvallen van een leverancier. Voor onderhoud aan open source software ben je niet afhankelijk van één partij.
“Belangrijke processen zoals e-id vergen overzichtelijke componenten. Dit betreft niet alleen de software zelf maar ook de totstandkoming en het onderhoud” Overzichtelijk, maar vooral ínzichtelijk !! Dus transparantie is een eis
“Het enkel beschikbaar zijn van een opensourcepakket ‘as is’, dus zonder enige garantie op kwaliteit, zekerheid of een transparant servicepakket, biedt geen meerwaarde.” Dat is een valide statement maar kan geen argument zijn om de eis van transparantie c.q. controleerbaarheid te laten vervallen !
Beetje jammer. Gemiste kans.
Open Source is wat het zegt, een openheid aangaande de broncode wat echter nog niet wil zeggen dat je deze ook aan mag passen of zomaar gebruiken want het intellectueel eigendom moet juridish overgedragen worden middels een licentie. Welkom in de licentie jungle van Open Source als we kijken onder welke voorwaarden broncode beschikbaar is: https://opensource.org/licenses/alphabetical
Het draait dus om de overdracht van het intellectuele eigendom en we kunnen de code die ontwikkeld is op kosten van de belastingbetaler als eigendom van de belastingbetaler zien welke de overheid dus openbaar kan maken voor hergebruik. Helaas blijft de Digitale Overheid nog altijd een eiland zonder een brug naar de burger en is de brug naar commerciële partijen vooral een ezelsbruggetje van slecht contractmanagement. Argumentatie over een ‘citizen review’ van code klinkt leuk maar ervaring met projecten waar de onbetaalde vrijwilligers voor winst zorgen is gewoon uitbuiting, zeg maar zoiets als onbetaald opinies schrijven;-)
Dat OpenSource niet verplicht is, wil niet zeggen dat het geen OpenSource wordt. 🙂
Ook op OpenSource code rusten copyrights (auteursrechten) en wat je ermee mag doen hangt af van de voorwaarden.
In België is het beter geregeld, daar is software gelijkgesteld aan data, en die is bij overheden in principe openbaar.
Daarnaast is software die is gemaakt met gemeenschapsgeld dus ook eigendom van de gemeenschap.
Hopelijk krijgen we in Nederland (spoedig) een soortgelijke regeling.