Gemeenten en ICT, recht en beleid
het juridisch tijdschrift Computerrecht, beamen. Toch kunnen ICT en recht niet zonder elkaar. Tot slot van deze serie over de gevoelige relatie van gemeenten, ICT, recht en beleid enkele observaties over een taboe-onderwerp.
Elke (top)ambtenaar, bestuurder en politicus zal het belang van goede ICT beamen. Toch blijkt nog steeds dat verschillende ICT-projecten bij de overheid niet goed lopen. Wat maakt het verschil tussen slagen en falen, welke ‘oorzaken, gevolgen en perverse prikkels’ spelen hier een rol? Wat zijn de maatschappelijke kosten? En waar zitten ‘de knoppen om aan te draaien’? Deze ambitieuze vraagstelling gaf de Tweede Kamer mee aan een tijdelijke onderzoekscommissie, kortweg Tcict, met Ton Elias (VVD) als voorzitter.
Trendbreuk
De DigiNotar-affaire, het in 2011 gekraakte bedrijf voor veiligheidscertificaten, heeft gewerkt als een ‘trendbreuk’, zoals een van de vele onderzoeksrapporten het uitdrukte. Zo kwamen er ‘gateway reviews’: bijeenkomsten van externe experts. De Kamer heeft even gewacht op de verkiezingen van vorig jaar. De Tcict heeft nu vijf cases uitgekozen. Een daarvan is de gemeentelijke basisadministratie (GBA) die uiterlijk 2016 moet zijn omgezet in de basisregistratie personen (BRP). Een enorme operatie, die vorig jaar deze tijd nog een ‘code oranje’ kreeg na een herhaalde gateway review.
Inmiddels wordt het aantal openstaande issues beter in de hand gehouden, signaleert minister Plasterk (Binnenlandse zaken), die vasthoudt aan 2016.
De commissie-Elias krijgt te maken met een taboe, zoals Carolien Schönfeld het noemt in haar boek over slagen en falen van ICT-projecten. C. Schönfeld, Hoe ICT-projecten slagen en falen. Leren van pijnlijke mislukkingen. (SDU uitgevers, Den Haag, 2012) De auteur heeft meer dan twintig jaar ervaring met ICT, onder meer als Edp-auditor van de gemeente Amsterdam, waaraan zij een paar pagina’s wijdt onder het kopje ‘libertair anarchisme’. Mede op basis van interviews met dertig uiteenlopende betrokkenen schildert zij een mix van te hoge en wisselende ambities bij opdrachtgevers, afhankelijkheid van leveranciers die zo hun eigen agenda hebben en programmaleiders (en gebruikers) die met de kinderziekten blijven zitten. Uit internationaal onderzoek blijkt dat slechts 20 tot 30 procent van de ICT-projecten slaagt, een even groot percentage sowieso faalt en de uitkomst van de overige projecten wordt betwist. Schönfeld houdt het op 38 procent in de plus en 21 procent in de min. Dat valt niet af te doen met algemene - zij het nog niet onware - verwijzingen naar de ‘kwetsbaarheid van de moderne informatiemaatschappij’.
Sociaal draagvlak
In Computerrecht werd onlangs gesignaleerd dat opdrachtgever en leverancier er vaak niet eens in slagen hun respectievelijk begrip van de inhoud van een ICT-contract expliciet te maken. Dat vraagt niet alleen om beter werk van de betrokken juristen. Het zegt ook iets over de onderliggende besluitvorming over het gebruiksdoel. Hoe actief worden de verschillende belangen opgespoord en betrokken bij het systeemontwerp?
Al in 1988 constateerde het Nijmeegse Instituut voor Toegepaste Sociale wetenschappen (ITS) dat belangenprofielen in geslaagde projecten ‘geschakeerder en veelzijdiger’ waren dan in problematische automatiseringsprojecten. Dat kon net het verschil maken, want de kans op slagen of falen bleek toen al fifty-fifty.
Informatiesystemen moeten het niet alleen hebben van technologische kwaliteit maar ook van een sociaal draagvlak. En dat hangt nauw samen met het vertrouwen dat mensen hebben in informatiesystemen.
Daarmee staat of valt de aanpak van cyberonveiligheid, waarschuwde het kabinet in 2003. Het noemde dit niet alleen een kwestie van technische betrouwbaarheid maar evenzeer van economische en juridische randvoorwaarden.
Eén daarvan betreft de toenemende ‘surveillance capacity’: de dienstbaarheid van ICT om menselijk gedrag te controleren. De Adviescommissie Informatiestromen en Veiligheid waarschuwde in 2007 dat de balans met privacy verstoord dreigt te worden. Het kabinet wilde daar toen niet aan. De DigiNotar-affaire lijkt wel te hebben bijgedragen tot een accentverschuiving. Bij grote ICT-projecten moeten koppeling of verrijking van persoonsgegevens expliciet worden afgewogen, zo nodig in een Privacy Impact Statement. Van belang is ook ‘privacy by design’, het al direct meenemen van privacy in systeemontwerpen. Dat laatste staat ook in Europa op de wetgevingsagenda. Deze trend heeft consequenties voor lagere overheden.
Spaghettischotel
Een rode draad in deze ontwikkeling is de complexiteit van informatiesystemen. Wat dit betreft is het aardig te herinneren aan de zogeheten millenniumbug, waardoor de computers in 2000 op hol zouden slaan. Dat bleek een hype. Maar het dwong bestuurders en beheerders wel nog eens goed naar hun systemen te kijken. Menigeen schrok zich een hoedje van de door de jaren heen gegroeide ‘spaghettischotel’ die ze aantroffen.
Een interessante vraag bij deze wildgroei is die van de eigen verantwoordelijkheid van de ICT-gemeenschap. Ligt er niet een taak voor informatici om als verantwoordelijke professionals hun opdrachtgevers ten minste te attenderen op de potentiële valkuilen in informatieprojecten? Zeg maar: een Social Impact Statement op basis van de beroepsethiek.
Steven Luitjens, hoofd van Logius, de rijksdienst voor de ICT-infrastructuur, gaf niet zo lang geleden een ontnuchterende reactie. Hij zou het al heel wat vinden als de professionals de wetgeving kennen waartoe zij gehouden zijn. De Wet bescherming persoonsgegevens zegt de gemiddelde informaticus weinig of niets. Daaruit valt een-op-een af te leiden wat er gebeurt als hem wordt gevraagd een systeem van uitwisselen of koppelen te bouwen.
Tegenspraak
Daarmee ligt de bal weer bij de opdrachtgever. Zeker in de (inter)gemeentelijke bestuurslaag, die zich er immers op beroept het dichtst bij de burger te staan. De burger komt nogal eens alleen voor als ‘object’, zoals de Raad van State aantekende bij het burgerservicenummer. De toenmalige Raad voor de Certificatie noemde als ICT-kwaliteitscriterium of alle belanghebbenden inspraak hebben gehad op de belangrijke punten van de gekozen systematiek. Niemand zit te wachten op een Poolse landdag. Iets anders is of bij het ontwerp van systemen daadwerkelijk tegenspraak wordt georganiseerd in plaats van af te wachten of burgers ‘piepen’.
Aan de achterkant van ICT-systemen is een behoorlijke behandeling van klachten een verwaarloosd belang. Zeker bij de moderne keteninformatisering. Daarin is al gauw ‘niemand verantwoordelijk’, waarschuwt de Nationale Ombudsman. Hij bepleit een centrale helpdesk die zo nodig een grote schoonmaak kan uitvoeren.
Maar dat is ‘slechts de voorkant van een grote achterkant’, zoals een deskundige het uitdrukte. ‘Als je alles decentraal maakt behalve de helpdesk, dan kan deze helemaal niets.’
Zo’n centraal klachtenpunt lijkt inderdaad een stap te ver. Maar het instellen van serieuze decentrale klachtenpunten en het regelen van een behoorlijke onderlinge taakverdeling is dat niet. Klachtenbehandeling kan trouwens een interessante bron van managementinformatie opleveren. Dat dient dan wel een serieus aandachtspunt van de verantwoordelijke bestuurders te zijn.
Een argument te meer voor de rode draad in deze serie: de zorg voor overheids-ICT hoort - net als overheidsfinanciën - op het hoogste bestuurlijk-politieke niveau. De Tweede Kamer vroeg in zijn opdracht aan de Tcict alvast om een ‘cultuuromslag’.
Abonneer u op BNG Magazine via onderstaande knop.
Stuur uw artikel naar de redactie van BNG Magazine en wij nemen vervolgens contact met u op.