Tekst Migiza Victoriashoop
Migiza Victoriashoop is redactielid Od
Minder afhankelijk van big tech?
Begin bij jezelf
De roep om digitale autonomie klinkt steeds luider binnen overheden. Grote steden en landen zoeken naar manieren om minder afhankelijk te zijn van big tech en verkennen alternatieven zoals opensourcesoftware en gezamenlijke inkoopkracht. Maar achter deze ambities schuilt een fundamentele vraag: hoe sterk is de overheid eigenlijk in haar rol als opdrachtgever?
Op 28 maart 2024 werd in de Amsterdamse gemeenteraad ingestemd met een initiatiefvoorstel om voor haar digitale diensten en producten minder afhankelijk te worden van grote techbedrijven. Volgens raadslid Elisabeth IJmker (GroenLinks) kleven er risico’s aan het feit dat Amsterdam volledig afhankelijk is van Microsoft voor haar cloudstrategie. Zo is de privacy van burgers niet te garanderen als blijkt dat de Amerikaanse overheid bij de data kan. Maar ook het bedrijfsmodel van de big tech-bedrijven is problematisch: beperkende licenties zorgen ervoor dat het delen en verbeteren van code niet is toegestaan, waardoor burgers en publieke organisaties elkaar niet kunnen helpen om systemen beter te laten functioneren.
Anders
Nee, het moet anders. Amsterdam heeft ambities en verspijkert jaarlijks zo’n 130 miljoen aan ict, en is daarmee een enorme inkoopmacht. Zo enorm dat ze niet hoeven te accepteren dat er onvoldoende volwassen alternatieven zijn buiten big tech: ‘Door aan te geven welke eisen wij zullen stellen bij de inkoop van ict, en hierin samen op te trekken met andere partijen, geven we een duidelijk signaal aan de markt en nodigen we aanbieders uit om verantwoorde ict-diensten en producten te gaan ontwikkelen.’ O ja, en dan worden er wat voorbeelden aangehaald van landen en steden waar ze laten zien dat het wel kan: Tirana – dat bouwt aan nieuwe platforms voor onder andere burgerparticipatie met opensourcesoftware. Duitsland – dat al jaren gebruikmaakt van Nextcloud, ook open source. Kortom, Amsterdam moet naar digitale onafhankelijkheid en raadslid IJmker verzoekt het college te onderzoeken wat er nodig is om dit in 2030 te realiseren. In 2025 volgde hierover een rapport met als conclusie dat zomaar even overstappen niet mogelijk is. Niet alleen vanwege financiële en technische redenen, maar ook omdat het niet wenselijk is, gezien de kwaliteit en continuïteit van de dienstverlening: er is geen of beperkt aanbod wat aan eisen en wensen voldoet. Er komt geen apart actieplan voor digitale autonomie, maar het wordt wel onderdeel van beleid waarbij ingezet wordt op het versterken van samenwerking, regie op data digitaal onafhankelijke infrastructuur en applicaties.
‘ZO MAAR EVEN OVERSTAPPEN IS NIET MOGELIJK EN NIET WENSELIJK’
Zelfoverschatting
Voor een moment wil ik ingaan op het idee waar het voorstel vanuit gaat, de digitale autonomie. Bij het lezen hierover moet ik bekennen dat ik het niet kon laten om een diepe zucht te slaan en mijn ogen omhoog te rollen. Onmiddellijk gingen mijn gedachten terug naar artikelen over falende IT-projecten van de overheid: het elektronisch patiëntendossier (drie miljard), hoger beroep strafrechtsysteem (28 miljoen) en dan is er ook nog het falende nieuwe en “verbeterde” uitgerolde financieel systeem van de gemeente Amsterdam zelf dat dit jaar voorpaginanieuws werd. Met zo’n trackrecord wil deze gemeente in 2030 onafhankelijk worden van big tech? Is dit niet gewoon zelfoverschatting en het sluiten van de ogen voor de realiteit? Maar de gemeente Amsterdam lijkt niet de enige te zijn in deze ambitie. Op zichzelf heb ik er geen probleem mee dat er goed gekeken wordt naar mogelijkheden om niet compleet afhankelijk te zijn van grote tech-bedrijven. Nee, het lijkt me juist goed, zodat de overheid als goed opdrachtgever op kan treden richting bedrijven. En volgens mij valt er in die rol nog veel te winnen. Hoe vaak komt het niet voor dat binnen aankooptrajecten eisen worden gesteld die niet haalbaar zijn of soms zelfs wettelijk verboden? Het aantal keren dat ik tijdens leveranciersbijeenkomsten heb moeten horen dat ambtenaren uitvragen doen die in strijd zijn met hun eigen domeinwetgeving of dat er bij het uitwerken van functionele eisen en requirements binnen de organisatie geen eenduidigheid is over de invulling. Het meest tekenende voorbeeld is voor mij altijd de eis om een vernietigingsfunctionaliteit, zonder dat gebruikers überhaupt hebben nagedacht over of ze informatieobjecten in het bronsysteem willen vernietigen of dat het opheffen van reguliere toegang tot applicaties volstaat. En wat dat betekent voor de organisatie. Ja, zeg het maar opdrachtgever.
Traag
En dan is er de loftrompet die wordt gestoken over open source: transparant, onafhankelijk, fouten kunnen sneller ontdekt worden etcetera. Dat klopt. En ja, er zijn genoeg voorbeelden van overheden die doelbewust opensourcesoftware gebruiken. Neem Frankrijk waar Tchap als open source alternatief werd ontwikkeld voor WhatsApp, Signal en Telegram. Alleen ambtenaren met een gevalideerd mailadres konden dan vertrouwelijke en gevoelige informatie delen, zonder dat deze op servers in Amerika terechtkwamen. Tot in 2019 onderzoeker fs0c131y op Twitter een bericht plaatste omdat vrij eenvoudig kon worden ingelogd en toegang verkregen werd tot diverse chatgroepen. Maar ook Nextcloud – aanbieder van complete controle over data en flexibiliteit in het toevoegen van apps – dat door raadslid IJmker wordt aangehaald om te laten zien hoe goed de Duitse collega’s het doen, kent risico’s. Neem bijvoorbeeld de privacy. Om complete controle te blijven houden over de data, betekent dat de configuraties zelf gehost moeten worden waarbij sterke encryptie wordt toegepast. Als overheid zou je dan ook alle beheer- en onderhoudstaken op je moeten nemen. Een zoektocht door de krochten van het internet laten zien dat de end-to-end encryptie van Nextcloud nog niet volledig functioneel is – we spreken 2025. Daarnaast wordt er door gebruikers ook geklaagd over performance en compatibiliteit. Zo verloopt het verwerken van bestanden en de synchronisatie traag.
‘NEEM NIET HET RISICO ZOMAAR OVER TE STAPPEN OP OPEN SOURCE’
Kind en badwater
Kunnen de hiervoor genoemde zaken niet ook voorkomen bij closed source systemen? Zeker. Maar ik denk wel dat een gemeente – die producten en diensten levert waar burgers en bedrijven op grote schaal gebruik van maken – niet zomaar het risico moet willen nemen volledig over te stappen op open source. Het voelt als het kind met het badwater weggooien. Bovendien wordt daarbij onvoldoende de hand in eigen boezem gestoken: het falen van de overheid als goed opdrachtgever in IT-projecten. Neem de vage opdrachtformuleringen, slechte business cases en impactanalyses op basis waarvan beslissingen worden genomen om vervolgens naar leveranciers te kijken, omdat ze niet leveren. De overheid heeft zelf ook een verantwoordelijkheid te nemen bij de inrichting van het digitale landschap waar ze voor verantwoordelijk is. Slecht opdrachtgeverschap wordt niet opgelost door minder afhankelijk te worden van techreuzen. En de reflectie op de rol van de opdrachtgever mis ik in de discussie rondom digitale autonomie.
