is columnist van de Volkskrant en werkt als adviseur voor overheden en maatschappelijke organisaties.
Binnen de overheid zijn ze dol op ‘sporen’. Als beleid moet worden gemaakt of als er een netelige kwestie moet worden opgelost, gebeurt dat vaak langs meerdere ‘sporen’. Neem twee van zulke kwesties die afgelopen week opspeelden. Bij de Belastingdienst dook een datakluis op met 64 miljoen bestanden, waaronder stukken die hadden moeten worden overgedragen in onderzoeken naar het toeslagenschandaal. En in de Volkskrant zei de hoogste privacy-adviseur van het agentschap achter DigiD dat zijn advies over de gevaren van een Amerikaanse overname in de wind is geslagen.
In Kamerstukken lees je dat de afhandeling van de datakluis ‘gebeurt aan de hand van twee sporen’ en dat het kabinet, als het om DigiD gaat, ‘handelt naar een driesporenbeleid’.
Het klinkt zo prettig, die sporen. Alsof aan alles gedacht is. Overzichtelijk ook. Maar het is de moeite waard om zulke sporen af te lopen en te zien waar je uitkomt. Dan blijkt dat ze onverwachte kruispunten hebben of doodlopen.
Schuif je deze kalmerende metafoor opzij, dan staat in de brief van de verantwoordelijke staatssecretarissen Eelco Eerenberg (D66) en Sandra Palmen (partijloos) over de datakluis dat er wel erg veel tegelijk gaat gebeuren. Ten eerste: de Belastingdienst gaat kijken wat er in de kluis zit en de Tweede Kamer informeren. Dat is dus dezelfde dienst waar deze kluis al die tijd ten onrechte in stilte berustte, en de dienst met een belangrijke verantwoordelijkheid in het toeslagenschandaal.
Columnisten hebben de vrijheid hun mening te geven en hoeven zich niet te houden aan de journalistieke regels voor objectiviteit. Lees hier onze richtlijnen.
Ten tweede: een niet nader genoemde externe partij gaat onderzoeken hoe de datakluis zo verborgen kon blijven. Dit is vreemd. Het antwoord op de vraag ‘hoe heeft het kunnen gebeuren?’ is nogal relevant voor de vraag wie je nu in de kluis laat neuzen.
Ten derde: gelijktijdig wordt met de onafhankelijke auditdienst een aanpak opgesteld om de informatie in de kluis te kunnen doorzoeken, ordenen, openbaren of vernietigen. Als buitenstaander denk je: is die aanpak niet nodig vóórdat je de Kamer gaat informeren?
Nu zie je voor je dat er paniek was, toen die kluis bekend werd. Op zo’n moment wordt ingeschat: wat gaan Kamer en media van ons vragen? Die willen én snel weten wat er in de kluis zit én snel weten hoe dit kon gebeuren, maar eigenlijk moeten we ook goed nadenken over een deugdelijke aanpak. Weet je wat? We doen alles tegelijk en noemen dat ‘sporen’.
Intussen is dit de olifant in de kamer: de Belastingdienst kan vooralsnog niet zomaar worden vertrouwd bij het doorzoeken van de kluis. Dus moet je óf eerst weten wat er is gebeurd, óf dat zoeken door een andere partij laten doen.
De weg van Pieter van Oordt, chief privacy officer van Logius, het agentschap achter DigiD, blijkt ook langs kronkelige paden te hebben gevoerd, voordat hij de dramatische stap zette om klokkenluider te worden.
Voor wie even kwijt is wat hier op het spel staat: DigiD draait op clouddiensten van het bedrijf Solvinity. Dat dreigt te worden overgenomen door het Amerikaanse Kyndryl. Dan kunnen Amerikaanse veiligheidsdiensten gegevens vorderen en de VS zouden zelfs de beschikbaarheid van DigiD kunnen blokkeren – onder het regime van Trump allesbehalve denkbeeldig. Waterdichte bescherming hiertegen is volgens de veiligheidsanalyse van Logius onmogelijk, maar dit document zou de Kamer nooit hebben bereikt. En Van Oordt werd overruled.
In februari kondigde toenmalig staatssecretaris Eddie van Marum (BBB) in reactie op alle zorgen aan dat het kabinet – daar heb je ze – drie sporen ging volgen en hij beloofde dat de overname niet zou doorgaan totdat deze ‘goed doorlopen’ waren. ‘Dat is de wet’, zei hij.
Spoor één bestond uit controles door de Autoriteit Consument en Markt en het Bureau Toetsing Investeringen (BTI). De eerste, die vooral kijkt naar consumentenbescherming en eerlijke concurrentie, is al akkoord. En de Volkskrant haalde bronnen aan die zeggen dat ook het BTI goedkeuring zal geven. Weliswaar moet dat bureau helpen waken over de nationale veiligheid, maar wel met ‘zo beperkt mogelijke gevolgen voor het investeringsklimaat’.
En hiermee is de haast van Van Oordt verklaard, want wettelijk staat volgens hem zo niets de overname nog in de weg. De andere twee sporen – ‘het uitlopen van een risicoanalyse plus integrale weging’ en ‘de verkenning van mitigerende maatregelen’ doen daar niets aan af. Het ziet ernaar uit dat het kabinet de Kamer destijds een verwarrende routekaart heeft gegeven.
Langzamerhand kan de kwestie-DigiD ook wel een stevig onderzoek gebruiken. Eveneens in februari erkende Van Marum, zonder dat dat veel stof deed opwaaien, dat de overheid maanden tevoren was geïnformeerd over het feit dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat en dat – nu komt het – Solvinity bij Logius en het ministerie van Justitie heeft gepeild of de overheid geïnteresseerd was om Solvinity over te nemen. Dan had Nederland niet alleen het beheer van DigiD in eigen handen kunnen krijgen, maar ook van de IT-systemen van de Nationale Politie, het Openbaar Ministerie, Justitie en de gemeente Amsterdam.
Van Marum schreef dat ‘de overheid dat niet heeft overwogen’, omdat ‘eigenaarschap van bedrijven in principe een marktaangelegenheid is’. Maar Binnenlandse Zaken vond het toch nodig te melden dat er voor ‘toekomstige vergelijkbare gevallen een procedure wordt ontwikkeld’ om ‘de informatie gestroomlijnder te delen met de ambtelijke en politieke top van de betrokken ministeries’. Is dat jargon voor ‘hoe de fuck kan het dat we dit niet wisten’? Interessant spoor.
Geen column meer missen?
Volg uw favoriete columnisten via de app. Klik op het belletje naast de auteursnaam.
Geselecteerd door de redactie
Source: Volkskrant