Bert Hubert maakte met hulp van insiders een lijst van organisaties die afhankelijk zijn van big tech. Die loopt van de landelijke politiek tot krantenuitgeverijen. Zijn voorstel: de cloud-outwoensdag, om erachter te komen wat er dan nog werkt.
is techverslaggever van de Volkskrant.
‘Kunt u daar nog even aan toevoegen hoeveel miljoen gebruikers u heeft?’, vraagt Bert Hubert aan de directeur van een Nederlandse e-maildienst, nadat die zich heeft voorgesteld aan een zestal Kamerleden. De directeur: ‘Drie miljoen gebruikers.’
Het kan dus wél, wil Hubert maar zeggen, de samenleving laten draaien op Nederlandse technologie. Die D66-campagnespreuk is al verworden tot kreet van deze bijeenkomst, zo eensgezind zijn de tien vertegenwoordigers van de Nederlandse techsector en de aanwezige Kamerleden, van wie de meeste lid zijn van de vaste commissie digitale zaken.
De aanbieders staan klaar, zeggen zij deze maandagmiddag, eind januari, een voor een in het Tweede Kamergebouw. Nu moet de overheid ze nog inhuren. De Kamerleden, die het initiatief namen voor de bijeenkomst, knikken instemmend. ‘We moeten hier vandaag nog mee aan de slag’, is de consensus.
Ineens is digitale autonomie een hot topic. Met een Amerikaanse president die zich steeds vijandiger opstelt tegenover zijn bondgenoten, doet de Europese afhankelijkheid van een handjevol techbedrijven, veelal uit zijn land, plots benauwend aan.
Donald Trump liet al zien dat hij ertoe in staat is: die afhankelijkheid inzetten als wapen. Dat gebeurde nog geen jaar geleden, maar de anekdote is al haast sleets, zo vaak wordt door techexperts aangehaald hoe de hoofdaanklager van het Internationaal Strafhof zijn werkmail niet meer in kwam. Hoe Microsoft hem de toegang ontzegde op bevel van de Amerikaanse president, als repercussie voor het arrestatiebevel tegen de Israëlische premier Benjamin Netanyahu.
‘Ik stap even uit mijn rol als onafhankelijk gespreksleider’, zegt Hubert vandaag, als hij het Strafhof noemt, ‘om te benadrukken hoe belangrijk dit onderwerp is.’
Eerder dan onafhankelijk gespreksleider is Hubert (50) aanvoerder van de delegatie Nederlandse techneuten. De softwareontwikkelaar verkocht twee succesvolle bedrijven, waaronder PowerDNS, waarop nog altijd een belangrijk deel van het Nederlandse internet draait. Daarna werkte hij als beoordelaar van spionageverzoeken bij de AIVD. En inmiddels – hij hoeft niet meer te werken – past het etiket van techactivist hem misschien nog het beste, zegt hij na de bijeenkomst in het café in het Tweede Kamergebouw.
Als een onofficiële toezichthouder houdt Hubert de technologische ontwikkelingen in de publieke sector in de gaten. Zijn bevindingen en kritiek plaatst hij in blogs op zijn website. Afgelopen week deed zijn overzicht van organisaties die voor hun dagelijks functioneren afhankelijk zijn van Amerika stof opwaaien: van de Eerste en Tweede Kamer tot De Nederlandsche Bank, en van ziekenhuizen tot Volkskrant-uitgever DPG.
Hij constateerde daarin onder meer dat, ondanks alle (voorgenomen) bewegingen weg van de Amerikaanse cloud, de Sociale Verzekeringsbank juist meer data naar Microsoft verplaatst.
Waar haalt u die informatie vandaan?
‘Op de verzamelpagina voor ICT-vacatures kondigde de Sociale Verzekeringsbank vrolijk aan volledig over te stappen op Microsoft Azure.’ Nadat Hubert die uiting aan de kaak had gesteld, corrigeerde de SVB zichzelf. ‘Ze zeggen nu dat er allemaal leugens op hun website stonden.’
Dat gelooft u niet?
‘Nee. Ik krijg elk uur mails van mensen, vaak bedroefde medewerkers of systeembeheerders die worden vervangen door de diensten van Microsoft, die mijn lijst aanvullen en corrigeren. Eén ding klopte niet, dat heb ik aangepast. Maar dit voornemen van de SVB wordt bevestigd door insiders en stond ook in Tweede Kamerdocumenten. Bovendien is het volledig in lijn der verwachting dat ze naar de cloud gaan – alle overheidsinstellingen zijn dat de laatste jaren aan het doen.
‘Je moet je voorstellen: de Sociale Verzekeringsbank is een oude organisatie, die in de kelder stokoude computers heeft staan. Ze zouden ervoor kunnen kiezen om die te vervangen. De Belastingdienst doet dat ook deels en geeft daarmee het goede voorbeeld. Maar blijkbaar heeft men op de meeste plekken besloten dat het beheren van je eigen computers zoiets is als het beheren van je eigen elektriciteitscentrale. Op topniveau wordt gedacht: ik stook toch ook mijn eigen kolen niet?
‘Bovendien heeft de Nederlandse overheid amper datacenters. Alle ruimte daarvoor – en dus ook de stroomaansluitingen – wordt opgepeuzeld door die bedrijven, zoals je nu ook weer ziet met de drie datacenters die Microsoft gaat bouwen in Amsterdam. In plaats van daar zelf in te investeren is de overheid klant.
‘Voor een schoenenwinkel is dat een goed te begrijpen ontwikkeling. Die kan zeggen: data is niet mijn corebusiness. Maar bij een overheidsorgaan is het dat wel. Alleen wordt het behandeld alsof het de catering is.
‘Mooi voorbeeld: mijn vader was hier in de Tweede Kamer vroeger hoofd ICT. Dat viel onder de afdeling facilitair beheer, samen met de toiletten en de koffieautomaten. Zo laag in een organisatie gaat natuurlijk niemand strategisch nadenken. Dan is het een kwestie van: waar halen we de goedkoopste computers vandaan?’
Hoe kan iets met zo’n strategisch belang zo worden verwaarloosd?
‘Bestuurders hebben meestal heel weinig technische kennis. Stel je voor dat er dan iemand aan je bureau komt staan die zegt: ‘Dat nieuwe datacentrum hè, gaan we dat koelen met vloeistof R32 of R147?’ Dan denk je: ga weg. En vervolgens komt er iemand van Microsoft langs die aanbiedt om het allemaal voor je te regelen.’
Maar ondertussen kan zelfs de meest digibete bestuurder toch niet meer heen om het thema digitale autonomie?
‘Lang niet iedereen neemt het zo serieus. Er wordt vaak gezegd dat de economische belangen te groot zijn voor die bedrijven om hun diensten stil te zetten. Dat klopt ook deels. Maar die redenering gaat ervan uit dat Trump rationeel en voorspelbaar is. Volgens mij hebben we de afgelopen weken rondom Groenland weer gezien dat dat niet zo is.’
In reactie op vragen stelt de SVB dat het een ‘bewuste strategie’ is om gebruik te maken van verschillende ICT-diensten, om zo ‘de afhankelijkheid van één leverancier of één technologie te beperken’. Is dat niet juist verstandig?
‘In theorie klinkt dat goed. Alsof je twee fietsen hebt, voor als er eentje kapotgaat. Maar in de ICT bouwt men vaak een situatie waarin die twee fietsen aan elkaar zijn gelast, waardoor ze allebei moeten werken. Meerdere diensten gebruiken werkt alleen als je ook alles kunt draaien met eentje.’
De clouddiensten doen hun best om de zorgen weg te nemen. Amazon trekt bijvoorbeeld bijna 8 miljard euro uit voor het ontwikkelen van een zogenoemde ‘soevereine, Europese cloud’. Is dat een oplossing?
‘Er zijn twee problemen met Amerikaanse clouddiensten. Het ene is: ze kunnen zomaar stoppen met werken, omdat Trump op een spreekwoordelijke rode knop drukt. Het andere is privacy en geheimhouding. De Amerikaanse overheid mag aan economische spionage doen en de FBI mag gegevens opvragen voor strafrechtelijk onderzoek.
‘Worden die problemen opgelost als Amazon een datacenter in Europa neerzet dat wordt beheerd door Europeanen? Nee. De waarheid is dat ze zich moeten houden aan de Amerikaanse wet. Net zoals KPN zich, ook als het gaat over klanten in Amerika, moet houden aan de Nederlandse wet.
‘Dat zeggen die bedrijven natuurlijk nooit zo direct. Medewerkers storten bewust een heel warrig en lang verhaal over je uit en mensen tuinen daar iedere keer weer in. Als tegengif gebruik ik vaak wat er onlangs gebeurde in de Franse senaat. Een afgevaardigde van Microsoft werd daar onder ede gevraagd: bent u verplicht om gegevens te verstrekken als de Amerikaanse overheid daarom vraagt? Hij kan daar natuurlijk niet gaan staan liegen. Dus hij zegt: ‘Tout à fait’ – absoluut.’
Die Microsoft-medewerker zei die dag ook onder ede dat hij niet heeft ingegrepen bij het Internationaal Strafhof, dat hij alleen met ze heeft gebeld.
‘Klopt. Hij speelt daar een flauw woordspelletje. Want toen Microsoft van Trump de opdracht kreeg om de hoofdaanklager toegang te ontzeggen, heeft Microsoft tegen het Strafhof gezegd: jullie moeten de hoofdaanklager zelf uit het systeem gooien, anders gooien wij jullie hele organisatie eruit. Het Strafhof koos voor dat eerste. Dus was het zogenaamd vrijwillig en hebben ze ‘alleen met ze gebeld’. Of zoals The Godfather zou zeggen: ‘We reasoned with them.’’
Tijdens de bijeenkomst daarnet viel steeds het woord ‘aanbesteding’. Als overheidsinstellingen daarin zetten dat de code achter software openbaar moet zijn, komt big tech toch al niet meer in aanmerking?
‘Die aanbestedingen zijn inderdaad belangrijk. Maar de Nederlandse overheid mag Amerikaanse bedrijven daarin niet categorisch uitsluiten. Wat bijvoorbeeld wel mag, is om als gunningsvoorwaarde toe te voegen: het bedrijf is niet kwetsbaar voor buiten-Europese afluisterwetgeving. Of inderdaad: de software moet open source zijn.
‘Maar wat gebeurt er vervolgens? Microsoft begint een rechtszaak. Die zegt: jullie hebben ons buitengesloten omdat we Amerikaans zijn, dat is niet eerlijk. Die rechtszaak zou de overheid waarschijnlijk winnen, mits ze de aanbesteding heel nauwkeurig samenstellen en daarin geen enkele fout maken. Want dat bedrijf kan hier de beste juristen ter wereld voor inhuren en wil koste wat kost voorkomen dat dit soort aanbestedingen de norm worden.
‘De Nederlandse overheid wil niet het risico lopen te verliezen. En dus heeft ze zich erbij neergelegd dat aanbestedingen naar big tech gaan.’
De Franse regering kondigde vorige week aan over te gaan op eigen systemen. Waarom durft zij dat wel?
‘Frankrijk vertrouwt van oudsher veel meer op zijn eigen technologie. Ze hebben hun eigen kerncentrales, atoombommen en hogesnelheidstreinen. Ze kopen ook niet, zoals wij, straaljagers van Amerika die het niet doen als Trump dat niet wil.’
Waar kan de Nederlandse overheid beginnen om haar digitale lot in eigen handen te nemen?
‘Ik pleit voor de cloud-outoplossing: geregeld op woensdagochtend de cloud uitzetten en dan met z’n allen kijken wat er nog werkt. Kan ik nog een artikel schrijven? Doet de deur het nog? Dan weet je meteen waar je in eigen datacenters een back-up van moet maken.
‘Of begin bij een klein stuk overheid, zoals staatsbosbeheer of het ministerie van Algemene Zaken. Dat is een lief ministerietje met veel staatsgeheimen. In het geval dat shit hits the fan, kunnen we dat systeem snel uitbreiden naar de rest van de overheid.’
‘Het verhaal dat we van plan zijn volledig te migreren naar Microsoft Azure is onjuist. Dat de indruk gewekt kon worden door een vacaturetekst klopt wel. Inmiddels is de tekst aangepast.
‘Om voldoende weerbaar en wendbaar te zijn en de continuïteit van onze dienstverlening te borgen, maken we bewust gebruik van verschillende IT-diensten, waaronder de publieke en private cloud en infrastructuur die voor onze eigen organisatie is ingericht.
‘Dit is een bewuste strategie die tot doel heeft om onze afhankelijkheid van één leverancier of één technologie te beperken. Zo zorgen we dat onze dienstverlening aan burgers altijd en onder alle omstandigheden doorgang vindt. De computer waarop kritische processen van de SVB draaien, zoals de betaling van de AOW en de AKW, zit bewust niet in een publieke (commerciële, red.) cloudomgeving. Er zijn absoluut geen plannen om deze processen daarnaartoe te brengen.’
Geselecteerd door de redactie
Source: Volkskrant