BLOG – Overheden produceren in hoog tempo nieuwe richtlijnen voor informatiedeling, privacy, cybersecurity en ai. Terecht, want de risico’s nemen toe. Maar wie goed kijkt, ziet dat diezelfde overheid een essentieel element stelselmatig overslaat: de implementatie-infrastructuur.
Developers worden geacht complexe, risicovolle beleidsregels correct en veilig te implementeren, zonder dat daar een functioneel hanteerbaar kader tegenover staat. De uitkomst: fouten, vertraging en versnippering. Wat als we het anders doen? Wat als we beleid niet alleen publiceren, maar direct uitvoerbaar maken via een nieuwe generatie, functionele api’s? Als je zo goed richtlijnen kunt bedenken, zou je ze toch ook heel goed moeten kunnen implementeren of aanbesteden?
Stel je een api voor die niet vraagt ‘Wat is het adres van persoon X?’, maar die accepteert: ‘Bezorg dit bericht bij de juiste functionaris, mits bevoegd en conform beleid.’ Of een endpoint dat geen rollenlijst teruggeeft, maar antwoordt: ‘Deze medewerker mag deze taak op dit moment uitvoeren.’ Geen datalevering, maar beleidsgecontroleerde uitvoering.
Zo’n infrastructuur werkt op basis van vier kernprincipes:
- Functionele doelgerichtheid: Api’s leveren geen data maar voeren acties uit, volgens regels;
- Toestemming boven toegang: Gebruikers vragen geen data op, maar rechten op een beoogde actie. Data-toegang is nodig voor de uitvoerende kant, niet voor de initiërende;
- Contextualisatie: Elke api-call bevat metadata over reden, actor, en beleidscontext en hanteert standaards zoals NIS2;
- Centrale beleidslaag: Beleid wordt één keer geïmplementeerd, in de api zelf. De applicatieontwikkelaars eieren voor hun geld laten kiezen.
De voordelen? Ontwikkelaars hoeven geen juridische experts meer te zijn. Beleidswijzigingen vergen geen nationale ict-trajecten. En auditbaarheid is ingebouwd vanaf het eerste verzoek. Bovendien kunnen vakinhoudelijke experts hun eigen regels opstellen, zonder het hele land ermee lastig te vallen.
Als we werkelijk vaart willen maken met veilige, betrouwbare digitalisering van publieke processen, dan moeten we stoppen met alleen richtlijnen publiceren. We moeten ze functioneel beschikbaar stellen. Als overheid, als sector, als maatschappij. Anders blijven we blijven we oeverloos documenteren wat richtlijnen uitvaardigen aan anderen, terwijl we het zelf voor de hele overheid kunnen waarborgen zonder vak- en omstandigheidsexpertise uit het werkveld te verkwanselen voor applicaties.
Zie het bovenstaande als een oproep aan mijn favoriete Adviescollege ICT-Toetsing. Daar lijken mensen te zitten die het vak begrijpen. En doe het wellicht eerst niet te groot. Til het zeker niet direct naar Europa, hoewel die natuurlijk gerust ook hun eigen ‘dogfood’ mogen nuttigen. Launch, learn, adapt.
Rob Koelmans, directeur MetaMicro Automatisering
Lijkt mij beetje op de business rules utopie van Jack. Leuk idee, maar get real.
De logica in de service leggen heeft nadelen.
moet je precies weten welke logica je gaat implementeren.
Veel eenvoudiger voor de overheid om verantwoordelijkheid bij de gebruikers neer te leggen.
Ik zag net nog overheidsreclame spotje om je wasmachine alleen aan te zetten als je niet van je zonnepanelen kunt profiteren 🙂
en is de overheid bovendien zelf maar al zover dat ze data beschikbaar maken met api ?
is blijkbaar al ingewikkeld genoeg net nu zoveel nationale taken bij lagere overheden belegd
Bij de data kom je dus als gebruiker zowiezo al niet meer.
Maar wat als de api niet doet wat je verwacht, omdat de logica niet correct geimplementeerd is ?
Als je als gebruiker al weet wat de logica is.
Want vakinhoudelijke experts die hun eigen regels gaan opstellen klinkt mij nog meer als computer say no.
Denk verder niet dat wilders het kabinet laat vallen op het mislukken van de krachtigste api ooit.