De Belastingdienst kan en wil niet stoppen met de migratie van de kantoorautomatisering naar de cloud-dienst Microsoft 365 (M365). Geen van de onderzochte alternatieven kan op afzienbare termijn hetzelfde niveau van functionaliteit, veiligheid, continuïteit en efficiëntie bieden.
Dit stelt staatssecretaris Eugène Heijnen (Financiën) die verantwoordelijk is voor de Belastingdienst, in een brief aan de Tweede Kamer. Premier Dick Schoof maande afgelopen woensdag tijdens de One Conference in Den Haag bedrijven en instellingen nog om minder afhankelijk te worden van Amerikaanse leveranciers. ‘Zonder digitale autonomie is er geen echte veiligheid,’ liet Schoof weten.
Heijnen is zich ervan bewust dat zijn keuze voor een verdergaande overgang naar Microsoft Azure vragen kan oproepen in de Kamer. Zijn brief bevestigt in alle toonaarden dat de rijksoverheid aan het Microsoft-infuus ligt. Ook Douane en Toeslagen migreren naar de cloud van Microsoft.
Exit-strategie
Wel is een exit-strategie uitgewerkt voor het geval dat bijvoorbeeld de Amerikaanse overheid roet in het eten gooit. Bij een acuut vertrek uit Azure is voorzien in een directe terugvaloptie; een gereduceerde versie van de huidige on-premises omgeving. Daarin zijn alleen primaire functies voor interne en externe communicatie (onder andere mail en videobellen) en het bewerken, delen en opslaan van informatie beschikbaar.
Bovendien gaat de Belastingdienst een realtime back-up inrichten waarmee data continu wordt opgeslagen op een veilige locatie buiten de cloud-omgeving. Daarnaast heeft het ministerie met Microsoft afspraken gemaakt die het de fiscus op lange termijn gemakkelijker maakt om bij de Amerikaanse leverancier te vertrekken. Zo’n situatie kan zich ook voordoen als bijvoorbeeld een gelijkwaardig Europees alternatief ontstaat. In dat geval krijgt de Belastingdienst, bij het beëindigen van het contract, negen maanden de tijd om alle data vanuit de M365-omgeving over te zetten naar de nieuwe gewenste omgeving.
Maar voorlopig zal het daar niet van komen. De staatssecretaris noemt de keuze voor het scenario om de overstap naar M365 voort te zetten ‘de enige realistische optie op dit moment’. De Belastingdienst wil zeker meewerken aan een meer autonome oplossing voor de langere termijn en daar bijdragen aan leveren.
Workarounds
Heijnen noemt meerdere redenen waarom hij vasthoudt aan de overstap naar Microsoft 365. De Belastingdienst is in 2021 begonnen aan het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. Deze werkplekken zijn grotendeels uitgerold, maar M365 is nog niet geïmplementeerd. Doordat er nu in de verouderde on-premises omgeving wordt doorgewerkt, zou er sprake zijn van productiviteitsverlies. Deze zogenoemde ‘workarounds’ kosten de ambtenaren veel tijd. Ze krijgen daardoor minder werk uit handen. Een schatting is dat het wegvallen van deze workarounds 15 tot 30 minuten per medewerker per dag kan besparen. Ook kan in de huidige werkomgeving niet goed worden samengewerkt, vooral als hybride wordt gewerkt.
De Belastingdienst heeft ook onderzocht of een on-premises Microsoft Exchange-oplossing mogelijk is. Dit is een hybride oplossing waarbij voor een deel gebruik wordt gemaakt van clouddiensten. Documenten en mail blijven dan op de eigen serveromgeving draaien. Maar dit blijkt niet uitvoerbaar op afzienbare termijn.
SSC-IT
Verder is een technische verkenning gedaan naar de mogelijkheid om de functionaliteiten voor mail en agenda onder te brengen bij de overheidsdienst SSC-ICT. Dit is echter organisatorisch en technisch complex en daarmee geen oplossing voor de korte of middellange termijn.
Een andere optie is door te blijven werken in de huidige omgeving, maar dit is onwenselijk. Volgens Heijnen is dit te duur is en drukt het de productiviteit. De migratie naar Azure betreft alleen de kantoorautomatisering; applicaties zoals Teams, OneDrive en Outlook. Het betreft tevens een aantal beheer- en securityapplicaties. De applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters in Apeldoorn.
Wat een stelletje knuppels zijn het ook die politici en ambtenaren.
“Er is geen realistisch alternatief” is onzin. Er zijn altijd alternatieven. Desnoods met verminderde functionaliteit. Hoeveel webgebaseerde email oplossingen bestaan er wel niet in de wereld? Tientallen volgens mij.
Als je eisen gaat stellen van: het moet allemaal 100% perfect werken met Microsoft Office of het moet Microsoft CoPilot en Azure web-functions ondersteunen dan ben je jezelf gewoon richting Microsoft aan het manoeuvreren. Dan kan nooit iemand daaraan voldoen behalve Microsoft.
Zo ben je niet realistisch bezig om je onafhankelijkheid van BigTech te vergroten maar opzettelijk dit in de wielen te rijden.
Laat Schoofie maar kleppen zal de staatssecretaris gedacht hebben.
Daar is hij niet de enige in hebben we kunnen constateren.
‘”Zonder digitale autonomie is er geen echte veiligheid” liet Schoof weten’
Nou, dan doen we toch lekker zonder.
“Daarnaast heeft het ministerie met Microsoft afspraken gemaakt die het de fiscus op lange termijn gemakkelijker maakt om bij de Amerikaanse leverancier te vertrekken.”
Maar men wil niet over, men wil meer en liefst nog sterker.
Dat zijn de beste klanten, weet elke drugsdealer.
Vendor lockin it is, zelfs met SaaS. M365 dus.
In 1969 mensen op de maan, maar je eigen serveromgeving “niet uitvoerbaar op afzienbare termijn.”
“organisatorisch en technisch complex en daarmee geen oplossing voor de korte of middellange termijn.”
Waar zou de IT organisatie daar toch al die jaren mee bezig zijn geweest ?
Misschien had men het te druk met dure cursussen Agile en wendbaar werken 😉
Ook idioot dat ze afspraken maken om op lange termijn weg te kunnen. Bij Microsoft zullen ze wel denken: “Ja, ja, zal wel. Gaat toch niet gebeuren. Sukkels.”
Het is toch onzinnig om afspraken te maken dat je weg wil als je net in hun klauwen terecht komt? Dat doet de ambtenarij alleen maar om zich te kunnen verweren tegen kritiek van de Tweede Kamer. Zelf denken ze waarschijnlijk ook dat het nooit gaat gebeuren. Ze denken: “Dit gedoe over soevereiniteit waait wel weer een keer over.”
Dat veranderingen organisatorisch en technisch complex zijn is een dooddoener want in de ivoren toren van UWV
hebben ze ook de ramen gesloten waardoor ze de geopolitiek barbaren niet horen. De onhoudbaarheid van hetzelfde rondje om de kerk zit dan ook meer in een vrijheid voor ambtenaren dan inefficiëntie. Leuker kunnen we het niet maken voor de belastingbetaler maar wel makkelijker voor onszelf:
“De migratie naar Azure betreft alleen de kantoorautomatisering.”
Het mag alles zijn als het maar Microsoft is zit waarschijnlijk in aantal beheer- en securityapplicaties die de veranderingen organisatorisch en technisch complex maken. Hierin benieuwd naar de zogenoemde ‘workarounds’ want dezelfde applicaties binnen de primaire processen gaat om uitdagingen in het koppelvlakken-circus. En data uit alle gecontroleerde silo’s trekken om deze met de mogelijkheden van PowerBI te analyseren gaat om Toeslagen 2.0 want welke garanties over een rechtmatigheid in dataverwerking zijn er dan ingebouwd?
Onze filosofische modellenbouwer kan vast wat zeggen over een statistische trend in risicomodellen die achteraf discriminatoir bleken te zijn. Of hij laat zijn echoput even zoeken in de toezichthoudende conclusies over een onrechtmatig datagebruik.
Deze keuze lijkt mij onvermijdelijk. Zodra functiescheiding, certificering en de opleiding van security-officers als randvoorwaarden gelden, is er nauwelijks alternatief met dat gehele palet. Alleen al accreditatie: Alleen door gebruik te maken van internationaal geaccrediteerde certificeringsinstellingen krijgen de audits en certificaten ook internationale bewijswaarde.
Daarbij gaat het niet alleen om een ISO-stempel, maar ook om de audit trail: het betrouwbaar vastleggen van wie wat wanneer heeft gedaan, inclusief verzending en ontvangst van data of berichten, automatisch vastgelegd en zonder mogelijkheid tot fraude. Zonder een omgeving die zulke logging juridisch onweerlegbaar kan aanleveren, ontbreekt de mogelijkheid om in geval van rechtszaken hard bewijs te leveren. Die bewijswaarde moet wettelijk verankerd zijn.
Het bovenstaande is met name ook van groot belang voor fraudesignalering en opsporing met betrekking tot interne email en email tussen gerelateerde diensten zoals douane.
Wat wil je nu eigenlijk zeggen Rob? Want de accreditatie van de slager die zijn eigen vlees keurt gaat meer om marketing. En het scheiden van de functies (segregation of duties) lijkt me zinloos als er geen ‘Chinese muren’ van informatie barrières zijn met de oude silo’s. Wat betreft security-officers en DPO’s wijs ik op de belangen want eerste functionaris richt zich op het bewaren van geheimen en de tweede functionaris op het bewaken van de integriteit. En laatste is zeker geen gemakkelijke rol als we kijken naar het ontbreken van bescherming voor de klokkenluiders.
Dus waar is onze filosofische modellenbouwer in het betrouwbaar vastleggen van wie, wat, wanneer, waar, waarom en hoe in het digitale dossier? Want de ‘accountability gap’ in het Toeslagendossier gaat in de eerste plaats om de processen. En de boekhouders die hierin alleen maar naar de kwantiteit kijken zijn empathisch invalide, de systemische valkuil gaat om de vooringenomenheid van een omgekeerde schuldpresumptie. Te dom om te frauderen worden de fouten keihard afgestraft maar erkent de overheid nooit haar eigen fouten.
“Bovendien gaat de Belastingdienst een real-time back-up inrichten waarmee de data continu wordt opgeslagen op een veilige locatie buiten de cloud-omgeving.”
Als er geen services zijn om die data waardevol te ontsluiten is dat zinloos en als die er wel zijn dan is er blijkbaar een alternatief. En let ook even op hard bewijs maar geen rechtmatig bewijs als het om de wettelijke bewaartermijnen versus het recht om vergeten te worden gaat. Archiveren is als een Russische roulette want exit-strategie strategie moet ook waarborgen dat de data compliant gewist wordt.
Als je kijkt naar huisartsen, fysiotherapeuten e.d. dient het grootste deel van wat er administratief allemaal bijgekomen is in de afgelopen 20 jaar uitsluitend het aantonen dat iets procedureels correct, op het juiste moment e.d. heeft plaatsgevonden.
Dat zal voor de belastingdienst niet anders zijn. Bij een audit of geschil moet een derde instantie dat kunnen verifiëren en kunnen verklaren dat er niets vervalst was of kon zijn.
Dat zal bij de Belastingdienst niet anders zijn als ze digitale communicatie en gedigitaliseerde vastlegging ervan rechtsgeldigheid willen toekennen. Het grootste gevaar vreest men tegenwoordig waarschijnlijk van de gehele of gedeeltelijke ‘inside jobs’.
Tot die tijd zie je nog allemaal folklore met faxberichtverkeer naar notarissen, kadasters e.d.
Ik heb geen idee wat je bedoelt met gehele of gedeeltelijke ‘inside jobs’ Rob. Als je daarmee wilt zeggen dat het fenomeen van de nevenfuncties in het openbaar bestuur de overheid corrumpeert dan ben je gaan rechercheren in de open registers en ben ik benieuwd naar je bevindingen. Want vrees zonder enige aanleiding gaat om een fobie.
Folklore met faxberichtverkeer naar notarissen, kadasters e.d. kent door datumtijdstempels tenslotte een goede bewijskracht. De digitale communicatie en gedigitaliseerde vastlegging ervan rechtsgeldigheid willen toekennen gaat om de metadata. Deze kun je verrijken met registers want notarissen zijn ook niet altijd eerlijk als het om belangenverstrengelingen gaat.
De intentie van ‘afpakjesdag’ lijkt me duidelijk en kan rechtsgeldig zijn hoewel niet erg rechtvaardig als het niet om fraude maar om fouten gaat. De informatie-asymmetrie tussen belastingplichtige en Belastingdienst leidt ertoe dat bewijslastverdeling neerkomt op een omgekeerde schuldpresumptie. Digitale dossiers met bewijs uit het ongerijmde zorgen alleen maar voor een carrousel aan banen, de informatie-asymmetrie als arbeidsmarktmodel.
Van corrupte ambtenaren bestaan helaas geen open registers, laat staan van toekomstige.
Er is een themaregister ambtelijke omkoping waarmee meldingen gekoppeld worden aan één of meerdere personen voor verder onderzoek door de Rijksrecherche naar strafbare feiten:
https://wetgevingskalender.overheid.nl/Regeling/WGK008971
Niet openbaar maar mogelijk wel effectief want dat corrupte en ontslagen ambtenaren gewoon bij een buurgemeente of een andere overheidsorganisatie aan de slag gaan is bekend in Den Haag. Maar dit jobhoppen gaat meestal niet om de omkoping van een ambtenaar door ondernemers voor de gunning van een aanbesteding. Gehele of gedeeltelijke ‘inside jobs’ lijkt vooral om de informatie te gaan dus niks om je druk over te maken.
Vervalsen van informatie kan een prima manier zijn om de Rijksrecherche bij zich vandaan te houden.
Vervalsen van informatie kan ook om een prima manier van laster zijn.