Nederland begin 2024 ternauwernood aan ramp ontsnapt
De rijksoverheid is ernstig kwetsbaar voor acute en langdurige uitval van ict-dienstverlening. Onvoldoende is de bescherming als zo’n leverancier omvalt of in zware financiële problemen komt. De grote afhankelijkheid van een beperkt aantal ict-partijen vergroot het risico op maatschappelijke ontwrichting. Dat blijkt uit het rapport ‘Van kwetsbaar naar weerbaar’ van AbdtopConsult.
Opdrachtgever voor het onderzoek was het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (BZK). Uit de studie spreekt de nodige urgentie: het is vijf voor twaalf.
Grootschalige uitval is geen theorie. Het ging begin 2024 bijna goed mis, aldus het rapport. De sterk verslechterde financiële situatie van een grote ict-leverancier (hoogstwaarschijnlijk Atos, al bestonden er ook grote zorgen over Centric) had tot een landelijke crisissituatie kunnen uitgroeien.
Onherstelbare uitval
Bij een ongecontroleerd faillissement van deze dienstverlener had dit, ook door concentratie-risico’s bij deze leverancier, tot acute, langdurige en mogelijk onherstelbare uitval van kritieke ict-dienstverlening van veel bedrijven en overheden kunnen leiden. Met verstoring van dienstverlening aan burgers en bedrijven en daardoor mogelijk maatschappelijke ontwrichting als gevolg.
Dit zou daarna nog jarenlange effecten kunnen hebben op de digitalisering van bedrijven en overheden. Kortom, we zijn door het oog van de naald gekropen.
Digitale monocultuur
Een ander risico is de grote concentratie. De afhankelijkheid van een klein aantal ict-leveranciers is groot. AbdtopConsult noemt het gevaar van een ‘digitale monocultuur’, waarin vele organisaties afhankelijk zijn van een klein aantal aanbieders. Het rapport wijst op de vele bedrijven en overheden die hun ict onderbrengen bij Amerikaanse ‘hyperscalers’ zoals Microsoft, Amazon en Google.
Volgens het rapport nemen de risico’s van acute uitval van ict-dienstverlening toe. Grote incidenten waren de uitval bij de TU Eindhoven (2025), het Nafin-netwerk (2024), Crowdstrike (2024), Citrix (2020) en DigiNotar (2011).
Competence Centre
De onderzoekers constateren dat de overheid slechts beperkte kennis en expertise van acute risico’s heeft. Ook de kennisdeling schiet tekort. Daarom wordt een ‘Competence Centre’ voor it-sourcing aanbevolen.
Het sourcingbeleid dat al dertien jaar oud is, moet worden vernieuwd. Bij het actualiseren van de rijksbrede it-sourcing-strategie dient een expliciete risicoafweging centraal te staan. Centrale monitoring is nodig voor het proactief volgen van leveranciers en marktontwikkelingen. Dit om tijdig te kunnen ingrijpen bij dreigende acute en langdurige uitval van ict-diensten. Aanbevolen wordt deze vervolgacties naast de Nederlandse digitaliseringsstrategie (NDS) op te pakken, stelt AbdtopConsult.
Voorbeelden van ernstige contractuele blunders
Uit een eerdere analyse, die in het rapport van AbdtopConsult is opgenomen, blijkt hoe slecht de contracten van sommige overheden in elkaar steken. Daardoor waren continuïteitsrisico’s bij acute en langdurige uitval niet effectief afgedekt.
• In een belangrijk overheidscontract was niet duidelijk geregeld wie de eigenaar is van de software;
• Bij een overheidsorganisatie die de computers in een eigen datacentrum had staan, waren de toegangsrechten niet geregeld in de situatie dat de leverancier zou wegvallen;
• Bij diverse contracten was niet duidelijk waar vandaan de dienstverlening door welke afdeling van de leverancier geleverd werd. Wereldwijd inzicht in de leveringsketens ontbrak;
• Bij een grote overheidsorganisatie was de uitbestede ict-oplossing onderdeel van een eigen leveranciersoplossing (‘proprietary’), waardoor het overbrengen naar een andere partij vrijwel onmogelijk zou zijn;
• In geen van de onderzochte contracten waren ‘step-in-rechten’ geregeld waarmee in geval van een calamiteit de dienstverlening door de eigen organisatie of een derde ict-dienstverlener overgenomen zouden kunnen worden;
• Bij de geïnterviewde overheidsorganisaties is afgelopen maanden geprobeerd op basis van bestaande terugvalopties te testen of dat zou werken. Geen van die testen is succesvol gebleken (escrow, uitwijkmogelijkheden, fail-over testing, etcetera).
Ik herriner mij nog een ICT project waarbij de overheid betaalde voor de ontwikkeling ervan maar de ambtenarij verzuimde om de rechten van de broncode op te eisen. “Broncode? Wat is dat?” Gevolg was dat de leverancier de overheid door de neus liet betalen en zich compleet rot lachte.
Echt, de rode draad hier is vaak gewoon de incompentie van de ambtenarij.
Contractuele blunders heeft weinig met de broncode te maken, de juridische kant van het verhaal gaat meer om de clausules. Toegang tot de broncode maar geen kennis om deze te onderhouden geldt tenslotte niet alleen de ICT als ik kijk naar een kwetsbaarheid door een afhankelijkheid. Het wijzende vingertje vergeet dat zo’n 10 jaar geleden al gewezen werd op een gebrek aan autonomie met een digitale monocultuur van het mag alles zijn als het maar Microsoft is. Wereldwijd inzicht in de ketens is daarom een leuke als ik kijk naar spelers als Centric en Atos die maar een schakel zijn.
Incompetentie van de ambtenarij of een proces van verwerving wat leidt tot contractuele valkuilen?
Toegang en eigendom van broncode (van systemen) is ALLES in ICT. Als je dat niet snapt dan weet ik niet wat je hier komt doen op deze site.
Toegang tot de broncode zonder eigenaarschap geldt (f)oss. Dus iemand snapt niet hoe de licenties voor gebruik en de contracten voor onderhoud werken. De kleine lettertjes in de voorwaarden van service contracten gaan tenslotte om de afspraken met leverancier, niet de reseller. Een ESCROW regeling in het contractmanagement beperkt zich dan ook niet tot een overdracht van code door keten afhankelijkheid.