Van Huffelen zint op ferme ingreep bij Logius om GDI

Huidige aanpak van de generieke digitale infrastructuur zou te ambitieus zijn

Dit artikel delen:

De zogeheten Generieke Digitale Infrastructuur (GDI) die 's Rijks ict-dienstverlener Logius laat bouwen voor onder meer DigID en Mijnoverheid, is zó complex dat de opleveringsplanning onhaalbaar is. Dat concludeert het Adviescollege ICT-toetsing (AcICT) op verzoek van staatssecretaris Alexandra van Huffelen. De bewindspersoon onderschrijft de bevinding en zint op een ingreep.

De GDI is de verzameling van voorzieningen, standaarden en afspraken die alle publieke dienstverleners gaan gebruiken voor hun digitale dienstverlening. Onder meer DigID, Berichtenbox, Mijnoverheid en Digipoort moeten op de nieuwe infrastructuur terechtkomen, al was het maar omdat de ondersteuning op de huidige infrastructuur eind 2024 eindigt.

De nieuwe ict-omgeving krijgt twee pijlers: een nieuwe basisinfrastructuur ('Picard') en een private cloudomgeving met tools en databases ('LPC'). Deze worden beiden ontwikkeld door dienstverlener Solvinity. Logius koos ervoor om alles pas in gebruik te stellen nadat beide onderdelen zijn opgeleverd. Dit maakt het project echter te complex en vatbaar voor nog meer uitloop qua budget en tijd, meent het AcICT in een advies (pdf).

Te ambitieus

"Logius, de leverancier en BZK hebben zich vertild"

Het adviescollege spreek van een 'te ambitieuze aanpak met een stapeling van risico’s die het eigen besturings- en verandervermogen ruim overstijgt'. Dit heeft als gevolg dat het huidige migratieplan, 'dat noch compleet noch bestuurbaar is', onhaalbaar is. Volgens het plan zijn alle voorzieningen vóór april 2025 gemigreerd.

Logius had er voor kunnen kiezen om de migratie in twee stappen te doen: eerst naar de nieuwe basisinfrastructuur Picard en pas later naar de LPC, zoals het Adviescollege ICT-toetsing al in 2022 adviseerde. 'Logius heeft dat advies echter niet opgevolgd en de overgang naar de nieuwe ict-infrastructuur afhankelijk gemaakt van de realisatie van het (...) cloudplatform. Dit heeft ervoor gezorgd dat deze overgang inmiddels met meer dan twee jaar is vertraagd', schrijft het adviescollege nu.

'Ferme ingreep'

'Met de aanpak voor de nieuwe ict-infrastructuur hebben Logius, de leverancier en BZK zich vertild', schrijft het adviescollege aan de staatssecretaris. Ze roept op tot een 'ferme ingreep' en een 'drastische aanpassing van de huidige aanpak'. Vier maatregelen zouden daarvoor moeten zorgen: (1) meer focus op stabiliteit in plaats van op perfectionering; (2) deelnemende voorzieningen zelf meer keuzemogelijkheden geven; (3) steviger sturing door Logius op migraties en (4) meer sturing door het ministerie van BZK op planning en budget.

Staatssecretaris Van Huffelen schaart zich achter de inzichten en adviezen van het AcICT. 'Het oordeel van het AcICT is stevig en vraagt om heroriëntatie op de huidige koers naar de nieuwe ict-infrastructuur van Logius', schrijft ze in een brief aan de Tweede Kamer. 'Ik zal me hierbij enerzijds richten op concrete maatregelen om tot een zorgvuldige en beheersbare overgang naar een nieuwe infrastructuur te komen Anderzijds zal ik eventuele fundamentele keuzes, die nodig zijn om dit soort problemen in de toekomst te voorkomen, niet uit de weg gaan.'

De bewindsvrouw onderzoekt ook de door het AcICt vermelde toekomstige kosten van de migraties en de herbouw van Digipoort en mogelijke kostenbeperkingen daarbij.

Picard en LPC

Solvinity is de leverancier die door Logius in 2019 werd geselecteerd om de nieuwe infrastructuur te bouwen, genaamd Picard. De ontwikkeling startte eind 2020. Het gaat om basis-infrastructuurdiensten, zoals virtuele machines en virtuele dataopslag, en geavanceerde platformdiensten, zoals containerclusters en object storage. Deelnemende overheden nemen de diensten af via een maatwerk-integratielaag die Solvinity met zelfsgeschreven software realiseert. Logius biedt ook ontwikkeltools en databases, onder de naam Logius Private Cloud (LPC).

Zowel de nieuwe infrastructuur als de private cloud-omgeving voldoen nog niet aan de verwachtingen, schrijft het adviescollege. Na een jaar vertraging werd de eerste versie eind 2021 opgeleverd, maar migraties vertoonden technische knelpunten. Die zouden eind 2022 zijn opgelost, waarna Logius een plan opstelde om alle voorzieningen vóór april 2025 te hebben gemigreerd naar de nieuwe infrastructuur Picard en de private cloud LPC.

De staatssecretaris presenteerde in mei 2022 een visiedocument waarin ze schrijft dat de nieuwe ict-infrastructuur de ambities op het gebied van e-overheid kan faciliteren. Voor 2023 stelde de rijksoverheid bijna 300 miljoen euro beschikbaar voor beheer, exploitatie en doorontwikkeling van de GDI.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Vooral bijzonder dat een opdracht van dit formaat en deze complexiteit met een it-bedrijf van 350 medewerkers wordt gedaan. Wellicht bij de aanbesteding volgende keer wat beter kijken naar “ability to execute”, en dan met name in het geval er iets mis gaat.

AcICT is de opvolger van BIT.
Die kun je dus ook negeren.
Moet je ook zeker doen als ze je plan afserveren als te ambitieus, stapeling van risico's ..., noch compleet noch bestuurbaar, onhaalbaar ;-)
"Deelnemende overheden nemen de diensten af via een maatwerk-integratielaag die Solvinity met zelfsgeschreven software realiseert. Logius biedt ook ontwikkeltools en databases, onder de naam Logius Private Cloud (LPC)."
Zelden Vendor lockin bij een relatief kleine speler zo expliciet benoemd gezien in een plan :-P
Hoeveel zou er nog over zijn die 300 miljoen ?

Ik vraag me af of de grootte van de IT-dienstverlener hiertoe doet. Groter is zeker niet altijd beter. Ik denk dat de opdrachtgever (Logius) hier een wat bescheidener rol in had kunnen nemen. Wat is het doel en in kleinere stapjes naar steeds concreet resultaat migreert. Multi-jaren projecten hebben de neiging te verzanden in intern navelstaren en out-of-the-box dagdromen. Groot denken en klein maken, is het devies. Dus hou altijd je einddoel in de gaten, maar realiseer wel iets concreets.
Natuurlijk een tweede is natuurlijk of er voldoende kennis in de uitvraag is ingebracht (zowel vanuit de huidige situatie) als de toekomstige situatie. Hiermee bedoel ik inhoudelijke kennis. Wat je vaak ziet is dat de huidige gebruikers blijven hangen in de huidige (on)mogelijkheden, het management helemaal bezwangerd raakt van de marktpartijen (vier kleurenfolder retoriek) en de IT-ers alleen maar vanuit stabiliteit blijven redeneren. Uiteindelijk gaat het over welke vraag je beantwoord wilt hebben. Veel organisaties stellen van tevoren geen eisen op welke architectuur- en ontwerpprincipes ten grondslag liggen aan de uiteindelijke ontwerpactiviteit. Daarmee mis je vaak essentiële informatie om tot een goede uitvraag te komen. Dat betekent niet dat je alle eisen en wensen maar moet accepteren, maar onderbouwd keuzen gaat maken. En we weten allemaal, dat keuzes maken binnen een overheidsorganisatie de meest lastige is. Dan komt er een weer allesbepalend cultuurdingetje om de hoek kijken: wie maakt de keuze uiteindelijk. En dan gaan we zo vaag mogelijk proberen te houden want anders zou iemand de schuld kunnen krijgen.

Ik schrik vooral hiervan: "Het gaat om basis-infrastructuurdiensten, zoals virtuele machines en virtuele dataopslag, en geavanceerde platformdiensten, zoals containerclusters en object storage". Zitten ze nou doodleuk op kosten van een klant een virtualisatieplatform te bouwen?

@Jan Willem,

Size does not matter in deze. Er zijn tientallen voorbeelden te bedenken van bedrijven veel groter dan 350 medewerkers waar het gruwelijk mis gegaan is, en bedrijven veel kleiner dan 350 die succesvol supercomplex werk verrichten.

De 'ability to execute' zit niet zo zeer in de omvang van de opdrachtnemer maar in de ambities van een opdrachtgever en de kennis bij opdrachtnemer om deze te vertalen naar een oplossing. Conclusies van acICT lezen als eerdere rapporten want voorzieningen vereisen 99,7% beschikbaarheid maar het platform biedt maar 99,5% wat mij meer als een ontwerpfout klinkt dan een probleem in de uitvoering. Wat betreft het probleem van de cloud, het publieke netwerk biedt maar 97% beschikbaarheid. Maar schrijndend is de conclusies dat er 0% verlies aan data mag zijn en het platform geen enkele garanties hierin biedt. Je zou bijna gaan denken dat de Rutte doctrine een ontwerpprincipe is geworden bij BZK want ik mag toch aannemen dat er in ieder aan de back-up is gedacht.

350 medewerkers die druk zijn met een maatwerk-integratielaag met zelfgeschreven software terwijl het onderliggende fundament rammelt aan alle kanten geeft me als voormalig infrastructuur architect en déjà vu. Hetzelfde geldt voor de landing als de opdrachtgever organisatorisch nog niet klaar is voor 7x24 beheer om zodoende een continuïteit in de dienstverlening van 99,7% te borgen. Zo lees ik:

"Beheerprocessen – en de manier waarop de verschillende teams van Logius en de leveranciers hierbij moeten samenwerken – zijn echter nog nauwelijks ingericht, laat staan beproefd, ondanks dat een aantal kleine voorzieningen al in productie is op PICARD/LPC."

Deel B van het advies van acICT gaat nog verder in op het organisatorische probleem van 'too many chiefs and not enough indians' om zowel het operationele beheer als de projectmatige migraties te kunnen doen. Geen verrassende conclusie als ik eerdere rapport van de parlementaire enquêtecommissie over ICT falen bij de overheid lees. Opvallend is dat niet alleen de sturing over de verschillende (beheer)domeinen ontbreekt - ieder zijn eigen loket - maar dat sommigen gewoon de planning er doordrukken zonder expliciete goedkeuring. Bek houden en doorlopen gaat alles eigenlijk volgens plan want never waste a good crisis hebben we straks als het stof is neergeslagen een European Digital Identity Wallet.

@Robert D.

Het probleem met grootte in dit geval is dat Solvinity direct failliet is als Logius de contractbepalingen gaat uitvoeren. De afhankelijkheid is simpelweg te groot van de klant Logius. Een groter bedrijf heeft in ieder geval de financiële armslag om gedwongen te worden te leveren.

Interessante visie van Jan Willem want vaak zit ongelijkheid in de ‘equality of arms’ als je simpele dingen in de regievoering moeilijk wilt maken met contractmanagement. Conclusie van acICT over onrechtmatige verlenging van eerdere contract om het licht aan te houden laat zien dat de overheid de wet nog weleens plooit naar eigen voordeel. Niet zelden is dat in het voordeel van grote partijen die zich ingegraven hebben als ik kijk naar de valkuil waar acICT voor waarschuwt.

Het, mede gezien de stand van zaken voor een aan de Europese regelgeving aangepaste opvolger van het Privacy Shield nogal pre-mature beslissing eind september 2022 dat ook de Nederlandse overheden van de publieke cloud gebruik mogen gaan maken (exclusief Defensie), komt hiermee ook in een ander daglicht te staan. Vast een voorschotje op de boodschap om zo nodig maar helemaal met dit project te stoppen (en de schade tot slechts 300 miljoen te beperken)? Onze acICT probeert nog dapper de schade in zoverre te beperken door te adviseren Logius zichzelf (en de architectuur) te laten beperken en geen andere taken op zich te laten nemen en dan valt er hopelijk nog iets te redden. Is mijn samenvattende conclusie...

Als je de analyse van acICT leest kom je alle valkuilen die de overheid steeds weer voor zichzelf graaft onverhuld tegen: vendor lock-in (gebaseerd op onkunde(?) met meteen al in de basisarchitectuur een onnodige, belemmerende en vooral dure overall en ontwikkelaar-specifieke integratielaag die dus alleen door het bedrijf dat hem heeft ontwikkeld kan worden beheerd. Plus het tegen alle logica in blijven streven naar "generieke oplossingen voor alle domeinen" en daarbij uiteraard dan ook die "too many chiefs". Met de beruchte overheidstrekjes, zoals hoe hoger in de hiërarchie des te minder verstand van ICT-zaken. Hetgeen in het bedrijfsleven ook wel gebeurt, maar waar menig CxO toch echt wel iets van dichtbij heeft meegemaakt als "indian".

Dit leidt vervolgens tot te weinig sturing op de vloer, geen transparantie en al helemaal weinig of helemaal geen zelfreflectie als het mis dreigt te gaan. Na drie tot vijf jaar moet je toch nodig naar een ander departement doorschuiven als hoger leidinggevende, dus waarom zou je ook. De Algemene Bestuursdienst (ook van BZK) zorgt wel voor een passend en uiteraard ook beter betaald plekje. En dus de-facto geen regie of iets dat lijkt op de op alleen op overheidspapier zo vaak omarmde PDCA-cyclus om continu bij te kunnen sturen. Ik ben benieuwd wat onze chief-of-chiefs Digitale Zaken van BZK nu op het gebied van echte regievoering weet in te brengen voor dit GDI-project.

Als je die achterliggende stukken leest, is het net Life of Brian in de polder. :-).

Een 'te ambitieuze aanpak met een stapeling van risico’s die het eigen besturings- en verandervermogen ruim overstijgt' is een jaarlijks festival geworden op een schijnbaar willekeurige datum, i.t.t. Pinkpop en Noorderslag. Wat is er van programmamanagement, met think big, start small, learn fast, van decennia geleden geworden?

De openingszin van het artikel is onjuist. Deze stelt de GDI gelijk aan het platform dat Logius laat bouwen, maar dat zijn verschillende zaken.
Het advies gaat helemaal niet over de GDI maar over het platform waarop Logius voorzieningen draaien. Dat platform bestaat uit twee delen: Picard voor de onderlaag en LPC (dat staat voor Logius Private Cloud) voor de bovenlaag.
De voorzieningen die Logius hierop laat draaien samen met voorzieningen van andere partijen, vele afspraken en standaarden alsmede basisregistraties zijn de Generieke Digitale Infrastructuur waarmee de publieke sector samenwerkt om de digitale dienstverlening aan burgers en bedrijven vorm te geven.
Oftewel het advies gaat over de boom die Picard/LPC heet en niet het bos dat GDI heet. De boom heeft overigens wel een belangrijke plaats in het bos, maar het bos valt niet om als de wind een boom ontworteld.

@Tom, wat kost er dan die 300 miljoen? Een set van best procedures and standard aanbevelen of hanteren kost nagenoeg niets. Dat zijn gewoon keuzen die je maakt zoals bij ieder project. Als je als overheid je eigen dienstauto of -vliegtuig laat ontwikkelen, is het bij een paar miljard nog drie keer niks. Gaan ze het dan ook nog vermarkten en concurreren tegen IBM, Microsoft, VmWare, AWS of zo of doen ze het alleen voor zichzelf. Je krijgt het nooit beter dan dan wat je op de markt voor vrijwel niets kunt kopen en - als het je wel lukt - ga je er nooit meer wat aan terugverdienen. Je kunt heel Azure voor in dit verband vrijwel niets in eigen beheer exploiteren maar zelfs dat zou al overkill geweest zijn. Als je een soort Airbus-consortium in de IT wilt opzetten moet je als overheid wel weten waar je aan begint. Wat de private markt doet, moeten ze zelf weten.

Best ongebruikelijk om een platform met een boom te vergelijken en te suggereren dat de boel wel blijft draaien als het platform ontworteld is. Ik zie door de pijlers de stack en door de platform de cloud niet meer. Die ferme ingreep in het artikel is ook leuk. Die 4 maatregelen. Iets als, prima doe maar hoor. Maar dan totaal anders.
"De ontwikkeling startte eind 2020" en april 2023 blijkt het ineens niet te deugen :-)
Misschien als volgt samenvatten : er wordt begonnen met 300 mln euro en daarna werkt het niet.

Door de bomen het bos niet meer zien lijkt me toepasselijker als we kijken naar het advies. De openingszin is 100% correct doordat de complexiteit het struikelblok is als we kijken naar conclusie acICT. Een conclusie die ook staat in GDI Programmeringsplan 2023 want een 'ability to execute' vanuit de kant van de opdrachtgever mist nog een sterke regievoering over de architectuur:

"Om de GDI, de implementatie en het gebruik ervan te laten slagen is er een verbindende architectuur nodig. Onderdelen hiervan zijn er al, mede aangestuurd door de Architectuurraad, maar een aantal onderdelen moet nog uitgewerkt of verdiept worden. Ten eerste is het nodig om op communicatiegebied nog beter de vertaalslag te maken van architectuur naar de GDI en vice versa.

Ten tweede is er een inhaalslag te maken bij het opleveren van basis-architectuurdocumenten zoals beschrijvingen van GDIdomeinen, totaaloverzichten en specifieke uitwerkingen voor onderdelen van domeinen. Het blijkt lastig om voortgang te boeken op basis van architectuurcapaciteit vanuit de bij de GDI betrokken organisaties."

Het lijkt meer op een project voor een budget dan een budget voor een project. Ik vermoed dat de behoefte grotendeels of geheel uit de beschikbaarheid van het budget is voortgekomen.

Sterke regievoering over de achitectuur ? Lijkt me dat je het dan net zo goed zelf kan doen ipv uitbesteden.
Zo van, wahkom de gullie nou weer mee an, dah ken toch nie werreke.
Think big, start big, fail, dont learn. De overheidsmanier van PDCA cycle volgens hun increased complexity architecture paradigm met venderlockin by design. Maar ben inderdaad steeds benieuwder : wat kost er dan die 300 miljoen en hoeveel is er nog over ?

Don’t shoot the messenger. Het is trouwens 309 miljoen maar alleen gebudgetteerd want naast een goede regie op de architectuur moet je ook een goede programmamanager hebben om de voortgang te bewaken. Meer focus op stabiliteit in plaats van perfectie klinkt voor mij vooral als een dilemma in de kwaliteit, het bewijs dat iets werkt verkrijg je door te testen. En ja, alle PDCA loopings hierin zijn lessen te verbetering want wie het kleine niet leert doet het grote verkeerd. Hele boodschap van acICT gaat daarom want de opdrachtgever heeft de essentiële dingen om dat wat opgeleverd wordt te laten landen nog niet ingevuld.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2023-04-28T11:32:00.000Z Diederik Toet


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.