Motie inzet op betere digitale weerbaarheid lokale overheid

Er is bij veel overheden sprake van vendor lock-in op Microsoft producten omdat deze goed met elkaar integreren. Helaas verloopt die integratie voor een groot deel niet met publiek gedocumenteerde en/of vrij te gebruiken koppelvlakken. Hierdoor is het auditeren van de integratie op veiligheid, privacy en soevereiniteit per definitie onmogelijk.

Ik zou daarom aanvullend specifiek noemen dat:
- interoperabiliteit via open standaarden moet plaatsvinden;
- leveranciers verplicht zijn alle koppelvlakken te documenteren teneinde integratie met applicatie van derde partijen te realiseren;
- alle koppelvlakken van besturingssystemen publiek en volledig gedocumenteerd moeten zijn;
- de broncode van alle software inzichtelijk moet zijn voor audit doeleinden;

Heb je al met de wethouder die it in zijn portefeuille heeft gecheckt wat er nu precies is/wordt gedaan?

Voordat je de ambtelijke organisatie misschien opzadelt met een motie die amper uitvoerbaar is en die, hoe goed bedoeld ook, allerlei onwenselijke neveneffecten heeft?

Want bijvoorbeeld pas toe of leg uit beleid wordt als het goed is vanuit de inkoopvoorwaarden al geregeld in al jullie overeenkomsten.

Begin eens met jullie applicatielandschap. Als dat goed inzichtelijk is kan je gaan bepalen hoe en waar data beweegt.

Bovendien kan je je overige punten dan ook makkelijker staven.
Afgelopen jaar was er in de verticale supervisie extra aandacht voor dit landschap, dus als het goed is moet dit redelijk up to date zijn.

[ Voor 27% gewijzigd door 99ruud99 op 19-02-2025 07:55 ]

Je moet niet onderschatten hoe beperkt de IT kennis en slagkracht is vooral binnen kleinere gemeentes. Die varen haast blind op leveranciers zoals Atos die hele software suites voor gemeentes leveren.

De grotere hebben het zelf redelijk geregeld met een SSC IT of door gezamenlijk een commerciële dienstverlener op te richten zoals Wigo4IT.

@Peetke ik denk dat je voor veel van deze zaken daarom beter bij de VNG kan aankloppen dan jouw college. Jullie zijn als klant zo klein dat je dit soort eisen nauwelijks kan stellen bij leveranciers. Atos en Microsoft en consorten zijn simpelweg niet onder de indruk. Tekenen bij het kruisje of niet.

OSS beleid klinkt mooi maar vergt ook meer onderhoud, meer specialistische kennis en een heen aanpastraject voor je gebruikers die zeker binnen een gemeente vaak geen bovengemiddelde IT skills hebben. Die vragen een Windows desktop in te ruilen voor Ubuntu is vragen om problemen.

Ik zou dus eerder inzetten op mitigatie. Microsoft heeft bijvoorbeeld een Duitse entiteit welke volledig los staat van de US entiteit hier kun je dus inkopen zonder risico van eventuele sancties in de toekomst. Mocht je bang zijn voor dataverlies aan NSA/CIA of overheid dan kun je kiezen om op alle data at rest encryptie toe te passen bijvoorbeeld. Dan dek je veel risico’s af.

Verder is het dna aan de VNG om voor haar leden betere inkoopvoorwaarden te onderhandelen als collectief krijg je dan misschien nog wat dingen doorgevoerd.

Davidshadow13 schreef op woensdag 19 februari 2025 @ 07:57:
OSS beleid klinkt mooi maar vergt ook meer onderhoud, meer specialistische kennis en een heen aanpastraject voor je gebruikers die zeker binnen een gemeente vaak geen bovengemiddelde IT skills hebben. Die vragen een Windows desktop in te ruilen voor Ubuntu is vragen om problemen.

Een cruciale factor is ook leveranciers die OSS ondersteunen. Overigens zie je dat de markt daar nu op in gaat spelen na mooie initiatieven die eigenlijk voortkomen uit VNG-beleid.

Ben het dus ook eens met jou.

Ik denk dat je een stevig politiek debat opwekt door de VS, hoe terecht ook, op deze manier prominent te maken in je motie. Als dat je bedoeling is: doen. Maar het kan zijn dat het je draagvlak gaat kosten. Je bent fractievoorzitter dus dit weet je beter dan ik. Qua uitvoerbaarheid zou ik (ook) meer focussen op een VNG-gedragen aanpak. Met als nadeel dat dat vermoedelijk 5 jaar gaat duren.

Goed dat je de motie afstemt met het ambtelijk apparaat. Dat zou bij ons niet gaan, dualisme is vrij strikt geïnterpreteerd hier.

Het is een nobel streven, maar net als anderen denk ik dat je dit beter hoger op kunt zoeken. Zelf werk ik bij een (semi-) overheidsinstelling van zo'n 800 man; best een redelijke schaal dus. Bij ons is het Microsoft first of eigenlijk Microsoft only. Als het van MS is, dan heeft het vrijwel automatisch veel vinkjes te pakken qua integratie, vertrouwen, security, et cetera. Soms niet terecht naar mijn mening, maar alle (OSS) alternatieven staan wel 4-0 achter.

Daarnaast is MS inderdaad heer en meester van de (slordige) integraties, met name met Entra en hun Office / Teams producten. Daar valt maar heel lastig mee te concurreren; in de OSS wereld zie je allerlei oplossingen die bepaalde taken (vaak beter) doen, maar het integreren kost echt extreem veel werk. Werk dat best specialistisch is, want het vraagt om software engineering vaardigheden en diepgaande kennis van de te integreren producten en interfaces die ze aanbieden (of niet, dan houdt het meestal op).

Die mensen aantrekken is op z'n zachts gezegd een uitdaging; ik ben onderdeel van een data en analyse club van zo'n 70 man. De laatste jaren krijgen we echt wel betere mensen binnen (DS en DE), maar de echt goede mensen zijn lastig vast te houden. De mensen die alleen beleidsdocumenten tikken of met MS werken zitten er tot hun pensioen...

Kortom, zelfs op een redelijke schaal is het vrijwel onmogelijk om uit het MS ecosysteem te stappen. Denk dat we beter in NL of EU verband kunnen inzetten op a) een publieke Cloud die voldoet aan alle overheidsstandaarden, b) het aanbieden van Office-achtige oplossingen in die cloud en c) maatwerk leveren voor de overige software.