EPD, korte geschiedenis van een nationale ramp

Het EPD kent een lange geschiedenis. Voorstanders zeggen dat het absoluut noodzakelijk is het EPD in tevoeren omdat het mensenlevens redt. Tegenstanders wagen dat betwijfelen, en hekelen het IT-sausje dat nu over talloze databases in de geschonken wordt.  Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD. Ruim twaalf jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiëntendossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

Je kind voor gratis wifi

In Londen heeft F-Secure een moderne versie van Repelsteeltje uitgeprobeerd: gratis wifi in ruil voor je eerst geboren kind. Binnen een half uur hadden 33 mensen geprobeerd contact te maken met het wif-netwerk dat het bedrijf in Canary Wharf , waarvan er 6 instemde met het voorgoed afstaan van hun oudste kind. F-Secure heeft het netwerk inmiddels afgeschakeld en zal het contract niet afdwingen. Volgens het bedrijf bood de wifi-hotspot de kans om apparaten te identificeren, en om emails, gebruikersnamen en wachtwoorden te lezen. De bevindingen zijn opgenomen in het rapport  “Tainted love: How wi-fi betrays us”.

Lezen: De BVD in de politiek, door Jos van Dijk

Tot het eind van de Koude Oorlog heeft de BVD de CPN in de gaten gehouden. Maar de dienst deed veel meer dan spioneren. Op basis van nieuw archiefmateriaal van de AIVD laat dit boek zien hoe de geheime dienst in de jaren vijftig en zestig het communisme in Nederland probeerde te ondermijnen. De BVD zette tot tweemaal toe personeel en financiële middelen in voor een concurrerende communistische partij. BVD-agenten hielpen actief mee met geld inzamelen voor de verkiezingscampagne. De regering liet deze operaties oogluikend toe. Het parlement wist van niets.

Foto: 9/11 Photos (cc)

Privacy, tien jaar later…

Ooit lagen er mooie plannen om de privacy van burgers te waarborgen. Maar 9/11 gooide roet in het eten.

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalige-koloniën, maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het Europees Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen twee maanden na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje ‘Maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen’ staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet ‘vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten.’ Dus niet alleen postbus 51-spotjes maar hands on aan de slag graag!

ACHTERGROND - Passende maatregelen

Andere juweeltjes zijn de verzoeken om ‘passende maatregelen te nemen voor de bevordering, ontwikkeling en vervaardiging van Europese versleutelingstechnologie en -software en daartoe in het bijzonder projecten te ondersteunen die gericht zijn op de ontwikkeling van gebruiksvriendelijke versleutelingstechnologie, waarvan de brontekst is gepubliceerd’ en ‘stimulering van softwareprojecten waarvan de brontekst is gepubliceerd, daar alleen zo kan worden gegarandeerd dat er in de software geen “achterdeurtjes” zijn ingebouwd (de zogenaamde “open-source software”).’ Het document noemt expliciet de onbetrouwbaarheid van beveiligings- en encryptietechnologieën waarvan de broncode niet gepubliceerd is. Iets dat in Nederlandse discussies over IT-strategie voor overheden een streng taboe is (waarschijnlijk omdat het bepaalde grote NAVO-partners zou kunnen beledigen).

Foto: Sargasso achtergrond wereldbol

Stemcomputer, de zombie die maar niet dood wil

Waarin de auteur nogmaals uitlegt waarom met rood potlood stemmen de veiligste optie is.

U heeft gestemd - of niet?Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).

De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende ‘radioactief, niet aankomen!’-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan ‘als we maar even die bugjes oplossen’.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.

Lezen: Venus in het gras, door Christian Jongeneel

Op een vroege zomerochtend loopt de negentienjarige Simone naakt weg van haar vaders boerderij. Ze overtuigt een passerende automobiliste ervan om haar mee te nemen naar een afgelegen vakantiehuis in het zuiden van Frankrijk. Daar ontwikkelt zich een fragiele verstandhouding tussen de twee vrouwen.

Wat een fijne roman is Venus in het gras! Nog nooit kon ik zoveel scènes tijdens het lezen bijna ruiken: de Franse tuin vol kruiden, de schapen in de stal, het versgemaaide gras. – Ionica Smeets, voorzitter Libris Literatuurprijs 2020.

Lezen: De wereld vóór God, door Kees Alders

De wereld vóór God – Filosofie van de oudheid, geschreven door Kees Alders, op Sargasso beter bekend als Klokwerk, biedt een levendig en compleet overzicht van de filosofie van de oudheid, de filosofen van vóór het christendom. Geschikt voor de reeds gevorderde filosoof, maar ook zeker voor de ‘absolute beginner’.

In deze levendige en buitengewoon toegankelijke introductie in de filosofie ligt de nadruk op Griekse en Romeinse denkers. Bekende filosofen als Plato en Cicero passeren de revue, maar ook meer onbekende namen als Aristippos en Carneades komen uitgebreid aan bod.

Foto: Sargasso achtergrond wereldbol

Doublethink en Zen

<Webwereld column>

Doublethink is een begrip dat door George Orwell geïntroduceerd is in zijn beroemde roman ‘1984’. Het is een mentaal mechanisme dat mensen in staat stelt oprecht en tegelijkertijd twee volkomen tegengestelde ideeën te geloven zonder die tegenstelling als problematisch te ervaren.

In de ruim tien jaar dat ik me in Nederland heb beziggehouden met opensource en open standaarden in de publieke sector ben ik heel wat geoefende doublethinkers tegen gekomen. Zo is mij gedurende al die jaren door ‘experts’ en insiders geduldig uitgelegd dat de migraties naar opensource desktops die de community  wilde onmogelijk waren omdat ambtenaren niet met andere platformen konden werken. Non-techies iets anders geven dan de Windows+Office desktop waarop ze getraind waren in het Nederlands onderwijs zou tot rampen leiden. Het Kon Echt Niet.

De stelligheid waarmee dit (tot op de dag van vandaag) op allerlei plekken als tegeltjeswijsheid gezegd wordt heeft mij altijd verbaasd. Eerder was Nederland namelijk van WP5.2 op DOS naar Word6 op Windows gemigreerd en toen is de Aarde toch ook echt gewoon blijven draaien, gingen kinderen naar school en kwam er water uit de kraan.

De diverse migraties, de meeste buiten Nederland, laten inmiddels ook zien dat gewone eindgebruikers prima hun werk kunnen doen met alternatieve platformen, mits ze daar even wat uitleg en ondersteuning bij krijgen (iets dat men trouwens ook volkomen normaal vindt bij de migratie naar nieuwe releases van de gebruikelijke proprietary systemen).

Dezelfde mensen die jaren lang met grote stelligheid beweerden dat ‘Het Echt Niet Kon’ zijn inmiddels druk bezig om heel trots iPads uit te rollen naar allerlei managers en directeuren die daar om allerlei redenen om vragen, of ze zelf meenemen. Kennelijk is de adoptie van een totaal ander platform, met een totaal andere interface, helemaal niet zo problematisch als al die jaren is gesteld. Huh?

De klassieke ‘Rijkswerkplek’ bloedgroep aangevoerd door IT hoofden van ministeries, gemeenten en gesteund door Microsoft, Pinkroccade en Centric, wilde jaren lang heel Nederland ‘standaardiseren‘ op proprietary tools. Het beheer daarvan dan zou dan gedaan worden door de Nederlandse businesspartners van Microsoft. Indien gevraagd waarom zo’n kwetsbare en peperdure monocultuur noodzakelijk is roept men: ‘samenwerken!’. Want ‘samenwerken’ kan volgens deze mensen alleen als iedereen met exact dezelfde spullen werkt (nevermind dat op internet miljoenen mensen samen dingen doen met zeer verschillende tools). En die spullen moeten aansluiten bij wat mensen al kennen want iets nieuws leren is tenslotte ‘niet realistisch’.

De Web2.0 bloedgroep wil alles in ‘de cloud’ zodat ze met iPads vanuit de Starbucks kunnen ‘samenwerken’ met collega’s en consumenten-burgers-ondernemers. Dat dit de controle over de informatievoorziening van de staat in handen legt van oncontroleerbare private en buitenlandse partijen is geen onderdeel van de discussie. ‘We moeten met de modernste tools kunnen werken!’ Gevraagd wat men dan concreet zou willen doen blijft het antwoord vrijwel altijd schuldig of wordt er wat gemompeld over experimenten en het belang van ‘samenwerken’.

Beide bovenstaande bloedgroepen worden door elkaar en na elkaar geprogrammeerd op ‘e-government’ congressen en andere feesten zonder dat iemand deze tegenstellingen lijkt waar te nemen. Het is Doublethink in z’n ultieme vorm: het tegelijkertijd geloven van twee tegengestelde ideeën zonder een conflict te ervaren. van 11:00 tot 11:30 geloven dat een Microsoft monocultuur een noodzakelijke randvoorwaarde is om ambtenaren ’te laten samenwerken’ en dan van 13:30 tot 14:00 met evenveel gemak geloven dat hippe 2.0 ambtenaren gewoon met hun privé aangekochte iPad, geautoriseerd via LinkedIn, op het Rijks-intranet moeten kunnen zodat ze eindelijk kunnen ‘samenwerken’ met andere ambtenaren. En niemand wijst naar de kleren-loze keizer en stelt vast dat minstens één van deze twee verhalen onzin moeten zijn (en waarschijnlijk beide).

Ondanks al deze focus op samenwerken zitten overheidsorganisaties elkaar regelmatig dwars, werken langs elkaar heen, vinden wielen 300 keer opnieuw uit of wijzen naar elkaar als er dingen fout gaan. Van zoveel surrealisme kunnen zelfs Caligula en G.W. Bush nog wat leren.

Opensource vs proprietary in de overheid is slechts één van de voorbeelden waar sluwe verkopers van dubieuze bedrijven kennelijk veel gewenster zijn dan personen met aantoonbare expertise. Ook bij het EPD, stemcomputers, de OV-chip en de beveiliging van haar eigen systemen kiest de overheid actief voor liegende en bedriegende verkopers en/of incompetente ambtenaren ten gunste van belangeloze burgers en academici met aantoonbare top expertise.

Na lektober en het Diginotar drama leek het er even op dat er wellicht een lampje was aangegaan maar inmiddels is duidelijk dat men problemen oplost door ze als onveranderbare werkelijkheid weg te definiëren. Met de logica van ‘het-is-nu-eenmaal-zo-dat’ is jarenlang iedere beweging naar grotere leveranciersonafhankelijkheid en diversiteit van systemen tegengehouden. Nu wordt dezelfde logica gebruikt als excuus bij het falen rond beveiliging. Het is een beetje alsof brandveiligheid wordt gerealiseerd door te roepen dat niet alle gebouwen in brand staan en de brandweerauto’s er bovendien met 130Km/u naar toe mogen rijden. ‘We reageren dus heel snel!’. Preventie wordt gezien als lastig en bovendien: ‘het-is-nu-eenmaal-zo dat je het nooit veilig krijgt’.

Ondanks deze meest recente knieval voor buitenlandse spionage diensten en criminelen gaan talloze megalomane IT-projecten gewoon door. De burger moet de overheid dus wel vertrouwen met allerlei intieme gegevens ondanks het feit dat die overheid zelf toegeeft niet in staat te zijn deze adequaat te beveiligen. Als uitvoerende van zo’n project moet je Doublethink wel tot een permanente mentale toestand hebben gemaakt om niet in ernstige gewetensnood te komen.

Ooit was er een overheid in Nederland die de Deltawerken bouwde en er voor zorgde dat Nederland in de top-2/3 van de wereld meedraaide op het gebied van gezondheidszorg, onderwijs, sociale zekerheid, veiligheid, democratie en transparantie van bestuur. Alleen Zweden en Denemarken deden het soms beter.

Vandaag de dag voelt het alsof de Nederlandse overheid zichzelf aan het opheffen is. Kan niks, wil niks, doet niks. Wellicht moeten wij er als burgers ook zo tegenaan kijken. Geef ze niks, vraag ze niks, verwacht niks. Het Zenboeddhisme van de burger-overheids relatie. Happiness is low expectations!

Foto: Sargasso achtergrond wereldbol

[x] ongeschikt

<webwereld column>

Door alle nieuwe ontdekkingen van Brenno de Winter heb ik even overwogen om weer een column te wijden aan de OV-chipkaart. Maar bij nader onderzoek kwam ik er achter dat ik (en Brenno… en vele anderen…) eigenlijk alles erover in 2008 al gezegd hebben. En verder zijn grapje over de Iraakse minister van informatie zoooo 2003. Iets anders dus.

Ruim negen jaar geleden raakte in gesprek met Kees Vendrik (2e kamer, Groen links) over de verziekte Nederlandse software markt. Niet alleen was het onmogelijk een A-merk laptop te kopen zonder Microsoft Windows licentie, het was ook onmogelijk om veel websites (gemeenten, ns.nl en vele anderen) te bezoeken met iets anders dan Internet Explorer. Op dat laatste gebied is er veel verbetering te zien en dus kan ik tegenwoordig met mijn OS en browser naar keuze prima online leven. Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

Ondertussen daveren technologische ontwikkelingen door en datgene waar Bill Gates in ’95 zo bang voor was (het web maakt het OS irrelevant) is hard op weg werkelijkheid te worden. Bijna alle nieuwe ontwikkelingen die onderwerp van gesprek zijn onder IT’ers en power-users zijn web-based of gebaseerd op open specificaties en de meest gebruikte toepassingen van Pc’s draaien vrij goed als dienst in een browser.

Het 15-20 jaar oude probleem van afhankelijkheid is nog niet echt opgelost (onze overheid met tienduizenden IT’ers in dienst is niet in staat een desktop in te voeren op basis van iets anders dan de bekende Microsoft technologie stack) maar neemt dus wel af in impact. Ondertussen dienen zich al weer nieuwe afhankelijkheden aan van cloud-leveranciers die wellicht nog veel ernstiger kunnen zijn.

Door overmatig gebruik van proprietary software ontstaan risico’s van buitenlandse manipulatie of  aanvallen op kritische infrastructuur (zie bijvoorbeeld Stuxnet). Maar als je systemen op die manier worden aangevallen zijn er in ieder geval nog wat manieren om daar achter te komen. Als je werkt op de computer die niet van jou is, niet op een plek staat die je kan kennen en beheerd wordt op een manier waar je niets over kan weten wordt het wel heel lastig om nog enige controle te houden over wat er met je gegevens wordt gedaan.

Waar eerder nog de aanname was dat een deel van het probleem van controle over data te beheersen was door gebruikt te maken van lokale servers blijkt ook dat helaas een illusie. Alle ‘cloud’ diensten die worden aangeboden door bedrijven die in de VS gevestigd zijn vallen onder Amerikaans recht, zelfs als de servers fysiek in een ander land staan. En Amerikaans recht is tegenwoordig nogal, laten we zeggen, problematisch. Bij een verdenking van enige betrokkenheid bij ’terrorisme’,   specifiek bewijs niet noodzakelijk, kunnen systemen worden afgesloten of overgenomen. Zonder waarschuwing, mogelijkheid van wederhoor of enige juridische toetsing. De term ’terrorisme’ is daarbij zo ver opgerekt dat iemand die geen enkele Amerikaanse wet breekt, geen Amerikaans staatsburger is en zich niet in op het grondgebied van de VS bevindt toch ’terrorist’ kan zijn.  Gewoon omdat een van de vele drie-letterige diensten (FBI, CIA, NSA, DIA, DHS, TSA, enz…) dat vindt. De EU is niet blij maar gaat kennelijk niet zover dat zij haar burgers en mede-overheden wil adviseren geen gebruik meer te maken van dergelijke diensten.

De lange arm van de US Patriot Act reikt echter nog verder dan servers van Amerikaanse bedrijven op Europees grondgebied. Zo worden er wel eens domeinen ‘in beslag’ genomen en voorzien van een sticker: ‘deze site was betrokken bij handel in kinderporno‘. Ga dat maar eens uitleggen aan je relaties als ondernemer of non-profit. Alleen al het gebruiken van een .com, .org of .net extensie voor je domein is genoeg om onder Amerikaans recht te vallen en uitgeleverd worden. Je kan dus als Europeaan uitgeleverd worden voor het breken van Amerikaanse wetgeving terwijl je gewoon thuis was. Een .com domein maakt van je server effectief Amerikaans grondgebied.

We wisten we al dat proprietary platformen zoals Windows en Google-docs achtige oplossingen ongeschikt waren voor echt belangrijke zaken zoals het runnen van overheden of kritische infrastructuur. Nu blijkt dus echter dat iedere dienst geleverd via een .com/.org/.net domein je de-facto onder buitenlands toezicht laat vallen.

Oplossing? Draai zo veel mogelijk opensource software op servers lekker dicht bij huis, er zijn in Nederland en Europa gelukkig flink wat competente hosting bedrijven en bedrijfjes. Hou het lekker bij .nl of, als je echt bulletproof wil zijn, neem een .ch domein. Deze worden beheerd door een Zwitserse stichting en deze mensen nemen hun onafhankelijkheid zeer serieus. Niet voor niets draait wikileaks tegenwoordig onder wikileaks.ch nadat .org en andere domeinen een enkeltje Guantanamo Bay kregen.

En als je dan toch gebruik wil maken van Google-docs, Facebook, Evernote, Mindmeister, Ning, Hotmail of Office 365 doe dit dan met het bewustzijn dat je geen enkele verwachting meer kan hebben van privacy of enige andere vorm van burgerrechten. Prima voor de administratie van de tennisvereniging maar [x] ongeschikt voor alle zaken die er echt toe doen.