De vrijblijvendheid voorbij:
zweep of wortel?

De ‘vrijblijvendheid voorbij’ is de centrale boodschap om van de NDS een succes te maken. Maar stuur je hierop met wettelijke verplichtingen en boetes of met belonen en verleiden? Of een combinatie? De meningen zijn verdeeld, zo blijkt tijdens een breakoutsessie over het onderwerp op de iBestuur-conferentie.

Een onderwerp waar vrijblijvendheid in hoge mate speelt is de inzet van standaarden. Doel van de NDS is organisaties aan te zetten de ontwikkelde standaarden over te nemen, wat interoperabiliteit van systemen en dataportabilteit belooft. Bij de start van de sessie schetst chief data officer Ruben Dood van het CBS de belabberde score tot nu toe. Standaarden worden ontwikkeld en goedgekeurd door onder meer Forum Standaardisatie, dat de lijst van standaarden beheert, die overheidsorganisaties bij hun ICT-aanbestedingen verplicht uit moeten vragen, ‘maar uiteindelijk blijkt dat het aantal organisaties dat standaarden daadwerkelijk gebruikt, jaarlijks maar met twee procent groeit. Tegen de tijd dat iedereen is overgestapt, zijn we tig standaarden verder.’

Dood weet wel een reden. ‘Organisaties zeggen vaak dat hun processen zich niet voor de standaard in kwestie lenen. Elke overheidsorganisatie heeft een efficiënte automatisering opgetuigd, maar wel specifiek voor de eigen organisatie.’

Om de hand ook in eigen boezem te steken: zo gebruikt het CBS geen DigiD bij het rondsturen van zijn enquêtes. ‘Dat past niet in onze automatisering’, legt Dood uit, maar intussen hebben wij daar dus last van. DigiD is dé manier om met de burger te communiceren. Als je het niet gebruikt kan dat op wantrouwen stuiten. Elk jaar wordt het voor ons echter ingewikkelder en duurder om over te stappen op DigiD, want deze standaard ontwikkelt zich in snel tempo.’

‘Pas toe of leg uit’ werkt niet

Dood stelt dat de ‘Pas toe of leg uit’-verplichting van Forum Standaardisatie niet werkt. ‘De eerste stap naar minder vrijblijvendheid is een goed onderbouwde uitleg waarom je een standaard niet toepast. Dat klinkt goed, maar er blijken altijd goede redenen te zijn om een standaard niet te gebruiken.’ Het Pas-toe-of-leg-uit-principe biedt vooral een uitvlucht om iets vooral maar niet te hoeven doen, aldus de chief data officer van het CBS.

Het Pas-toe-of-leg-uit-principe vervalt bij het wettelijk verplicht opleggen van standaarden in de Wet digitale overheid (Wdo). Zo’n verplichting werkt echter alleen, klinkt het vanuit de zaal, als daar een strakke handhaving op zit. Wat Dood bevestigt met een voorbeeld. Uit onderzoek van Forum Standaardisatie is bekend dat er nog altijd overheidswebsites zijn die niet aan security-standaard HTTPS voor een veilige internetverbinding voldoen. ‘Er staat geen sanctie op, terwijl deze standaard al jaren geldt’, stelt Dood. De oplossing ligt er volgens hem in dat de wal uiteindelijk het schip gaat keren. ‘Organisaties zullen in gaan zien dat ze hun automatisering om moeten gooien, omdat standaardisatie voor hun bedrijfsvoering en dienstverlening op termijn onontkoombaar is.’

Ruben Dood: ‘De eerste stap naar minder vrijblijvendheid is een goed onderbouwde uitleg waarom je een standaard niet toepast.’

​​​​​​​Ook gebruik collectieve voorzieningen blijft achter

CIO Martijn Groenewegen van de gemeente Eindhoven en voorzitter van CIO-beraad van de 100.000+ gemeenten ziet dat ook het gebruik van collectieve voorzieningen achterblijft.

Groenewegen is bestuurslid van Common Ground, het VNG-programma dat collectieve digitale producten ontwikkelt. Aan deze vrijblijvende oplossingen wordt al ruim acht jaar aan de weg getimmerd door bevlogen gemeenten, samen met de markt. Zelf is Eindhoven een grootverbruiker van Common Ground-producten, maar een brede toepassing bij andere gemeenten komt aan op verleiding, en is dus vrijblijvend.

Groenewegen: ‘We moeten andere gemeenten overtuigen met ICT-componenten die goed werken. Dat vergt tijd. Je moet hen mede-eigenaar maken van het succes.’ De CIO geeft toe dat het geduld in de Common Ground-gelederen langzaamaan opraakt en dat een grotere mate van dwang wellicht geboden is.

Van boetes naar belonen

Delen wat er goed gaat in de vorm van show-cases, vindt een van de sessiedeelnemers, zou een goede aanpak zijn. Een ander stelt voor om organisaties die de meerwaarde van een collectieve oplossing laten zien, financieel te belonen. Ook subsidieregelingen kunnen een prikkel zijn om projecten met collectieve voorzieningen te starten. Volgens Groenewegen zijn financiële incentives en subsidies echter weinig duurzaam zijn en helpen ze alleen zolang de subsidiekraan open staat. ‘Er moet ook een intrinsieke motivatie zijn.’

Andere deelnemers aan de sessie hanteren liever de stok. Een van hen noemt het cookiebeleid van privacywet AVG als voorbeeld: organisaties die op hun website bezoekers niet expliciet om toestemming vragen om cookies te plaatsen, riskeren serieuze boetes. ‘Dat is een goed bedrijfsmodel. Bestuurders komen namelijk niet in beweging als er geen consequenties zijn. Het aantal regels bij digitalisering waar sancties op staan, is echter nog kleiner dan twee procent.’

Groenewegen verwacht niet dat boetes zullen helpen. Zijn gemeente stond zelf enige tijd onder toezicht van de Autoriteit Persoonsgegevens (AP), omdat ze privacywet AVG niet naleefde. ‘In een dergelijk stadium kun je wel dreigen met boetes, maar in feite ben je dan te laat’, aldus de CIO. ‘Zo’n boete gaat je dan niet meer helpen om te voldoen aan de regelgeving. Je hebt dan een ander mechanisme nodig, namelijk dat organisaties zich de norm zelf opleggen.’ In het geval van Eindhoven was dat een nieuw privacybeleid en de toezegging van de gemeente door een externe partij te laten controleren of ze voortaan aan de privacyregels voldoet.

Op het matje roepen

Een van de opties die nog passeert is de bewindspersoon voor digitalisering bestuurders op het matje te laten roepen, als ze geen gebruik maken van standaarden of collectieve bouwstenen en niet aan wettelijke verplichtingen voldoen. Dat zou zeker voor beweging kunnen zorgen bij standaarden die niet van de grond komen, meent een van de deelnemers aan de sessie. ‘Bij organisaties die niet kunnen bewegen, heeft druk echter weinig zin’, werpt een ander tegen.

Groenewegen ziet liever de combinatie van verplichten en verleiden. ‘Ik denk dat allebei moet. Het is goed om iemand erop aan te spreken die verantwoordelijk is, maar nog is dat geen garantie dat al zijn medewerkers dit gaan doen. Alleen een ‘pas toe of leg uit’-verplichting of sancties gaat echt niet werken. Je moet nagaan waarom iemand niet meegaat en deze belemmering proberen weg te nemen. Wellicht is er een legitieme reden. Dat zal van geval tot geval anders zijn. Soms is het een geldkwestie. Mogelijk moet er structureel iets veranderen om in beweging te komen. Zaak is de oorzaak helder te hebben.’

Xxxxxxxxxxx.