Zoals autoverzekeraars eisen dat u uw wagen voorziet van een deugdelijk, gekeurd alarmsysteem, zo moeten overheden verplicht worden hun sites en databanken grondig te beveiligen. Maar dat is niet genoeg. Door Arjan Dasselaar

Bij nieuwswebsite Webwereld houden ze deze maand een actie: ‘Lektober’. Elke dag komt de site met een nieuwe beveiligingsblunder. Vaak blijken overheden de boel slecht op orde te hebben.

Dat is beangstigend, want de overheid beheert allerlei informatie over u en mij. Maar nog beangstigender zijn de vaak laconieke reacties van overheden die worden geconfronteerd met hun digitaal falen.

Dreigen met rechtszaken

Van een wethouder die op Twitter probeert een spittend journalist nog even een plaagstootje  toe te voegen, tot een burgemeester die blafbrieven verstuurt en met rechtszaken dreigt: schaamte lijkt afwezig.

Deze arrogante houding is misplaatst. De overheid is er niet voor zichzelf, maar voor ons. De informatie die door dergelijke lekken op straat kan komen, beheert diezelfde overheid dus eveneens namens ons.

Slechte wijken op internet

Als iemand op uw auto past, verwacht u dat hij er verantwoordelijk mee omgaat. Niet dat hij de deur niet op slot doet bij het parkeren in een slechte wijk, en al helemaal niet dat u ook nog eens een grote mond krijgt nadat uw autoradio door de nalatigheid van uw kennis is gestolen.

Internet kent geen slechte wijken. Waar de server ook is gehuisvest, in principe is deze nergens veilig. Daarom moet elke computer die met internet verbonden is en belangrijke informatie bevat, voorzien zijn van het computerequivalent van een goed auto-alarm.

Eeuwig uitbesteden

Maar helaas verschuilen overheden zich liever achter de bedrijven die ze hebben ingehuurd om hun websites te beveiligen. Dat is om twee redenen niet sterk: ten eerste loopt een verstandige klant weg bij een prutsende leverancier, en ten tweede is het inhuren van externe partijen een uitstekende manier om zelf nooit wat bij te leren over ICT.

Niettemin zijn het deze overheden die steeds weer proberen meer van onze gegevens in computersystemen op te nemen. Het Elektronisch Patiëntendossier (EPD) bijvoorbeeld. Volksgezondheidminister Edith Schippers haalde daar eerder dit jaar onder druk van de Eerste Kamer een streep door.

Privacy? Brand is erger!

Ik heb nooit geloofd dat het daarbij zou blijven en inderdaad gaat de lobby voor het alsnog invoeren van dit EPD gewoon door.

Privacybezwaren worden weggewuifd. "Natuurlijk spelen er kwesties rond privacy. Niets is echter zonder risico," zegt een arts op de site van de Landelijke Huisartsen Vereniging.

Patiëntrechten in het EPD

Zo’n EPD zou op zichzelf best een aardig idee zijn als (a) u er net zo makkelijk bij zou kunnen als uw arts, en u uw patiëntrechten voortaan online zou kunnen uitoefenen, en (b) u zeker zou weten dat uw gegevens veilig zouden zijn, of in elk geval zo veilig mogelijk.

Wie echter na de vele ICT-blunders van de overheid nog gelooft dat zo’n EPD binnen budget én veilig wordt opgeleverd, krijgt leukere medicijnen van zijn huisarts dan ik.

Steeds problemen bij de overheid

Het EPD is natuurlijk maar één voorbeeld. Maar steeds weer blijkt dat de overheid slecht overweg kan met techniek. Het voortijdig uitlekken van de Miljoenennota, het bouwen van een onveilige stemcomputer, de vele mislukte automatiseringsprojecten bij de politie en nu weer de onzorgvuldige wijze waarop veel lokale overheden met hun websites omgaan.

Daarbij is niet de techniek het probleem, maar de cultuur rondom techniek. Teveel ambtenaren en politici denken dat ze zelf niets van ICT hoeven te begrijpen. Ze besteden de klussen toch uit aan gespecialiseerde bedrijven.

Wetgeving uitbesteden aan bedrijven

Het zou niet in het hoofd van een politicus opkomen om het schrijven van wetgeving over te laten aan een ‘gespecialiseerd bedrijf’. Of om beleidsambtenaren aan te nemen zonder tenminste een klein beetje juridische of bestuurskundige kennis.

Maar bij ICT, naast wetgeving toch echt ook een bouwsteen van de huidige maatschappij, is het blijkbaar volstrekt acceptabel om er zo weinig vanaf te weten dat je niet eens een extern bedrijf goed kunt aansturen.

En totdat dit verandert, is het verstandig om elk overheidsproject dat ICT gebruikt tot op het bot te wantrouwen.