De weg van de Belgische overheid naar opensource mag nog lang zijn, dat betekent niet dat aan die weg niet wordt gewerkt. Het levert op voor zowel de overheid als voor de opensourcegemeenschap. Al is er bij de overheid heel wat interessante informatie te winnen voor cybercriminelen, met de betrokkenheid van private IT-ondernemingen blijven zelfs die buiten de deur.
Volgens Nima Elmi, hoofd van regeringszaken bij het World Economic Forum, heeft de opensourcegemeenschap vele troeven te bieden voor overheden. Als schoolvoorbeeld haalt ze het Verenigd Koninkrijk erbij. De overheid van het VK is groot fan van opensource en steekt dat niet onder stoelen of banken. In de door hen neergeschreven Government Design Principles (GDS) steunt het laatste principe op opensource. Of ja steunen op, het prijst opensource zowaar de hemel in. Er staat te lezen dat hoe meer mensen meedenken over een server, hoe beter die wordt. Het draait allemaal om zoveel mogelijk delen met een zo groot mogelijk publiek. Dat doen zij om de opensourcegemeenschap te bedanken, want zonder hun kon de overheid veel projecten niet realiseren en daarom is het nu aan de overheid om iets terug te geven.
De contact tracing-app die in het VK werd uitgerold is een belangrijk voorbeeld waarin het publiek betrokken wordt bij een overheidsaangelegenheid. De Britse overheidsdienst NHSX was daar verantwoordelijk voor de ontwikkeling en besloot de code, beveiligings- en privacy design openbaar te maken. Door andere ontwikkelaars te betrekken werd het publiek gemotiveerd de app vrijwillig te installeren.
België minder ver gevorderd
Het Verenigd Koninkrijk lijkt wel het paradijs voor opensourcefanaten. Binnen België is er nog een langere weg af te leggen voor de overheid, vindt Ingrid Sommen, Client Delivery Executive bij Capgemini. “Het is alleen de vraag of de Belgische overheid vragende partij is om een opensource-aanpak te hanteren”, vertelt Jos Verrelst, Program Manager bij Cegeka. “De implementatie van een regelgeving vraagt gespecialiseerde rollen om de specificaties duidelijk te stellen en te controleren. Dat is vandaag beperkt tot een kleine groep van medewerkers. Dat toepassen op een grote groep (community) is zeker niet efficiënter en vraagt om een andere aanpak.”
Volgens Sommen zit er toch schot in de zaak, althans op Vlaams niveau: “De Vlaamse overheid heeft effectief werkgroepen opgericht. Die betrekken zowel burgers als bedrijven. De eerste stappen zijn hiermee gezet, maar het blijft moeilijk inschatten hoelang het volledige proces duurt.” Ze verduidelijkt hierbij dat er op Europees niveau eveneens vorderingen worden gemaakt, terwijl het federaal niveau eerder volgt in de vooruitgang van Europa.
Opensource afhankelijk van private bedrijven
Elmi is in haar betoog hard voor de private sector. Zij zag soelaas in kleinere IT-bedrijven die contracten wegsnoepten van grote, gevestigde namen. Al bleek al snel dat nieuwe namen evengoed met gesloten oplossingen kwamen, waardoor de koek nog verder werd verdeeld tussen IT-bedrijven.
Een opensource-aanpak betekent alleen evengoed niet dat de overheid volledig loskomt van private ondernemingen, sust Sommen: “Ik vergelijk het met legoblokjes, de private ondernemingen kunnen legoblokjes maken en de opensource-wereld maakt andere toepassingen met die legoblokjes, die nuttiger zijn voor de burger bijvoorbeeld. Die legoblokjes kunnen zij combineren om gericht op één bepaald doelpubliek iets te ontwikkelen. Dan is er wel iemand nodig die het eerste legoblokje onderhoudt, die zorgt dat de code altijd draait, die zorgt dat een foutje gecorrigeerd wordt en die zorgt dat computers evolueren.”
Private ondernemingen kunnen legoblokjes maken en de opensource-wereld maakt andere toepassingen met die legoblokjes, die nuttiger zijn voor de burger bijvoorbeeld.
Ingrid Sommen, Client Delivery Executive bij Capgemini
Het grootste struikelblok op dit moment blijkt de beveiliging te zijn. “Belangrijk bij opensource is dat er een controle-element is dat erop toeziet dat iedere toevoeging of wijziging kan en mag beschikbaar gesteld worden. De controleurs geven groen licht om een aanpassing te publiceren naar de buitenwereld en blokkeren wat niet toegelaten is, omwille van de privacy bijvoorbeeld”, de taak van het controle-element is volgens Verrelst weggelegd voor private ondernemingen.
Die taak wordt uitbesteed, want de beveiliging zelf doen gaat volgens Sommen in tegen het principe van de overheid om de economie te steunen. Al heeft de overheid ook niet de nodige specialisatie in huis zegt Verrelst: “De overheid doet al decennia beroep op private ondernemingen om hun toepassingen te ontwikkelen en te beheren. De reden hierachter moet, naar mijn mening, gezocht worden in de verloningsstructuur van de publieke sector die niet mee is met wat de markt te bieden heeft. Dat vertaalt zich naar een uitstroom van specialisten van de publieke sector naar de private sector.”
Gegevens nieuwe goud
Een opensourcecode kan dus vrijwel eenvoudig beveiligd worden. Het is gewoon zaak de aanpassingen die de gemeenschap maakt te laten controleren door hoogstwaarschijnlijk een private IT-onderneming. Op basis van een opensourcecode kunnen overheden ook applicaties ontwikkelen om data centraal op te slaan. Dit gebeurde bijvoorbeeld in Nederland met de applicatie Registratie Eerste Verblijfadres (REVA). Het adres van arbeidsmigranten in het thuisland en dit in Nederland werden in de applicatie centraal opgeslagen, waardoor de gegevens toegankelijk waren voor alle Nederlandse gemeenten.
De centrale opslag is in een slecht beveiligde omgeving snel toegankelijk voor cybercriminelen. Maar toegegeven is er weinig informatie waterdicht afgesloten, vindt Tobias Pauwels, Sales Manager bij CTAC: “Er schuilt gevaar in elke software, of het nu opensource is of andere software.” Hij beschrijft gebruikersgegevens als het nieuwe goud: “Die gegevens zijn veel waard en sommige mensen doen er alles aan om die waardevolle informatie te bemachtigen. Het is afhankelijk van de manier waarop software gemanaged wordt. Als de software op de juiste manier beveiligd is, de data versleuteld is en de juiste mensen toegang hebben, dan kan het gevaar geminimaliseerd worden.”
Het voordeel van de centrale opslag is een betere en snellere dienst aan burgers. Vandaag de dag worden mensen vaak van het kastje naar de muur gestuurd, omdat de nodige data verspreid ligt over de verschillende instanties. Volgens Sommen is het een kwestie van tijd om daaraan te werken: “De overheid moet daarin samen met de burgers groeien. Als die overstap te snel gebeurt, dan wordt dat vrijwel zeker misbruikt. Dat misbruik kan gebeuren door cybercriminelen die geïnteresseerd zijn in de data, maar ook door ondernemingen die gegevens commercieel uitbuiten.”
Uit eigenbelang en groepsbelang
Om bij te blijven met technologische ontwikkelingen zijn budgetten van de overheid te beperkt. Daarom loont het toch de moeite een stapje te zetten op de opensourcegemeenschap voor het bouwen van codes. Zo kan meer worden verwezenlijkt met een kleiner budget, vindt Elmi. “Fanaten hebben typisch een hele hoop expertise waar de overheid zeker dankbaar gebruik van zou kunnen maken”, vult Pauwels aan.
Sommen twijfelt toch of de toekomst er echt zo rooskleurig uitziet voor opensource bij de overheid: “Het opensourceverhaal blijft toch een moeilijke kwestie bij de overheid. Als je opensource binnenhaalt, dan heb je altijd een beveiligingsrisico. Tenzij je heel veel tijd investeert om alles grondig te testen en te valideren, maar dan verlies je tegelijk alle toegevoegde waarde van opensource.” Met haar mening druist ze wel in tegen de conventie dat opensource net veiliger is dan privaat geschreven code die niemand kan inzien, aangezien de hele gemeenschap mee naar fouten kan speuren. Het alternatief, security through obscurity, is niet meer van deze tijd.
Het is alleen kwestie te vinden waar individuele gebruikers aan willen meebouwen. Een opensourcecode is namelijk enkel interessant voor gebruikers als zij er zelf ook voordeel uithalen, vertelt Verrelst: “Individuele gebruikers schrijven mee aan een code, niet noodzakelijk die van een overheid, omdat ze er zelf beter van worden: ‘De community wordt er beter van en ikzelf ook’.”
Individuele gebruikers schrijven mee aan een code, niet noodzakelijk die van een overheid, omdat ze er zelf beter van worden: ‘De community wordt er beter van en ikzelf ook’.
Jos Verrelst, Program Manager bij Cegeka
Hij ziet daarom enkel een toekomst bij technische componenten: “De meerwaarde voor de individuele gebruiker en de controle op de code zijn cruciaal in een opensourcecontext. Dit verklaart waarom we de opensource-aanpak quasi uitsluitend zien bij technische componenten. Het optimaliseren van een technische component en deze publiceren levert een meerwaarde aan de community en de grote groep van gebruikers omwille van de herbruikbaarheid van de component. Het optimaliseren van een functionele component leidt niet tot een dergelijke meerwaarde omdat er geen of slechts een beperkte herbruikbaarheid is.”
Sommen sluit zich aan bij die visie: “De opensourcecode die er op termijn komt, zal eerder dienen voor het maken van specifieke toepassingen waar de gebruiker zelf iets mee is. Voordat de overheid daaraan toe is, zijn ingepakte services nodig. Die vormen de bouwstenen voor toepassingen die de burger zelf ontwikkelt voor bedrijven. De garantie is eerst dat je basisgegevens correct zijn. Daar zit dan toegangscontrole op, zodat niet iedereen zomaar bij de gegevens kan.”
Versnelling hoger door coronacrisis
De pandemie heeft de overheid wel in de richting van opensource geduwd, ziet Sommen: “Door het digitaal werken is er meer bewustwording ontstaan en het is belangrijk daarop verder te bouwen.” Doordat de samenleving snel moest schakelen door de plots opgelegde coronaregels, werden publieke en private sectoren tot samenwerking gebracht. Enkel op die manier werd het mogelijk de volledige capaciteit van moderne technologie in te zetten. Volgens Elmi was dit een goede zaak, waar we niet vanaf mogen stappen zodra de wereld verlost is van de covid-kwelling.
Of in de toekomst inderdaad die samenwerking verder wordt gegarandeerd, is afhankelijk van de overheid. Het open communiceren over de bestemming van burgergegevens in combinatie met het ontdekken van de mogelijkheden van opensource, schept de nodige vertrouwensband voor die samenwerking. Sommen ziet ook dat de Vlaamse werkgroepen enkel levensvatbaar zijn als de volledige bevolking achter opensource staat: “Het is belangrijk dat iedereen in het verhaal stapt. Dat is mogelijk door gegevens te houden bij de persoon tot wie ze behoren.” Dat is mogelijk door gegenereerde data uit een applicatie in een database beschikbaar te stellen aan het publiek.