Overheids-IT in de uitverkoop

Inkopen van overheids-IT is moeilijk.  Dit
overlaten aan amateurs is dom maar ook nog eens
gevaarlijk.  Inkopers hebben geen idee hoe je
IT-kwaliteit meet en maken daardoor rare
bokkensprongen.  Economen bedenken prijsmodellen
die niet werken en drijven daarmee
systeemontwikkeling naar lagelonenlanden waar je
zelf nooit zaken zou doen.  Beter rechtmatig
gefaald dan doelmatig geslaagd lijkt het adagium
van de juristen.

Stop die ingredienten bijeen en de toekomstige
gebruikers staan huilend van machteloze woede aan
je bureau.  Die mensen weten namelijk uit eerdere
ervaringen al dat ze niet gaan krijgen wat ze
nodig hebben: vaklui die betrouwbare en
onderhoudbare systemen komen maken.

Ik heb vele aanbestedingen gezien en ook het
resultaat ervan, zowel in termen van
leverancierskeuze, als ook het resultaat.  De
praktijk wijst uit dat keer op keer partijen de
klussen binnenhalen die aanbieden tegen
afbraakprijzen.  De kwaliteit is verre van goed.

Tegen die prijzen kun je alleen in bv India laten
bouwen.  We kennen daar al voorbeelden van: de
polisadministratie van het UWV werd via die route
gebouwd.  In een nulmeting van begin 2007 is te
lezen dat voor 1493 functiepunten 39 miljoen is
betaald.  Dat is ruim 26 duizend Euro per
gerealiseerde functiepunt, wat zomaar tien
keer te hoog is.  Echt goedkoop is het dus niet via
India.

Al weer jaren geleden kochten medewerkers van de
Sun voor een habbekrats bankgegevens van een
duizendtal Britse klanten van een call-centre in
India.  Of deze: ``Nadeem Kashmiri, a data
operator, has been charged with hacking the
computer system which allegedly led to money being
stolen from customer accounts.''  Aldus het BBC
news in 2006.  Vorig jaar bleek vanuit een Indiaas
call centre verzekeringsfraude gepleegd te worden.
Daar viste men uit welke accounts "in ruste"
waren, om vervolgens vanuit de UK valse claims te
doen.  Dat was de afdeling misdaad, maar er is
meer.

Ook als het project niet strandt moet je je
afvragen of India de juiste route is.  Systemen
van Justitie, Politie, het Inlichtingenbureau, de
AIVD, onze ambassades.  De kans bestaat dat zulke
systemen al in het Verre Oosten zijn of ze vloeien
er naar toe zoals bij het UWV.  Dat komt doordat
de overheid alleen in de uitverkoop IT aanschaft.
Dat is een zeer ongewenste ontwikkeling.

Op 6 april 2010 kwam het Shadows in the Cloud
rapport uit.  Mooie titel als het niet zo erg zou
zijn.  De eerste zinnen van dit Canadese rapport
van de universiteit van Toronto spreken boekdelen:
``Whereas crime is usually the first to seek out
new opportunities and methods, espionage usually
follows in its wake, borrowing techniques and
tradecraft.  The Shadows in the Cloud report
illustrates the increasingly dangerous ecosystem
of crime and espionage and its embeddedness in the
fabric of global cyberspace.'' Men heeft bewijs
gevonden van het bestaan van een ``cyber espionage
network that compromised government, business, and
academic computer systems in India''.  

Waar moeten we dan aan denken?  ``It was also
found that Indian government related entities,
both in India proper and throughout the world, had
been thoroughly compromised. These included
computers at Indian embassies in Belgium, Serbia,
Germany, Italy, Kuwait, the United States,
Zimbabwe, and the High Commissions of India in
Cyprus and the United Kingdom.'' Aldus het
rapport.  Daar gaat onze software ook naar
toe.

Dan is er het gevaar van de IT-bedrijven zelve.
Mahindra Satyam, een IT-dienstverlener in India
pleegde vorig jaar voor een miljard dollar fraude
waardoor de aandelen kelderden.  Hoeveel mensen
daar werken is ook onderwerp van discussie: 40000
is toegegeven tijdens politieverhoor maar 53000
werd publiekelijk vermeld.  Wipro, ook een Indiase
IT-speler, had dit jaar iets dergelijks: er werd 4
miljoen dollar weggesluisd door een medewerker
wegens een zwak password.  Bij een faillissement
heb je geen idee wat er met code of data gebeurt.
Maar onze software zit er wel.

Het probleem is dat de lokale leveranciers die de
de aanbestedingsformulieren het beste kunnen
invullen, de klussen krijgen.  Die bedrijven
hebben hun business model op IT-uitverkoop
ingericht.  Sommigen belonen zelfs uren die naar
India gaan.  De IT-ers die het echt kunnen,
schrijven vaak al niet meer in, heeft geen zin
namelijk.  De wortel van dit kwaad zit mede in het
Europees aanbestedingsrecht.  Ook de naieve
invulling ervan (veel te laag in de organisatie)
is onderdeel van het probleem.

De overheid is op weg naar verbetering van de
IT-functie.  Zonder gedegen vaklieden die de
software ook echt kunnen maken wordt het echter
nooit wat.  Wat men aan de voorkant verbetert
wordt aan de achterkant meer dan verknalt.

Ingrijpen in de acquisitiepraktijken bij de
overheid is hoogst noodzakelijk.  Past performance
als gunningscriterium is daarbij cruciaal.  Anders
blijven spreadsheetridders de boel frusteren.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in AG II.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.