Stuff Michiel Leenaars has written

Ga naar het overzicht  | homepage

Pak die GOUDen kans

Digitaal bestuur, 13/2/2008

Goed opdrachtgeverschap is een vak apart. Dat zagen we bij de (nu uiteindelijk toch maar weer wel) openbare aanbesteding voor de pilot voor de gezamenlijke nieuwe werkplek voor een aantal ministeries ('GOUD'). Toen ik het voor het eerst onder ogen kreeg, dacht ik dat het een goed uitgevoerde parodie was. Het was echt even slikken toen bleek dat het echt om een miljoenenaanbesteding gaan waar de toekomst van onze staatsveiligheid mede van afhangt.

Vervolgens bleek het drama nog veel groter dan gedacht. Men wist namelijk hoe slecht het was, en liet het toch doorlopen. Ondanks waarschuwingen uit allerlei hoeken en een negatief uitgevallen contra-expertise werd de bij invoering al achterhaalde kostbare aanbesteding toch doorgezet. En dat terwijl het in flagrante tegenspraak is met de breed gedragen strategische keuze die Nederland gemaakt heeft voor open standaarden. Het gevolg was dat vice-premier Wouter Bos zelf op moest komen draven in de Tweede Kamer om tekst en uitleg te geven - als projectleider de grootste schande die je kan overkomen.

Voor degenen die de ophef rondom GOUD wel langs heeft zien komen maar die nog niet de moeite heeft genomen er eens door te bladeren, een korte impressie. Het pakket van eisen heeft nog het meest weg van een spelletje memory gecombineerd met "Ik zie ik zie wat jij niet ziet" rondom een Windows 95-thema. Alles maar dan ook alles wat de huidige werkplek doet - nuttig of onnuttig, wenselijk of onwenselijk - wordt in lekentaal uitputtend omschreven.

En dat gaat ver. Zo moet er volgens het Pakket van Eisen een "Rekenmachine" inzitten "die met de muis en het toetsenbord bestuurd kan worden" zodat "basale calculaties worden uitgevoerd (de ‘Meneer van Dale’ functies, aangevuld met een percentage berekening)." Als B-eis wordt daar nog aan toegevoegd dat met de rekenmachine wetenschappelijke calculaties zouden kunnen worden uitgevoerd (inclusief basale wiskundige en statistische formules), "de rekenmachine één of meerdere geheugenfuncties bevat" alsook "een functionaliteit, die in staat is de resultaten van de berekeningen te knippen of te kopiëren naar andere applicaties van de Goud werkplek, waaronder minimaal het tekstverwerkingspakket." Er bestaan tientallen softwarecalculators - open source en freeware - en ze bevatten allemaal deze functionaliteit. Ze zijn allemaal gratis, dus naderhand toe te voegen als een leverancier er niet mee komt. Waarom zo diep op dit soort non-functionaliteit ingaan - nog even los van het feit of het niet slimmer is om de gebruiker te stimuleren dit soort bewerkingen in een gecontroleerde en controleerbare setting als een spreadsheet of statisch pakket uit te laten voeren.

Het document gaat maar door en door met open deuren opentrappen zonder iets te zeggen, en vooral zonder ontertussen specifiek te worden over waar het echt om gaat: heldere en toekomstvaste interoperabiliteitseisen. Het wemelt bij de eisen voornamelijk van merk- en productnamen, alsof het standaarden zijn. De contra-expertise heeft het netjes over productgerichte eisen in plaats van functionele eisen, maar dat komt op hetzelfde neer. Ook de rechtvaardiging waarom die producten dan genoemd worden, is flinterdun - terwijl de technische en financiele impact enorm is. Dat is verkeerde zuinigheid. Ik heb nog nooit gehoord van een "Webcliënt" plugin, maar het is een "belangrijke" eis voor de toekomst. Kan die ene toepassing (welke) dan niet toevallig ook op een andere manier werken die wel platformonafhankelijk is? Er moet (belangrijk) een mailoplossing aangeboden worden die met de Microsoft Exchange (TM)-mailserver samenwerkt, want die wordt handig genoeg pas over twee jaar vervangen. Exchange werkt normaliter met haar eigen, ongespecificeerde protocollen in plaats van de beschikbare IETF-standaarden. Mag de leverancier dan tenminste Exchange inregelen om zo goed en zo kwaad als het kan (deels) met open standaarden te werken? Vaak zal het bovendien veel goedkoper en beter zijn om er iets naast te zetten en de overbodig geworden Exchange uit te faseren - vergelijk het met een twintig jaar oude merkinbouwkeuken waarvan de afwasmachine het 'nog prima' doet. Als je de rest wilt vervangen maar die afwasmachine perse wilt blijven gebruiken (doet het nog prima), ben je een veelvoud kwijt van de prijs van een volledig nieuwe, moderne keuken die wel voldoent aan de moderne kwaliteits-, eco- en hygiene-eisen.

De 'running gag' in de aanbesteding is weggelegd voor het onspecificeerde leverancierseigen protocol Active Directory (TM), ten koste van de hiervoor breed in gebruik zijnde open standaarden zoals LDAP, Radius en Diameter. Er zit nog meer ongewenst spul tussen. Zo moeten onze ambtenaren niet alleen Flash (TM) en Shockwave (TM)-filmpjes kunnen bekijken, maar ook expliciet het onveilige TELNET-protocol kunnen gebruiken - net als het deze maand door de Amerikaanse overheid uitdrukkelijk afgeraden ActiveX (TM) in de browser. Die laatste eis staat er zelfs twee keer direct achter elkaar in, waarbij alleen de tweede keer wordt gezegd dat een "alternatieve oplossing" ook mag - maar wat een alternatief is of zelfs waar het precies voor nodig is, wordt niet gezegd. Als het maar "centraal aan -en uit te zetten [is] door de beheerorganisatie".

Het verschil tussen een besturingssysteem (kernel), de grafische werkomgeving (window manager of desktop) en individuele toepassingen (pakketten) bestaat sowieso eigenlijk niet in GOUD. Van de mogelijkheden voor emulatie, compatibiliteitsmodussen en virtualisatie heeft men duidelijk geen kaas gegeten, en ook het security-beleid en begrip van accessibility laat duidelijk te wensen over. Ook van de reden waarom standaarden nodig zijn, is men ook niet precies op de hoogte. Zo stelt men ergens als eis: "Bestandsformaten welke gebaseerd zijn op een open standaard (zoals minimaal ODF) moeten kunnen worden geconverteerd naar andere bestandsformaten zoals minimaal .doc en .rtf en andersom." Hier staat dus eigenlijk: open standaarden moeten ook omgezet kunnen worden in ongespecificeerde formaten. Ja, dat werkt lekker.

Er spreekt uit heel GOUD geen visie op hoe de toekomst van de overheidsdesktop eruit ziet. Wat je zou willen is bijvoorbeeld het afdwingen van betere security. Je wilt in ieder geval goed versleuteld communicatieverkeer (mail, chat, VoIP), dito versleutelde harde schijven en veilige compressieformaten als KGB in plaats van zip. Er is mij geen besturingssysteem bekend dat rootkits kan tegengaan (dat is zo'n beetje de definitie ervan), en die eis zit dan weer wel in het eisenpakket. Je hebt wel besturingssystemen die iedere applicatie onder dezelfde rechten laten draaien als de gebruiker, en andere besturingssystemen die daar een onderscheid in kunnen maken. Door een 'jail', 'sandbox' of lichtgewicht virtuele machine te gebruiken kun je risico-applicaties als browsers beter afschermen dan te vertrouwen op antivirussoftware alleen.

Sommige van de wel gestelde eisen zijn vanuit robustheidsperspectief klinkklare onzin. Zo wordt voorgeschreven dat het aangeboden besturingssysteem voor de verschijningsvormen Desktop en laptop verplicht hetzelfde zijn. Waarom niet op de een Linux en de ander FreeBSD of OpenSolaris, met daarbovenop desnoods dezelfde desktop (bijvoorbeeld KDE)? Dat is toch veel robuuster? Voor de applicaties die erop draaien, hoeft het niet veel uit te maken - tenzij ze platformafhankelijk zijn, maar dat was toch al niet de bedoeling. De gebruiker merkt geen verschil, daar zit het besturingssysteem te diep voor weggestopt.

Maar wat is nu eigenlijk het dieperliggende probleem met de aanbesteding van GOUD? GOUD is gemaakt via de achteruitkijkspiegel. Die stelling wil ik toelichten aan de hand van een ander stuk legacy dat veel tastbaarder is. Iedereen weet waarschijnlijk wel dat de Benelux de bestuurlijke basis heeft gevormd voor het Europa van nu. Daarom is Brussel ook het middelpunt van Europese beleidsvorming. Tijdens een van de eerste groeistuipen is daarbij het politieke maar zeer kostbare compromis ontstaan om het hele Europarlementaire circus eens per maand naar Strasbourg heen en weer te vliegen - een absurde en milieuverpestende miljardenaffaire.

Stel dat de Europese Commissie de Fransen zo ver weet te krijgen dat deze eindelijk akkoord gaan om een eind te maken aan het enorm kostbare maandelijkse circus. Er wordt een steekhoudend aktieplan geschreven dat de noodzaak wegneemt om iedere maand naar Strasbourg. Het Europarlement stemt unaniem voor, en iedereen denkt dat er eindelijk een oplossing is.

Maar dan blijkt dat iedereen toch nog steeds iedere maand naar Strasbourg op en neer vliegt, soms zelfs meerdere keren in een week. De kosten zijn zelfs gestegen. Iedereen is stomverbaasd. Nadere inspectie levert op dat de vaste reserveringen van restaurants in Strasbourg het probleem zijn. Er zijn een beperkt aantal zeer goede restaurants in de stad, waarvan een (Le Beurehiesel) de hoogste culinaire rating heeft die je kunt krijgen (drie Michelin-sterren) die je maar kunt krijgen. Als de Europarlementariers in de stad zijn, kun je er op rekenen dat het uitverkocht. Als buitenstaander moet je maanden van tevoren reserveren, reden waarom sommige parlementariers een vaste reservering hebben. Waarom vloog nu iedereen naar Strasbourg? De fractieondersteuning van de parlementariers hadden ten onrechte de hoogste prioriteit gegeven aan die reserveringen, en daar alle afspraken zoals commissievergaderingen omheen gepland. Als iemand even de antieke afspraken uit de agenda leeggeveegd had, was dat niet gebeurd. Natuurlijk heb je een uitgangssituatie, maar je moet wel je hoofd leegmaken en bepalen wat de hoofd- en bijzaken zijn.

Dat is nu precies wat er mis is met Goud: gebrek aan balans en vooral het verleden. GOUD in zijn eentje heeft geen zin, en is daarmee een desinvestering als je kijkt naar het doel waar ze op gericht is. De manier waarop GOUD aanbesteedt wordt en het bestek voor die aanbesteding steekt zo in elkaar dat legacy de dans voorschrijft. De gebruikerszijde (front-end) is niet zonder serverzijde (back-end) naar open standaarden te brengen. Daardoor worden in het bestek allerlei ongespecificeerde protocollen als ActiveDirectory geeist, in plaats van de daarvoor beschikbare en direct inzetbare standaarden. Verkeerde zuinigheid kost veel geld, en de contraexpertise onderschrijft dat.

Eigenlijk gaf de projectleider GOUD in zijn reactie op de contra-expertise zelf al toe dat GOUD onhoudbaar is. De gevraagde experts gaven vorig jaar zomer al aan dat niet al het mogelijk is gedaan om aan de wens van de Tweede Kamer om over te gaan op open standaarden - meer in het bijzonder de motie Vendrik uit 2002 en het actieplan "Nederland Open in Verbinding" van staatssecretaris Heemskerk uit 2007 te voldoen. Daarbij stelt men "We achten het goed mogelijk om alsnog aan de doelstellingen te voldoen, indien de aanbevelingen in dit rapport worden opgevolgd." Het antwoord daarop van de projectleider is: "Een aantal aanbevelingen kan niet overgenomen worden zonder één van de belangrijkste uitgangspunten van het project GOUD (het implementeren van een nieuwe standaard werkplek met instandhouding van de bestaande back office systemen) los te laten." Dat is duidelijke taal, en hij heeft gelijk: de aanbesteding kan echt niet en moet eigenlijk stopgezet worden. In een nieuwe opzet mag de legacy backend ook ter discussie worden gesteld. Welk Kamerlid verlost met een motie het ministerie van Financien uit haar lijden?