Management

Branche
Staatssecretaris Alexandra van Huffelen

Kabinet krijgt extra digitale speerpunten van CIO’s en eindgebruikers

Meer aandacht nodig voor ICT-verantwoordelijkheden en toezichthouders.

Alexandra van Huffelen © Rijksoverheid,  Arenda Oomen
17 februari 2022

Meer aandacht nodig voor ICT-verantwoordelijkheden en toezichthouders.

Security, de digitale infrastructuur en de IT-arbeidsmarkt – het zijn slechts een paar van de digitale speerpunten die de ICT-branche onlangs aan het nieuwe kabinet en staatssecretaris Alexandra van Huffelen voor Koninkrijksrelaties en Digitalisering gaf. Maar wat vertegenwoordigers van (zakelijke) eindgebruikers betreft, is die lijst nog niet compleet.

Met de speerpunten die de ICT-branche aan het nieuwe kabinet gaf, is niets mis, benadrukt Ronald Verbeek, directeur van CIO Platform Nederland, in gesprek met AG Connect. “Dat er meer talent op de markt moet komen, dat cybersecurity belangrijk is – dat soort onderwerpen juichen we allemaal toe”, zegt hij. Zeker nu digitalisering steeds belangrijker wordt, zowel binnen bedrijven als voor de gehele maatschappij. “Maar digitalisering en innovatie werden de afgelopen decennia zo min mogelijk in de weg gelegd. Dat heeft geleid tot situaties waarin zeer grote technologie leverende bedrijven een machtspositie hebben ontwikkeld, die normale marktmechanismen deels buitenspel zetten. Dat betekent dat ze hun eigen voorwaarden kunnen afdwingen en dit remt de digitale vooruitgang.”

Daarom verdient de lijst met zes digitale speerpunten vier aanvullingen vanuit het perspectief van (zakelijke) eindgebruikers, menen zowel CIO Platform als de Consumentenbond.

1. Verdeling van verantwoordelijkheden

Eén van de punten die beide partijen aanstippen is de verdeling van verantwoordelijkheden tussen leveranciers, eindgebruikers en verkopers. “Er komt wel een updateverplichting [de Tweede Kamer stemde daar begin februari mee in, red.], maar de verkoper wordt uiteindelijk verantwoordelijk gemaakt”, zegt woordvoerder Gerard Spierenburg van de Consumentenbond. “Als ik als consument een slimme lamp koop, moet de fabrikant daar updates voor gaan leveren. Maar hoeveel kan ik er verwachten? En hoe lang? Dat weet de verkoper natuurlijk niet. Dus wat ga je dan doen?” De Consumentenbond vindt daarom dat die verantwoordelijkheid meer bij de fabrikant gelegd moet worden.

En ook (zakelijke) eindgebruikers krijgen regelmatig te veel verantwoordelijkheden naar zich toegeschoven van fabrikanten, vindt CIO Platform. “Waar het op neerkomt is dat de verantwoordelijkheid voor het voldoen aan een wetgeving ook echt daar ligt waar hij hoort te liggen. Als je bijvoorbeeld naar de privacywet AVG kijkt, dan kan een gebruiker wel veel beïnvloeden om daaraan te voldoen, maar niet wat er onder de motorkap van een softwareplatform gebeurt”, legt Verbeek uit. Gaat er juist bij de leverancier van een platform iets fout waardoor bijvoorbeeld data gelekt wordt, dan moet een zakelijke gebruiker daar dus niet op aangekeken worden.

Een ander voorbeeld is de omgang met patches, waar ook in het vorig jaar verschenen rapport van de Onderzoeksraad voor Veiligheid naar aanleiding van het grote Citrix-securitygat naar wordt verwezen. “Als iets niet veilig genoeg is, dan moet dat gepatcht worden. Zo heeft de markt zich ontwikkeld. Maar dat betekent ook dat de gebruiker personeel in moet huren om die patches uit te voeren. Dat kost veel geld. Die kosten worden dus verschoven naar de gebruiker. Daar moet een ander systeem voor komen.”

“Dit is echt het volwassen worden van deze markt, waarbij we de negatieve bijsmaken die we hebben ontwikkeld wegpoetsen en genieten van de voordelen die er wel zijn.”

2. Monopolie van big tech

Het kabinet moet daarnaast aandacht besteden aan de vendor lock-in die is ontstaan door de macht van sommige bedrijven, vindt CIO Platform Nederland. “Je wordt steeds afhankelijker van technologie voor de processen in je organisatie”, verklaart Verbeek. “Je hebt bijvoorbeeld snel dat als je een softwarepakket koopt – bijvoorbeeld ERP – dat zo diep in je organisatie zit ingebed, dat zoveel mensen en processen ermee werken, dat tegen de tijd dat je je licentie moet vernieuwen het lastig is om te zeggen dat je het er niet mee eens bent en naar de concurrent gaat. De overstapkosten om dan alles opnieuw in te regelen, iedereen weer mee te krijgen en processen opnieuw in te richten, die zijn zo hoog dat dat bijna niet te doen is. Als de verkopende kant kun je dan makkelijker dingen opleggen aan de klant.”

Ook kan het gebeuren dat de data niet zomaar meegenomen kan worden naar een nieuw platform, vult Raimond Voermans, CIO van fabrikant van voedselverwerkingsoplossingen Marel en bestuurslid van CIO Platform Nederland, aan. “Ondanks dat een overstap meestal contractueel is geregeld, blijken er soms toch flinke obstakels te worden opgeworpen die overstappen lastiger maken; zo komt het voor dat je je eigen data enkel in een leverancier specifiek formaat kunt meenemen, waar je bij een andere partij niets mee kunt. Of je moet een forse toeslag betalen om de eigen data te downloaden. Door deze data overdracht niet transparant te maken, creëer je ook een vendor lock-in.”

Voermans en Verbeek zien daarom graag dat er regels komen waardoor dit meer voorkomen wordt. “Aan de ene kant wil je graag met de grote techpartijen samenwerken, omdat je ze nodig hebt. Ze maken geweldige producten en diensten”, aldus Verbeek. “Maar zolang je maar blijft afnemen, is het ook heel moeilijk om een signaal naar organisaties af te geven dat het anders moet. En als er geen alternatief is, is het moeilijk om dat hard te maken. Daarom moe de politiek weten dat er een aantal dingen in de systemen ingebakken zitten die echt anders moeten.”

Probleem is echter dat dit snel al meer een Europees onderwerp wordt. “Daarom werken we ook samen met collega’s in België, Frankrijk en Duitsland.”

3. Tandloze toezichthouders

Hoe belangrijk goede wet- en regelgeving ook is, zonder goede toezichthouders heeft het al snel weinig effect. De Consumentenbond pleit daarom ook voor meer budget voor de toezichthouders en voor verbetering van de handhaving van de privacywet. “Je ziet nu dat met name de Autoriteit Persoonsgegevens (AP) een enorme hoeveelheid meldingen en klachten krijgt, en daar te weinig mee doet”, vertelt Consumentenbond-woordvoerder Spierenburg. “Het aantal afschrikwekkende boetes is minimaal. Ze hebben wel zware gereedschappen die ze in kunnen zetten – tot 4% van de wereldwijde jaaromzet, dat is enorm veel geld – maar zulke boetes worden bijna niet opgelegd. Dan ben je dus een tandeloze tijger. Dat toezicht moet scherper.”

Ook heeft de Consumentenbond kritiek op het ‘one stop shop’-principe in de Europese Unie: organisaties hebben in de regel alleen met de privacytoezichthouder van het land waar ze hun hoofdvestiging hebben te maken. “We hebben in 2018 bijvoorbeeld een klacht ingediend over Google, omdat locatiedeling standaard aan stond. Dat zijn privacygevoelige gegevens die zonder expliciete toestemming van de gebruiker worden gedeeld met Google. Wij zeggen: dat is een overtreding van de AVG. We hebben de AP gevraagd om op te treden, maar de AP zegt dat dit een Europese zaak is. Het hoofdkantoor zit in Ierland, dus moet de Ierse toezichthouder zich daarover buigen. En vervolgens is het stil gebleven. We zijn drie jaar verder en ondertussen kan die overtreding gewoon voortduren. Google krijgt bij de Ieren alle gelegenheid om zich te laten horen, maar wij niet. We mochten geen toelichting geven en hebben geen zicht op wat zich daar afspeelt.”

Spierenburg erkent dat het kabinet niet direct wat aan dit specifieke probleem kan doen, gezien het hier om Europese regels gaat. “Maar ze hebben in Europees verband wel een rol om te zorgen dat dit beter wordt.”

4. Aandacht voor privacy kinderen

De Consumentenbond vindt tot slot dat er meer bescherming nodig is voor kinderen onder de AVG. De organisatie kaartte vorig jaar al aan dat er slechts twee artikelen in de wetgeving staan over dit onderwerp, waarin alleen iets over ouderlijke toestemming staat. “Volstrekt onvoldoende. De ouderlijke toestemming is meestal kinderlijk eenvoudig te omzeilen. Bovendien kun je van kinderen niet verwachten dat ze kunnen overzien wat de gevolgen zijn van hun toestemming voor het verzamelen van hun gegevens”, zei Sandra Molenaar, directeur van de Consumentenbond, daar destijds over.

De organisatie vindt dan ook dat er helemaal geen marketingprofielen gemaakt mogen worden van kinderen. “Bedrijven kunnen prima adverteren rondom content die voor kinderen is bestemd”, aldus Molenaar. “Daarom zijn extra regels nodig. En daar moeten het Europese samenwerkingsverband van toezichthouders (de EDPB) en de AP voor zorgen.”

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.