Tax Talk : een vierdelige podcastserie met de Belastingdienst

De Belastingdienst en RADIO presenteren Tax Talk. Een podcastserie over het dynamische landschap waarin de informatievoorziening van de Belastingdienst zich bevindt en de uitdagingen die daarbij horen. In 4 afleveringen krijgen wij een kijkje in de keuken van misschien wel de grootste IV-organisatie van Nederland en spreken we met professionals over de uitdagingen waarmee zij te maken krijgen.

Tax talk icoon Belastingdienst
Beeld: ©Belastingdienst

Aflevering 1, 18 januari - IV bij de Belastingdienst

7 petabyte aan data. 5.000 afgeweerde DDoS-aanvallen per jaar. 38.000 werkplekken en ongeveer 1.000 IT-systemen om te beheren. De IV-organisatie van de Belastingdienst is er een van grote getallen én grote plannen. Zo wil de Belastingdienst zich ontwikkelen van procesorganisatie naar gegevensorganisatie en sneller meebewegen met veranderingen. Wat dat betekent voor burgers, ondernemers en medewerkers van de Belastingdienst, bespreken we in de eerste aflevering van Tax Talk. Te gast zijn Wouter Bronsgeest, MT-lid van de directie Informatievoorziening bij de Belastingdienst, en Delius Pit, IT-architect bij de Belastingdienst. 

Tax Talk 1 - IV bij de Belastingdienst

PIT: Als hacker moet je ook bij ons willen werken,
alleen dan aan de andere kant, namelijk beveiliging, maar ook als aanvaller.
ROTMAN: Welkom bij Tax Talk.
Ik ben Robin Rotman en in dit programma praat ik met betrokkenen
over de digitale uitdagingen van de Belastingdienst,
misschien wel het grootste IT-bedrijf van Nederland.
BRONSGEEST: De kloksnelheid van de maatschappij gaat omhoog
en die van ons dus ook. Dus wij moeten sneller leveren, meebewegen
en adaptief zijn, zoals dat mooi heet. ROTMAN: Dit is een podcastserie
van de Rijksacademie voor Digitalisering en Informatisering Overheid
en vandaag gaat het over de gigantische digitale uitdaging
die hoort bij een organisatie
waar zo'n beetje alle 17 miljoen Nederlanders mee te maken hebben.
De Belastingdienst. Te gast hier bij mij Wouter Bronsgeest,
MT-lid Directie Informatievoorziening Belastingdienst.
Even, Wouter, wat is jouw takenpakket?
-Ja, ik ben inderdaad MT-lid.
In 't bijzonder ben ik verantwoordelijk voor bestuursondersteuning.
Ik help ons MT met alle ingewikkelde bestuurlijke zaken
en heb een team project- en programmamanagers.
ROTMAN: En ik leerde: Jullie hebben het over IV, niet over IT.
Dat is een nieuwtje voor mij.
-Dat klopt, ja.
IT gaat echt over de IT-middelen, dus de applicaties, de hardware, datacenters.
We hebben ook 'n verantwoordelijkheid met het maken van processen
waar je de IT voor gebruikt. Dus wij leveren een totaalpakket op.
Dat gaat dus over informatievoorziening. Dat is iets breder dan alleen de IT.
ROTMAN: Ietsje breder dan dat. Ah, oké, oké. Delius Pit is m'n andere gast.
IT-architect, directie informatievoorziening Belastingdienst,
directie IV eigenlijk hè. IT-architect. Wat doe jij dan?
PIT: De IT-architect bedenkt vooral systemen en die bedenkt met collega's
hoe zo'n systeem dan gerealiseerd kan worden.
In mijn geval gaat het dan met name over internettoepassingen.
Dat is dus datgene wat burgers en bedrijven aan de buitenkant zien,
als formulieren, webtoepassingen, websites, al dat soort zaken.
ROTMAN: Ik ben een zzp'er en ik doe al m'n aangiftes allemaal online.
Er is volgens mij een nieuwe omgeving bij de Belastingdienst.
Er is ook een oude omgeving waar ik dat allemaal kan doen.
PIT: MBD Zakelijk bedoel je? De nieuwe?
ROTMAN: Geen idee, MBD Zakelijk... Weet ik het.
Maar jij bent de man die ervoor zorgt dat dat goed werkt,
dat dat er goed uitziet en makkelijk is?
-Ik ben een van die mensen.
ROTMAN: Ah oké, Wouter.
Zo'n beetje iedereen, wij allemaal, hebben met jullie,
met de Belastingdienst te maken.
Hoeveel geld stroomt er door jullie systemen? Waar hebben we het over?
BRONSGEEST: Ja, dat is heel veel. Kijk, die bv Nederland moet draaien.
Vuistregel is: 1 miljard euro per werkdag.
ROTMAN: 1 miljard euro per werkdag rouleert er linksom of rechtsom.
Dat gaat over toeslagen, aangiftes. BRONSGEEST: Dat is het totaal.
Ja, en dat is dus het geld wat Nederland nodig heeft om Nederland te zijn.
Dus om de eigen verplichtingen, de salarissen, ziektekosten te betalen.
Dus als dat één dag of ook maar een half uurtje plat ligt,
dan staat de Rotterdamse haven stil.
En ja, dan hebben we echt een probleem.
Dus onze verantwoordelijkheid is die continuïteit...
ROTMAN: Als dat een dag stilstaat, worden jullie gek gebeld,
gaat de Belastingtelefoon rinkelen, iedereen wordt krankjorum.
BRONSGEEST: De douanetelefoon, de havens lopen dicht.
Een groot deel van de Europese export gaat via onze mainports:
Schiphol en Amsterdam en Rotterdam.
En de douane heeft daar een hele belangrijke rol in.
Dus dat is een van onze toch wel belangrijke taken.
ROTMAN: Oké Delius, dan lees ik in m'n briefing, ik krijg 'n briefing altijd,
het gaat over 7,3 petabyte aan dataopslag.
Er wordt hier met miljarden gestrooid alsof het niks is, per dag.
Wat is dat, 7,3 petabyte? Om een beeld te krijgen van hoe groot dat is.
PIT: Petabyte is de logische opvolger van terabytes.
Terabytes is weer duizend keer groter dan gigabytes.
Ja, 7 petabyte klinkt als heel veel.
ROTMAN: Het klinkt voor mij als iets waar ik niks van snap.
PIT: Sociale netwerken lachen erom. Dat gaat over nog veel meer petabytes.
Maar als je kijkt naar: wat kun je met 7 petabyte?
Stel dat je video in de hoogste kwaliteit zou opslaan,
dan zou je een jaar of 15 non-stop moeten kijken, non-stop, ook 's nachts,
om überhaupt aan het einde te komen. ROTMAN: In de buurt te komen.
PIT: Ja, het is uiteindelijk gewoon heel veel data over burgers en bedrijven
die we nodig hebben om ons werk te kunnen doen,
en die we ook verplicht zijn om een aantal jaren te bewaren
in verband met mogelijke...
ROTMAN: Als mensen vragen hebben.
-Vragen, bezwaren, enzovoorts.
ROTMAN: Ah oké. We zitten hier bij Quintax in Apeldoorn.
Zijn hier ook serverruimtes
waar al die brieven, al die informatie wordt opgeslagen en wordt beveiligd?
Is dat ook hier? BRONSGEEST: Ja.
Ook wel een beetje spannend toch? Of stel ik me nou een beetje aan?
PIT: Nee, zeker niet. Dit is een datacenter voor de Belastingdienst,
een overheidsdatacenter. Daar zijn er vier van in Nederland.
Er staat er dus eentje in Apeldoorn.
ROTMAN: In deze serie, we gaan vier afleveringen maken,
krijgen we een kijkje in de digitale keuken van de Belastingdienst.
Ik vind het heel interessant. We trappen af.
Wouter, kun je schetsen welke processen achter de schermen
in gang worden gezet als ze in de Tweede Kamer een besluit nemen?
Ik kan me zo voorstellen dat jij met je team of misschien Delius met z'n team
weten van: o jee, in de Kamer gaat het weer eens een keertje ergens over.
Als dan een staatssecretaris of een minister een belofte doet,
betekent dat gewoon: dan is er werk aan de winkel. Of niet?
BRONSGEEST: Klopt.
-Hoe werkt dat?
BRONSGEEST: Het begint al ervoor. Ideeën in de Kamer worden getoetst.
Dat heet een uitvoeringstoets.
Dan gaan allerlei mensen, bij de IV, maar ook bij de primaire processen,
zoals wij dat dan noemen, die echt het werk moeten doen,
kijken of het überhaupt uitvoerbaar en maakbaar is.
Daar komt advies over en daarna komt er vaak wetgeving.
Als die wetgeving er is, moeten wij dat inplannen.
Soms heb je er nog even de tijd voor. Soms moet het echt heel erg snel.
Dan gaan we aan de bak. Dan moeten we dus prioriteren
binnen de middelen die wij hebben.
Er is altijd meer gevraagd dan wij kunnen.
Dus gaan we in gesprek hoe we dat over de hele dienst heen prioriteren.
ROTMAN: Delius, ik weet dat jij al best wel lang bij de Belastingdienst werkt.
Jij bent echt een technische man en hebt al van alles en nog wat meegemaakt,
kan ik me zo voorstellen.
Schrik je nog als ze in de Kamer beloftes doen, dat je denkt: Doe dat nou niet.
Werkt dat zo? Hoe gaat dat? Denk je dan: 'o nee, dat wordt nachtwerk?
Ik moet dit weekend weer aan de slag.' Hoe werkt dat bij jou?
PIT: Dat valt op zich vaak wel mee, maar met name als het politiek gevoelig ligt,
zie je dat het voortraject nog weleens onder druk komt te staan.
ROTMAN: Het moet snel, debat in de Kamer, bam, bam, bam.
PIT: En dan zie je dat er gewoon van 'hé, er moet iets gebeuren',
naar 'hé, we moeten echt iets doen', dat dat heel kort is.
Ja, dan moeten er zaken wijken.
Ja, dat is nou eenmaal zo.
Ik denk niet dat de Belastindienst daar anders is dan elke grote organisatie.
Je ziet gewoon: sommige zaken zijn voorspelbaar.
Andere zaken overkomen je en daar moet je gewoon op anticiperen.
ROTMAN: Maar dan is er een debat, weet ik veel, op een woensdagnacht,
het loopt helemaal uit de hand, iedereen staat zwetend antwoord te geven,
Op donderdag komen jullie bij de vergadering bij elkaar:
'oké jongens, we hebben allemaal de krant gelezen,
er is iets besloten, we moeten nu iets.' Gaat dat zo?
PIT: Je ziet het meestal wel aankomen.
ROTMAN: Ik ben een dramaqueen, dat hoor je.
PIT: Maar je hoeft ook niet altijd wat nieuws te maken.
We hebben systemen waarin je een aantal parameters kunt aanpassen.
Dan gaat het om de kleine details, zoveel procent omhoog of naar beneden.
Dat is makkelijk. Soms moet er echt iets helemaal nieuws worden gemaakt.
Dat gaat niet via zo'n Kamerdebat. Dat gaat vaak in vooroverleggen.
Op een gegeven moment worden de details nog in zo'n overleg bepaald.
Dan weten wij vaak al vooraf wat de beweging is,
hebben we ook al over geadviseerd.
Het is het laatste stuk waar nog politiek over wordt onderhandeld.
Dat kan best heel spannend zijn, maar het hoeft niet gelijk morgen af.
BRONSGEEST: Een aardig voorbeeld van waar het op snelheid ook goed gaat,
is corona zelf.
Vorig jaar maart/april begonnen de coronamaatregelen,
ook 'hé, hoe gaan we bedrijven helpen'?
Toen zag je: 'hé, er moet iets gebeuren', er zijn zes maatregelen,
de Belastingdienst gaat één maatregel doen.
Echt binnen een week is dat van gedachtegoed naar opdracht gegaan,
en ook binnen een week of vier naar een productiesysteem
voor de 'uitstel van betaling'-regeling die toen is geïmplementeerd.
ROTMAN: Dan moeten jullie bouwen. Achter de schermen wordt er geklust.
BRONSGEEST: Dat is een voorbeeld van een klus
waarbij we daadwerkelijk ook weekends en avonden doorgewerkt hebben.
Omdat op dat moment ook iedereen de urgentie voelt.
ROTMAN: Dat lijkt me gaaf. Er moet niet alleen gebouwd worden,
Er moet misschien ook een callcenter... Je weet: er gaan vragen komen.
Hier worden 1001 vragen over gesteld. Dus jij weet ook, Wouter:
we moeten meer doen dan alleen maar Delius en z'n mannen,
z'n team, mannen en vrouwen, aan het werk zetten. Er moet meer gebeuren.
Toch? Wat gebeurt er dan?
BRONSGEEST: In ieder geval de kaders.
Hoeveel geld is er, maar ook: wat moet er echt gerealiseerd worden?
Het wordt echt samen gedaan met de mensen uit het primaire proces,
die dan straks achter de telefoon zitten of de uitwerking moeten doen.
Het zijn samenwerkingsverbanden. Multidisciplinaire teams zijn het dan.
ROTMAN: Mensen worden gekoppeld aan technologie,
digitalisering, teams, dat werkt allemaal met elkaar samen.
Dossiers, alles moet aan elkaar. Dat is nogal wat, Delius.
Is dat dan een leuke tijd?
-Zelf vind ik dat het leukste.
Op het moment dat je op het scherpst met elkaar samenwerkt
en ook daadwerkelijk de relatie tot en met de politiek hebt over een onderwerp,
dan merk je dat het echt ergens over gaat.
Dan zie je dat de normale muizenissen van elke dag naar achteren verdwijnen
en dat je met z'n allen heel snel kunt schakelen.
ROTMAN: De jaarlijkse aangifte... Ik kan me voorstellen dat het ook zo'n piek is.
Is dat ook een spannend dingetje? Of is dat...
PIT: Dat blijft wel spannend. Wat je daar ziet,
is dat we eigenlijk zeker de eerste en laatste dag van de aangiftecampagne
ongeveer twintigvoudig verkeer hebben van normaal.
Dan heb je het uit m'n hoofd over meer dan 40 miljoen hits op een dag.
Het schijnt zo te zijn dat mensen het leuk vinden
om de eerste vijf minuten aangifte te doen.
Dat zijn er veel. ROTMAN LACHT
Mensen willen natuurlijk weten wat ze moeten betalen of krijgen.
PIT: Ja, dus wat je daar ziet, is: je hebt toch te maken met,
in zo'n aangiftecampagne zit nieuwe wetgeving.
Die is verwerkt in zo'n toepassing. Er zit ook nieuwe technologie in.
Er is eigenlijk geen moment dat je dat echt kunt uittesten,
dus je ziet echt...
ROTMAN: O, dus het is spannend vaak: werkt het, doet het wat het moet doen?
PIT: Ja, dus vorig jaar zag je ook dat er een hikje zat in de eerste week.
Die zit op technologie. Dan zie je:
goh, er is iets gebeurd waardoor dit nu even niet werkt.
Dan zie je dat we dat ook binnen een week oplossen,
en dat ie daarna probleemloos doorloopt.
Maar het begin is altijd wel even spannend.
ROTMAN: Ja, snap ik wel. En als ik weleens de Belastingdienst bel,
want ik heb ook weleens een vraag, ik heb onlangs een campertje gekocht,
dan heb ik wel of niet recht op een bepaalde korting op m'n wegenbelasting.
Dat is ook de Belastingdienst. Krijg ik eerst die vreselijke basstem aan de lijn.
Ga jij daarover, Wouter?
-Daar ga ik niet over. Nee, nee.
ROTMAN: Oké, dan word ik doorverbonden met een medewerker.
Die kan me vaak best goed helpen. Gek genoeg.
We mopperen best veel over de Belastingdienst.
Het gaat best snel. Ik merk altijd: soms moet ik lang wachten, aandachtspuntje.
Maar goed. Dan denk... Nu ging ik daar eens over nadenken.
'O, maar daar zijn databases, brieven, informatie, over mij, over regels,
Dat moet allemaal aan elkaar. Dat is allemaal IT natuurlijk.
Dat is nogal wat. BRONSGEEST: Ja, dat is heel veel.
Die mensen zitten achter 'n mooie desk met alle middelen die ze nodig hebben.
Echte call agents. Ze hebben er ook 1200 van. Dat vergeten we weleens,
we hebben een van de grootste callcenters van Nederland.
Die mensen moeten in al die systemen kijken om de vraag te beantwoorden.
Als dat niet lukt, verwijzen ze je door naar een andere collega.
Het is een heel arbeidsintensief proces. Dat klopt, ja.
ROTMAN: Het zijn vaak chagrijnige mensen aan de telefoon.
Ze hebben altijd iets en het gaat nooit snel genoeg.
Het is allemaal IT, en dat moet gekoppeld worden aan allemaal systemen,
verschillende archieven en medewerkers en dat moet bij elkaar gebracht worden.
BRONSGEEST: Niet iedereen is chagrijnig, ze worden goed geholpen.
ROTMAN: We stellen hoge eisen aan de Belastingdienst.
BRONSGEEST: Dat mag. Wij moeten die dienstverlening op orde houden.
Wat we proberen, is het zoveel mogelijk ook
via websites en andere middelen af te doen.
ROTMAN: Er is een keuze: weet je zeker dat je vraag hierover gaat?
Anders moet je dat nummer bellen. Dat zit erin.
BRONSGEEST: En: welkom, mensen moeten geholpen kunnen worden.
ROTMAN: Ik kan me voorstellen, Delius, dat is nogal wat.
Het gaat over heel veel data. We hebben het over heel veel gegevens,
over privacy, er komt van alles bij elkaar bij jullie.
Stel dat je daar wat mee wil veranderen, of verhuizen of zo, of moderniseren.
Valt er nog wel mee te werken? Is dat nog wel te doen?
PIT: Ja, maar wel op een net wat andere manier dan bij kleinere organisaties.
We zijn bijvoorbeeld al jaren bezig met modernisering van het digitale archief.
Heb ik ook een poosje aan gewerkt. Wat je dan ziet,
is dat wij meestal te maken hebben met wat ik noem 'een uitsterfconstructie'.
Dus dat je technologieën naast elkaar laat bestaan,
omdat het wegmigreren van zes miljard archiefstukken
naar een nieuwe omgeving, al zou je er 100 miljoen per dag doen,
ben je nog steeds 60 dagen bezig fulltime.
Op enig moment wordt dat onwerkbaar,
dus wat je ziet, is dat we heel vaak dingen ernaast implementeren
en dan er jaren over doen om oude systemen daadwerkelijk uit te faseren.
ROTMAN: En dan kan ik me voorstellen dat ik als gebruiker...
want er komt een moment dat je een keer op een knop moet drukken
wanneer je zegt: nu gaan alle gebruikers naar het nieuwe systeem.
Of beetje bij beetje, dat je met deze vraag nog in het oude zit,
bij die vraag in de nieuwe, is dat hoe het werkt?
PIT: Idealiter proberen we een laagje te bedenken dat de gebruiker ontzorgt.
Dat lukt soms wel, soms niet.
Maar wat je eigenlijk wil, is dat de basisinfra eronder,
dat die transparant is voor het systeem waar de gebruiker naar kijkt,
zodat je op een gegeven moment kunt zeggen:
een medewerker is bezig met een bepaalde burger,
daar horen documenten bij, berichten, informatie.
Die proberen we dan zoveel mogelijk bij elkaar te zoeken uit die systemen,
en in één keer aan te bieden.
Dat organiseren, zijn we ook al een paar jaar mee bezig, is best een enorme klus,
omdat je daar namelijk ziet dat systemen die 40 jaar oud zijn,
lastiger inzichtelijk te maken zijn, dan wat gisteren is geïmplementeerd
en veel modernere koppelvlakken heeft.
ROTMAN: Die oude systemen en hoe je dat doet, wil ik het zo over hebben.
Ik las ook, Wouter, dit gaat dus over heel veel geld, mensen, grote belangen.
Dat mag eigenlijk niet fout gaan, hè.
Dan lees ik ook nog iets over 5000 afgeweerde ddos-aanvallen per jaar.
Het gaat me niet om die ddos-aanvallen, maar ik kan me voorstellen
dat voor hackers of kwaadwillenden de Belastingdienst een leuk doelwit is.
Lekker de overheid pesten, kijken of we erbij kunnen komen.
Ook dat nog. Ook dat gezeik moet je mee dealen.
BRONSGEEST: Dat komt allemaal langs.
We hebben ook heel mooie T-shirts dat het niet gelukt is om ons te hacken.
Het voordeel van de Belastingdienst is: we hebben onze eigen infrastructuur.
Dus heel veel systemen zijn intern. Maar niet allemaal.
Websites en dergelijke zijn mogelijkerwijs wel aan te vallen.
Wij volgen dat, we hebben een mooi security operations center daarvoor
waar we zien wat er gebeurt en welke aanvallen er plaatsvinden.
Die weren we af. We helpen er ook collega's mee.
Binnen de overheid is er ook een netwerk waarin we elkaar helpen.
ROTMAN: Wat is dan hier de truc? Is het dan zorgen dat alle systemen...
Hoe noem je dat? Gecompartimenteerd is?
Dat als er ergens iets misgaat, het maar op een klein plekje misgaat?
Wat is dan hier de veiligheidstruc?
Je moet zorgen dat mensen de juiste wachtwoorden...
tweestapsauthenticatie.
Ik kan me voorstellen dat dat belangrijk is.
BRONSGEEST: We moeten medewerkers
over de hele dienst heen bewust maken. Dat zijn de basiszaken.
ROTMAN: 38.000 werkplekken.
-Ja, heel veel.
Sommige mensen hebben twee werkplekken: een iPad en een computer.
Soms nog een mobiele telefoon. En heel goede firewalls.
Daar zijn echt heel mooie technieken voor
om echt mooie schillen om de organisatie te zetten.
Die gebruiken we ook.
ROTMAN: Delius, neem me even mee. Digitaliseren, het is net begonnen.
Weet je wel? Het gaat natuurlijk over 10, 20, 25 jaar.
Jij zit er echt al heel lang met je snuit bovenop.
Je hebt alles meegemaakt, de laatste 10, 20, 30 jaar misschien al.
Waar gaat het heen? De digitalisering in de Belastingdienst, waar kijken we naar?
Waar gaan we straks naar kijken? Hoe gaat dit groeien?
PIT: Als ik kijk... Je hebt geen eindplaat,
want digitalisering gaat nog wel even door.
Als ik kijk naar de volgende grote stap is dat we eigenlijk aan het veranderen zijn
van een procesgeorganiseerde organisatie
naar een gegevensgeorganiseerde.
ROTMAN: Dat moet je me uitleggen, want dit klinkt als jargon.
PIT: Het is eigenlijk heel simpel.
Jij bent burger, maar je hebt ook een eigen bedrijf.
Je hebt nog andere zaken.
Uiteindelijk draait alles om die gegevens van jou
waar wij dan iets mee doen.
Die gegevens worden eigenlijk steeds belangrijker.
Het op orde hebben van die gegevens is de basis van alles.
Dus wat je gaat ziet, is dat zaken die we nu nog op papier doen,
die proberen we zoveel mogelijk te digitaliseren,
met daarbij ook weer een kanttekening:
er zijn mensen die niet digitaal zijn, die moeten we ook bedienen.
Voor de digitaal vaardigen geldt dan, een gedeelde informatiepositie heet dat,
waarin je met name de informatie met elkaar deelt
en op basis van de die informatie dan makkelijker processen kunt aanpassen.
Dus op het moment dat een belastingsoort...
op een andere manier met wat andere regels
informatie op orde, maakt dat dat veel eenvoudiger wordt.
ROTMAN: Oké, dus als er dan in de Kamer besloten wordt,
wordt het makkelijker, wordt het een organischer en flexibeler systeem?
Is dat wat je bedoelt?
PIT: Wat je dan ziet, is dat...
Een aantal jaren geleden is het btw-percentage nogal aangepast.
ROTMAN: Daar moet je ook iets mee.
-Dat heeft hier behoorlijke impact gehad.
Dat was een programma. Eigenlijk is dat vreemd.
ROTMAN: Dat is typisch: dan wordt in de Kamer gezegd:
dat gaat van 19 naar 21 procent.
BRONSGEEST: Dat is een mooi voorbeeld, ja.
ROTMAN: Dat is voor mij al leek: whatever, leuk of niet.
PIT: Het is vreemd dat we daar problemen mee hebben,
want als je het goed had gemaakt vanaf de jaren 70,
had je op één plek gezegd: 19 wordt 21, en al die systemen weten dat
en gaan daar dan mee rekenen.
ROTMAN ZUCHT: Hier ben ik natuurlijk helemaal niet mee bezig. En dan?
PIT: De werkelijkheid is dat heel veel systemen dat van oudsher...
Geheugen was vroeger duur, dus dat heb je hard gecodeerd in je systeem.
Dus juist in die oudere systemen zie je dit soort hard coded dingen staan.
Dat maakt het onhandig om te zeggen.
Zo'n kleine aanpassing kan een behoorlijke impact hebben.
BRONSGEEST: We hebben natuurlijk tegen de 1000 systemen.
Niet in ieder systeem moet het worden aangepast,
maar we hebben natuurlijk heel veel IT die dan aangepast moet worden.
ROTMAN: Zijn er ook nog mensen die alles snappen?
Die kennis zit natuurlijk verspreid bij een heleboel mensen.
PIT: Zelf denk ik dat dat op dit moment een van onze grootste uitdagingen is.
Je ziet toch dat wij aan het vergrijzen zijn.
Ik ben een 57-jarige architect.
ROTMAN: Je zit er al 30 jaar bij, hè.
-Nee, nou moet je niet overdrijven.
ROTMAN: Neem me niet kwalijk.
-Ik ben nu 21 jaar bij de Belastingdienst.
Ik werk een jaar of 30 in de IT, dat klopt wel.
Maar ik zie heel veel mensen om me heen van dezelfde leeftijdscategorie.
Ik zie nu gelukkig ook een aantal jongeren erbij komen,
maar dat is iets van de laatste jaren.
ROTMAN: Je schetst nu een situatie dat het voor jullie makkelijker wordt.
Jullie aan de achterkant van de Belastingdienst.
Maar wordt het ook voor mij leuker? Dat is de belofte natuurlijk altijd, hè.
Het wordt voor de burgers leuker en makkelijker.
Hoe ga ik merken dat IT ons gaat helpen met de Belastingdienst?
PIT: Ik denk dat je het meest gaat merken,
doordat we beter gaan uitleggen wat je rechtspositie is.
Doordat je beter en makkelijker ziet: oké, dit is wat ze van me vragen,
omdat dit hetgene is wat politiek Nederland besloten heeft.
ROTMAN: Oké, en dan, Wouter. Delius heeft al een beetje geschetst:
het duurt soms jaren om twee systemen naast elkaar te laten bestaan
als je iets nieuws wilt invoeren. Is dat eigenlijk jouw grootste...
Want jij bent meer de bestuurderskant. Is dat de belangrijkste uitdaging?
Het zijn grote logge systemen, maar de winkel mag nooit dicht.
Je moet verbouwen, terwijl de winkel openblijft. Dat is een ramp.
BRONSGEEST: Dat is precies wat we moeten doen.
Kijk, onze doelstelling is dat wij als IV
bijdragen aan een financieel gezond en veilig Nederland.
Dat doen we met de hele dienst. Met onze IT-middelen.
Dus ja, aanpassen, prima. Maar de winkel blijft open.
Dat betekent dat wij het altijd gefaseerd doen, in stukjes opbreken
en langzaam maar zeker naar die vernieuwingen toe werken.
Daarbij hoort ook nog eens, volgens mij zei Delius dat al een keertje,
je kunt niet zomaar een systeem uitzetten.
Het duurt een paar jaar voor je je archief hebt afgebouwd
en je nieuwe systeem draait, dus dat gaat altijd gefaseerd.
ROTMAN: Dat is nu gaande. Ik las:
het systeem van de omzetbelasting is een relatief oud systeem.
Ik zag dat systeem van de loonheffing, inkomstenbelasting,
vennootschapsbelasting, die moeten uiteindelijk 2026,
dat is over een paar jaartjes al,
die moeten worden vervangen, omdat er daarna geen support meer is.
Ik weet niet precies wie die support doet, maar ik neem aan dat het klopt.
Dat lijkt me nogal wat.
BRONSGEEST: Ja, klopt. Dit gaat over de hardware die we draaien.
Ook wij leveren mooie IT, omdat wij hardware- en softwarepakketten hebben.
Op een gegeven moment zegt de leverancier: nu is het wel klaar.
Zorg er ook voor, beste Belastingdienst, dat je IT daar aanpassingen voor doet.
Dan gaan wij aan het werk.
Dus dat klopt, dan pakken we ook wat langer de tijd.
Vandaar ook zo'n jaartal als 2026.
Daar moeten we nu al mee begonnen zijn, dat zijn we ook vaak wel,
om die deadline te halen.
ROTMAN: Nu vindt iedereen wat van de Belastingdienst.
Ik kan me voorstellen dat je op feesten en partijen niet de populairste bent.
BRONSGEEST: Dat val wel mee, hoor.
Het voordeel van ons is: wij zitten aan de IT.
We hebben fantastische processen hier lopen
en we hebben ook vele mooi contacten met de IT-leveranciers.
Dat is ook voor mij de reden om hier te gaan werken, ooit geweest.
We hebben prachtige technologie, heel mooie IT-uitdagingen
in een organisatie die een maatschappelijik belang heeft.
Dat ziet iedereen ook.
Dus ja, ik heb er niet zoveel last van op feestjes.
ROTMAN: Ik ga toch plagen: in de Kamer gaat het altijd over IT-projecten,
over de Belastingdienst, duurt vaak veel te lang.
Het kost veel te veel geld, toeslagenaffaire Belastingdienst.
We zijn altijd chagrijnig, want we moeten betalen.
Maar ik kan me toch voorstellen, dat doet iets met je.
Dat is toch niet leuk? Het is altijd gezeur over de Belastingdienst.
BRONSGEEST: Dat is er ook. Ja, klopt. Wij zeggen altijd:
je kunt heel mooie systemen maken, maar het zit in de toepassing ervan
en de randvoorwaarden die we erbij krijgen.
Dus ja, dat is een spanningsveld.
Tegelijkertijd hoort het ook bij het zijn van ambtenaar.
Je doet je best. We willen allemaal de wereld helpen verbeteren.
Ja, dat gaat niet altijd goed, er worden fouten gemaakt,
maar er gaat ook zo onwijs veel goed in dit bedrijf. Dat zie je aan wat er draait.
ROTMAN: Is het een leuk vak? PIT: Het is een heel leuk vak.
En kijk, ja, al die randverschijnselen doen wel iets.
Meestal is het zo, of eigenlijk altijd is het zo:
kijk, binnen het IT-bedrijf kun je sommige zaken wel voorspellen.
De problemen die spelen zijn meestal niet echt IT-gerelateerd,
maar meestal hebben die te maken met besturing en afhankelijkheden
die steeds lastiger te managen zijn.
Dus wat je sowieso ziet in elke grote organisatie, is:
je hebt natuurlijk enorme technische vernieuwing,
maar op het moment dat je zegt: bij toeslagen, douane en belastingen,
verschillende systemen moeten worden vervangen vanwege allerlei redenen,
dan zijn juist die afhankelijkheden tussen:
als ik dit met systeem A doe, moet ik dit met systeem B doen en met systeem C.
ROTMAN: Alles is met elkaar verbonden.
met elkaar verbonden.
Juist oudere systemen hebben verbanden die we niet meer kennen.
ROTMAN: Die kom je tegen als je ermee bezig bent.
PIT: En dan zie je dat daar vaak het probleem zit
en dat maakt ook dat het vaak langer duurt, duurder wordt, enzovoorts.
Ja, en dat is toch lastig.
ROTMAN: Delius schetst net de situatie dat hij met z'n generatie...
Nou ja, hij zegt: ik zie mijn generatiegenoten om mij heen.
Jullie doelstelling is om bij de top drie IT-werkgevers van Nederland te horen.
BRONSGEEST: Ja, dat klopt.
-Wauw.
Dus het moet leuker worden. Het moet leuk zijn om bij jullie te werken.
BRONSGEEST: Het moet interessant zijn. Wat wij proberen te doen,
is niet heel veel meer mensen werven.
We hebben wel een behoorlijke uitdaging, want we hebben een tekort.
Maar wat we vooral willen, is dat de mensen die bij ons komen werken,
het echt naar hun zin hebben, aan vakontwikkeling doen,
wij noemen dat liefde voor je vak.
Dat je ook echt je thuis voelt, kunt groeien op inhoud.
Daar komen mensen uiteindelijk voor.
Dus wij organiseren ook veel voor onze eigen mensen
qua samenwerking, qua vakontwikkeling.
Daarmee hopen we dus dat we de ervaring vergroten,
en met de mensen die we hebben nog meer mooie dingen kunnen maken.
ROTMAN: Oké, maar dit klinkt ook een beetje zijig.
Het moet cool worden om bij jullie te werken.
Als jij een puber bent en je denkt: ik word een hacker,
moet je uiteindelijk toch denken: ja, het is toffer om mijn expertise in te zetten
om de Belastingdienst te beschermen dan ze aanvallen.
Het moet cool worden. Hoe ga je dat dan regelen?
BRONSGEEST: Wij hebben fantastische technologie staan.
Dus als ze eenmaal komen kijken, denk ik dat de mensen
die iets met IT of technologie hebben daar echt wel voor gaan.
ROTMAN: Want is het cool? Delius, leg jij eens even uit waarom.
PIT: Als hacker zou je ook bij ons moeten willen werken.
Alleen dan aan de andere kant, namelijk beveiliging, maar ook als aanvaller.
Een van de dingen die we echt meer kunnen ontwikkelen,
is het intern aanvallen van onze eigen systemen,
juist om ook in de toekomst nog veiliger te worden dan we nu zijn.
ROTMAN: Zoals Hack The Hague, die doen het ook zo goed.
Die nodigen elk jaar een stel hackers uit om ze aan te vallen.
Daar komen heel veel lessen uit.
PIT: Dat doen we nu ook wel. Ik bedoel, we laten nu externe partijen
aanvallen op ons uitvoeren om te kijken: wat gebeurt er?
Ook intern zie ik nog wel mogelijkheden om dat verder te verbeteren.
Mensen kunnen niet van buiten naar binnen,
dus komen ze aan de binnenkant werken.
ROTMAN: Heb jij nog iets nodig van politiek Den Haag? Geld?
Kom maar door met die schaamteloze lobby.
BRONSGEEST: Vooral begrip voor het feit
dat je niet zomaar een knop kan omzetten voor de IT.
Nieuwe ideeën, fantastisch,
maar dan moet er iets uitgefaseerd worden of veranderd.
Dat duurt soms echt een paar jaar. Dus dat is belangrijk.
We merken zelf wel dat de snelheid van nieuwe ideeën enorm groot is.
Het gaat vooral om het gesprek en het begrip dat dat zo is.
Ik denk dat dat voor ons heel belangrijk is.
ROTMAN: Dat als je een btw-tarief verandert van 19 naar 21 of terug,
whatever, dat je je wel moet realiseren: daar zit veel werk achter.
Als je dat goed wil doorvoeren. Zoiets.
BRONSGEEST: Ik denk dat gesprek daarover
en er zijn mogelijkheden voor, als dat beter op gang komt,
kunnen wij ook beter ons werk doen als dienst.
ROTMAN: Met ICT komt natuurlijk een hoop gedoe bij kijken.
Het is een hoop tijd, energie, het is moeilijk te managen soms,
het is zoveel, het is zo groot, maar aan de andere kant,
als je gaat terugredeneren, ik zit ineens te denken:
hoe deden jullie dat vroeger toen de ICT nog niet zoveel en groot was?
Dat is toch niet te doen?
Kan je je het herinneren? PIT: Ik kan het me niet herinneren.
Het IT-tijdperk bij de Belastingdienst is al in de jaren 60 begonnen.
Dat zijn nog de generaties voor ons.
Wat je wel ziet, als ik even kijk naar mijn kindertijd,
mijn vader had een bedrijfje met een grootboek, een kasboek en zo.
Daar kwam eens in de twee jaar een belastinginspecteur langs
en die liep door die boeken heen.
Ik denk ook dat de maatschappij wel een beetje veranderd is daarin
en dat je ziet dat als...
In de huidige maatschappij zou je kansloos zijn zonder IT,
omdat je namelijk zoveel...
Er is zoveel veranderd in de boekhouding
en de manier waarop mensen überhaupt werken.
Ja, het kan helemaal niet meer op papier.
ROTMAN: Heb je het naar je zin, Wouter, hier?
BRONSGEEST: Ja, het is een fantastische organisatie.
Wat ik al zei, weet je, het is niet alleen een maatschappelijke opgave.
Wij als organisatie, onderdeel van de Belastingdienst,
hebben ook een enorme stap te zetten om te voldoen aan de vraag die er is.
Wij hebben ook zelf continu een verbeter- en veranderopdracht
om dat beter te doen. Dat maakt het werk erg interessant.
ROTMAN: Het moet elke sneller, beter, mbeter geconnect worden.
Oude systemen moeten eruit, het moet vernieuwd worden.
BRONSGEEST: Het wordt beter.
De kloksnelheid van de maatschappij gaat omhoog.
en de kloksnelheid van ons dus ook.
Dus wij moeten sneller leveren, meebewegen en adaptief zijn,
zoals het zo mooi heet.
Dat betekent dat wij als organisatie continu veranderen en bijstellen.
Dat is heel mooi.
ROTMAN: Ik ben benieuwd naar meer mooie verhalen over de Belastingdienst.
We gaan het nog over de security hebben.
We hebben nog toffe gesprekken.
Ik dank jullie alvast, Wouter Bronsgeest en Delius Pit.
Luister ook de andere afleveringen van Tax Talk terug.
Doe dat via www.IT- academieoverheid.nl.
Dank jullie wel.

LEVENDIGE MUZIEK EINDIGT

Aflevering 2, 25 januari - Cybersecurity

Als een ethisch hacker een zero-day kwetsbaarheid meldt, staan ze bij het Security Operations Center (SOC) van de Belastingdienst klaar om hun systemen goed door te lichten. Zo ook toen internetcriminelen pasgeleden toegang tot de systemen konden krijgen door een kwetsbaarheid. SOC Technical Lead Karl Lovink en zijn team gingen direct aan de slag om beveiligde bedrijfsvoering te garanderen. Wat volgde waren drie dagen van weinig slaap, samenwerkingen met het Nationaal Cyber Security Centrum en de SOC’s van andere overheidsonderdelen. Alles om ervoor te zorgen dat de systemen en de data van burgers en bedrijven veilig zijn. Hoe dat lukte, vertelt Karl in de tweede aflevering van Tax Talk.

Tax Talk over cybersecurity

Tax Talk
LOVINK: Dan beginnen de rode lampjes te flitsen en te knipperen,
dus dan gaan we aan het werk.
-Welkom bij Tax Talk.
Ik ben Robin Rotman en ik praat met betrokkenen
over de digitale uitdagingen van de Belastingdienst,
misschien wel het grootste IT-bedrijf van Nederland.
LOVINK: Als een ethische hacker bij ons komt met een goede melding
dan krijg je bij ons een beker.
-Een trofee.
Daar staat in: 'I hacked the Dutch Tax Office and never got a refund'.
ROTMAN: Dit is een serie van de RijksAcademie voor Digitalisering
en Informatisering Overheid. En vandaag gaat het over cybersecurity.
Te gast hier tegenover mij Karl Lovink,
Technical Lead bij het Security Operations Center bij de Belastingdienst.
Jij bent een security sheriff, een belangrijke man, of niet?
LOVINK: Ja, nou ja, belangrijke man... Ik doe het niet alleen, hè.
ROTMAN: Nee, maar toen ik jou van de week een paar keer wilde bellen
om een beetje kennis te maken alvast, ik wil iemand z'n stem alvast horen,
toen zei jij steeds: 'Sorry, man, ik heb nu echt geen tijd.
Ik zit midden in een incident. Ik word in beslag genomen.'
En toen belde ik je twee dagen later. 'Nee, ik kan nog steeds niet praten.'
Wat was er aan de hand?
-Nou, de hele wereld had er last van,
dus wij uiteraard ook. Er was een kwetsbaarheid,
dat betekent dat een hacker, eigenlijk een cybercrimineel,
iets kan doen op onze systemen wat we niet willen.
En ja, dat moet je gaan oplossen.
En als je dus een heel grote infrastructuur hebt, betekent dat
dat daar veel werk aan vastzit.
ROTMAN: Wat was er voor kwetsbaarheid ontdekt?
LOVINK: Er was een kwetsbaarheid ontdekt
van software wat zich bevindt in heel veel systemen
en wat het mogelijk maakt dat je extra programmaatjes
op je systeem kan draaien
wat je als eigenaar van het systeem niet wil.
Dat heet een 'remote code execution'.
ROTMAN: En dan kunnen ze naar binnen om rond te snuffelen?
LOVINK: Rond te snuffelen, maar ook zorgen dat er data van jou en van mij
ergens anders terechtkomt waar het niet thuishoort.
ROTMAN: Was dat een potentiële ransomware attack?
LOVINK: Uiteindelijk kun je hier ook ransomware aanvallen mee uitvoeren.
ROTMAN: Hoe heette deze attack?
-Deze attack heette Log4Shell.
ROTMAN: Dit was een wereldwijd ding. Dat heeft het nieuws gehaald.
Oké, hoe ziet jouw wereld er dan uit? Jij bent Technical Lead.
LOVINK: Ik zal eens vertellen hoe het een beetje bij ons gestart is.
Wij kregen om kwart over vier 's nachts, donderdag op vrijdag,
kregen we al een melding van een ethische hacker.
ROTMAN: Precies een week geleden.
-Ja, precies een week geleden, ja.
Van een ethische hacker, want bij de Belastingdienst kun je
coordinated vulnerability disclosures doen, vroeger responsible disclosure.
En die melding kregen we, dus we waren al heel vroeg bezig op vrijdag.
ROTMAN: Dus er belt iemand op...
-LOVINK: Nee, we kregen een mailtje.
ROTMAN: 'Ik heb iets gevonden.'
-LOVINK: 'Let op. Aandacht.'
ROTMAN: En dan krijg jij een telefoontje.
LOVINK: Dan beginnen de rode lampjes te flitsen en te knipperen,
dus dan gaan we aan het werk.
We zagen al gauw dat het heel groot was, dus we hebben al gauw
heel veel personen erbij gehaald.
Bij de Belastingdienst zijn we dus opgeschaald in een crisisorganisatie.
Dat betekent dat alle directeuren van Toeslagen, Douane e.d. ook
allemaal hierbij betrokken waren.
-ROTMAN: Iedereen wakker. En dan?
Is dat checken: Zijn ze al binnen? Wat gebeurt er dan?
LOVINK: Dat hoort er allemaal bij.
Als je naar het SOC kijkt, we hebben twee soorten mensen in het SOC,
dat zijn aanvallers en verdedigers ofwel red teamers of blue teamers.
En die red teamers kijken aan de buitenkant of we systemen hebben
die mogelijk kwetsbaar zijn.
En de blue teamers zorgen dat de detectie op orde komt.
ROTMAN: Dus jullie gaan bezig. Is 't een kwestie van de fik blussen,
kijken of je softwarematig de boel kan dichten of zo?
LOVINK: Exact, ja. We gaan proberen pleisters te leggen,
omdat je snel wil acteren. Je moet ook wachten op leveranciers.
Want die leveranciers die moeten ook hun werk gaan doen.
Als je kijkt hoe dit normaal gaat, als iemand een lek vindt in software
meldt hij dat bij de leverancier en die heeft dan tijd om het op te lossen.
ROTMAN: Die moet dat bij al zijn klanten melden. Iedereen moet wakker worden.
LOVINK: In dit geval was het wat we noemen een 'zero-day'.
Degene die het gevonden heeft, maakt het gelijk aan de wereld kenbaar,
dus dan heeft niemand tijd om het op tijd op te lossen.
ROTMAN: En hoe lang duurde het voordat jij het gevoel had van:
Oké, we hebben de zaak onder controle.
-Zaterdagavond.
ROTMAN: Dus dat heeft 36 uur geduurd voordat je weet: nu zijn we weer safe.
LOVINK: We hebben daartussen wel wat acties uitgevoerd.
Vrijdagavond waren de aangifteportalen, denk aan mijn.belastingdienst.nl,
mijndouane.nl, waar we onze aangiften kunnen doen, die waren al veilig.
Een aantal systemen hebben we gewoon uit moeten zetten totdat ze veilig waren.
En zaterdagavond konden we het sein 'brand meester' geven
en dat betekent dat onze systemen weer veilig te benaderen waren.
ROTMAN: Is dat een spannende 24 uur voor jou geweest?
LOVINK: Ja, ik heb weinig geslapen.
ROTMAN: Diegene die dat gemeld heeft, wordt die dan ook vorstelijk beloond?
LOVINK: Nou, helaas vorstelijk niet.
-Eigenlijk zou dat wel moeten.
LOVINK: We geven jouw geld niet aan een hacker, sorry.
ROTMAN: O, want dit was misschien de bad guy die het meldt?
LOVINK: Nee, het was een good guy.
Als een ethische hacker bij de Belastingdienst iets meldt
en het is een goede melding, dan krijg je bij ons een beker.
ROTMAN: Een trofee. Wat grappig.
-LOVINK: Ja.
En daar staat in 'I hacked the Dutch Tax Office and never got a refund'.
ROTMAN LACHT Is dit een belangrijk deel van jouw werk?
De brandjes blussen? LOVINK: Ja, ik denk het wel.
Wij zijn 'incident handlers'. We houden incidenten in de gaten.
Dit zijn natuurlijk incidenten waar we een beetje van smullen.
ROTMAN: Toch wel, hè? Net als een journalist als er een vliegtuig neerstort,
dat is vreselijk, maar dat zijn de dagen waarop je wordt uitgedaagd in je werk.
Spannend lijkt me dat. Zijn dit de belangrijkste soort bedreigingen?
LOVINK: Kijk, de kwetsbaarheden zijn natuurlijk heel erg belangrijk,
omdat... Wat we nu zien in de wereld, je hebt een aantal soorten software.
Closed software maakt de leverancier en daar kan niemand in kijken.
En je hebt ook open software daar werkt eigenlijk iedereen aan
en vaak zijn het projectjes van goedwillende mensen.
Maar dat zijn vaak fundamenten onder veel belangrijke softwarecomponenten.
Dus wat je nu ook ziet gebeuren,
is dat in dit component, twee mensen hebben dit gemaakt,
en dat valt dan om en dan stort je hele kaartenhuis in.
ROTMAN: Maar wat willen ze? Is het gewoon treiteren, jennen?
Of is het de bedoeling dat ze de boel platleggen en dan die beroemde
som geld, dat ze die willen hebben?
LOVINK: Ja, je ziet dus dat er een hoop goedwillende mensen zijn
die onderzoek doen, security researches, en die vinden daar gaten
en die melden dat netjes.
Maar die gaten worden ook door cybercriminelen en statelijke actoren
worden die misbruikt om bij systemen binnen te dringen.
En wat we dus nu ook zien, is dat er bijvoorbeeld via dit lek
geprobeerd wordt om crypto miners op systemen te zetten.
Dat betekent dat de software wordt geïnstalleerd om bitcoins te maken.
ROTMAN: Via de systemen van de Belastingdienst?
LOVINK: Niet via onze systemen, wij zijn die fase gelukkig voor geweest
omdat we heel snel de boel weer up and running hadden
en gepatcht hadden, dus voorzien van de pleister.
ROTMAN: Willen ze die rekenkracht alleen lenen?
LOVINK: Ja, om bitcoins te maken,
zodat ze zelf niet de energierekening hoeven te betalen. En wat je ook ziet
er werd geprobeerd om ransomware via dit gat op systemen te krijgen.
Want vaak wat je dus ziet met een ransom-aanval
moet een gebruiker ergens op klikken. En in dit geval is dat niet nodig.
ROTMAN: Ik heb de gemeentesecretaris van Hof van Twente geïnterviewd.
Daar is een ransomware geweest, hè. Daar werd heel het systeem platgelegd
en toen rolde er letterlijk een printje uit de printer waarop stond:
'Jullie zijn gehackt.' Het is gewoon Peppi en Kokki, hè?
Jeetje. Heb je dat wel eens meegemaakt?
LOVINK: Gelukkig als Belastingdienst hebben wij nog nooit
succesvolle ransomware-aanvallen gehad.
ROTMAN: Ik kan me voorstellen dat de Belastingdienst
lekker de Belastingdienst treiteren, dat dat voor veel hackers 'leuk' is.
Lekker de overheid pesten.
-Ik heb daar een mooi verhaal over.
LOVINK: Een aantal jaar geleden was er iemand die wou ons DDoS-en.
Een DDoS is zorgen dat je systemen niet meer bereikbaar zijn
door er heel veel verkeer heen te sturen.
ROTMAN: DDoS is een heel netwerk aan computers organiseren
en dat ze allemaal tegelijkertijd op jullie systeem gaan beuken
net zo lang tot het boeltje platligt.
LOVINK: Ja, en die had zijn aanval aangekondigd op Twitter.
Dat vinden wij heel erg fijn.
-ROTMAN: Stoere praat natuurlijk.
LOVINK: Uiteraard stoere praat. Iemand zei nog: 'Doe dat nou niet,
want je wordt gepakt.' Nou ja, hij had zich aangekondigd
en om elf uur, omdat we korte lijntjes met de Opsporingsdienst hebben,
lag er een telefoontap en om half een zat hij op het politiebureau.
Dus de missie was niet geslaagd. Helaas voor hem.
ROTMAN: Is achteraf aangetoond dat hij van plan was om dat te doen?
LOVINK: Hij is op televisie geweest.
Hij heeft zich laten interviewen bij Tros Opgelicht.
ROTMAN: Jeetje.
LOVINK: Hij heeft ook verteld waarom hij het heeft gedaan.
ROTMAN: Wat was zijn intentie?
LOVINK: Hij baalde ervan dat mensen op de laatste dag aangifte deden.
Dat moeten ze eerder doen. ROTMAN LACHT
ROTMAN: Oké, ik las dat in 2020 dat er 162.000 phishingmeldingen
van burgers binnen zijn gekomen. LOVINK: Dat klopt.
ROTMAN: Dat betekent dat burgers worden lastiggevallen door bad guys.
Dat ze hun gegevens willen jatten om bij die bankrekeningen te komen.
LOVINK: Exact.
-162.000. Dat vind ik ongelooflijk.
LOVINK: En we zijn met 15 mensen.
-Wat doen jullie met die meldingen?
LOVINK: Nou, in het begin kregen we natuurlijk heel veel van die meldingen.
Met 15 mensen ga je dat niet redden.
We zijn toen echt gaan automatiseren. Dus als iemand ons mailtje stuurt
met bijvoorbeeld een screenshot van zo'n phishingmailtje,
dan proberen we de tekst eruit te halen en geautomatiseerd te verwerken.
Dan is er een aantal dingen die we dan doen. Als er bv. een bankrekening in zit
dan sturen we 'm door naar de bank.
Dat noemen ze een notice and takedown-procedure.
En dan gaat de bank ernaar kijken in hun fraude-afdeling en als daar
frauduleus gedrag op is, wordt zo'n bankrekening geblokkeerd
om de schade te beperken. Wat wij zien namelijk is dat
je zo snel mogelijk moet acteren, omdat in het eerste uur
de meeste mensen klikken en iets doen met zo'n mailtje.
ROTMAN: Maar jij bent van de cybersecurity.
Dus jij bent van de lekken dichten in de hardware en in de software
aan deze kant van de streep, zal ik maar zeggen.
Maar ja, als ik als burger in zo'n phishingmail trap
of iemand achterhaalt zo mijn wachtwoorden en zo,
ja, dan kan je secure zijn wat je wil
dan zijn ze gewoon binnen in mijn bankrekening.
Daar kan jij eigenlijk niet zo heel veel tegen doen.
LOVINK: Nee, het enige wat we kunnen doen
en dat voelen we ons wel maatschappelijk verplicht
om als er bij ons zoiets gemeld wordt, dat we er ook iets mee doen.
Dat doen kan zijn het blokkeren van een bankrekening,
het laten blokkeren van een telefoonnummer wat gebruikt wordt
om die phishingmail te versturen. Vaak is het 'smishing'.
Je kunt phishing op twee manieren doen. Via mail en via sms.
En dit is dan smishing.
We hebben een dusdanig goede band met de banken en telecombedrijven
zoals KPN, T-Mobile e.d. opgebouwd
dat we ook redelijk snel die meldingen kwijt kunnen en zij er ook iets mee doen.
Want ja, hoe langer dat soort websites, bankrekeningen, telefoonnummers
gebruikt worden, hoe groter de schade.
ROTMAN: Jij kan tweetrapsauthenticatie introduceren, hebben jullie ook gedaan.
Dus je kan nog een extra laag inbouwen waardoor je er wat moeilijker bij komt,
zodat je een stapje verder komt bij zo'n burger,
dat je er nog niet helemaal bent.
LOVINK: Ja, van de phishingmeldingen zien wij eigenlijk helemaal niks.
Want wat er gebeurt, is er wordt ergens een website in de lucht geholpen
en dan worden er valse Belastingdienstpagina's op gezet
en die worden gebruikt.
ROTMAN: Dat is het rookgordijn, hè. Je denkt: het deugt, en dan trap je erin.
Hoe vaak worden die gasten gepakt? Heb je daar een idee van?
LOVINK: Als SOC zijn we niet van de opsporing.
ROTMAN: Jullie werken wel samen met de Opsporingsdienst.
LOVINK: Als wij iets zien wat volgens ons strafbaar is
melden we dat en doen we aangifte, zoals iedere burger dat kan doen.
En daarna start er een opsporingstraject.
En er worden, zoals je terug kunt lezen in de kranten en in het nieuws,
inmiddels redelijk vaak mensen opgepakt omdat het ook steeds duidelijker wordt
hoe die organisaties in elkaar zitten.
ROTMAN: Zitten ze in Nederland? Zijn dat de pubers op zolderkamertjes?
Of zijn dat gewoon maffia-achtige organisaties vanuit de hele wereld?
LOVINK: Uiteindelijk kom je op maffia-achtige organisaties uit.
De jongetjes die achter de laptop zitten zijn vaak 15, 16, 17 jaar. En ja...
ROTMAN: Wat zijn in security-land of in hack-land of in bad guy-land
de trends op dit moment? Waar zit jij nu naar te kijken?
Want ik neem aan dat jij van alles hebt meegemaakt.
Wat is nu een beetje het ding?
LOVINK: Het grote probleem wat we nu met z'n allen hebben
is vooral ransomware. Die partijen zijn zo professioneel geworden
dat ze ook bv een helpdesk aanbieden.
Je koopt ransomware-software om ransomware te gaan doen
en daar kun je support op krijgen.
ROTMAN: Ze hebben gewoon een helpdesk.
LOVINK: En ook als jij met ransomware besmet bent
dan wordt er gevraagd, vaak is het bitcoins wat je moet betalen,
en als je niet weet hoe dat moet, kun je de helpdesk bellen,
die gaan je helpen om te betalen.
-ROTMAN: Dat is toch brutaal?
Oké, dus ransomware is op dit moment prio 1?
LOVINK: Ja.
ROTMAN: Ehm, en is het bij jullie dan ook elke keer weer kijken van:
Hoe doen ze dat? Hoe komen ze binnen? Constant dat kat-en-muis-spel.
LOVINK: Een digitale wedloop is het eigenlijk geworden.
ROTMAN: Kun je beschrijven hoe jullie dat spelletje spelen?
LOVINK: Kijk, wij zijn echt van mening
en gelukkig is dat inmiddels ook redelijk in Nederland doorgedrongen,
en internationaal, dat we deze wedstrijd niet alleen gaan winnen.
We moeten echt samenwerken.
Dus we zitten ook in een groot aantal samenwerkingsverbanden.
We werken uiteraard samen met het Nationaal Cyber Security Centrum.
Wij zijn als Rijksoverheid de doelgroep van het NCSC, uiteraard.
ROTMAN: Omdat jullie tot, hoe noem je dat, de kritieke infrastructuur behoren?
LOVINK: Nee, we zijn de Rijksoverheid.
Je hebt de vitale sector en de Rijksoverheid.
Wij vallen binnen de Rijksoverheid.
-Oké.
Op die manier zijn we aangesloten bij het NCSC.
Verder zitten we in een aantal samenwerkingsverbanden.
We werken met een aantal SOC's security operation centers, samen
binnen de Rijksoverheid. die heet de Joint-SOC samenwerking.
Daar wisselen we samen data uit en informatie.
Netjes conform AVG uiteraard. We voldoen aan de Privacywetgeving.
ROTMAN: Ik had niet anders verwacht van jullie.
LOVINK: Wij vinden onze eigen persoonsgegevens ook belangrijk.
Waarvoor zouden we die van jou dan niet belangrijk vinden?
Dus dat doen we netjes volgens de wetten en normen die er zijn.
En op die manier proberen we samen ten strijde te trekken.
Want de criminelen doen dat ook, die werken ook samen.
Het is ook een complete economie geworden.
Ik zou er ook graag voor willen pleiten om het woord 'hackers'
voor dit soort doeleinden niet meer te gebruiken.
Het zijn gewoon cybercriminelen.
ROTMAN: Aan het begin corrigeerde je jezelf ook al bijna.
Je had het over boeven of criminelen.
Want hackers is wat neutraler. Je hebt goede en slechte hackers.
LOVINK: Ja, dus laten we het gewoon cybercriminelen noemen.
ROTMAN: Ik noem het inmiddels gewoon maffia.
Ik heb wel vaker van dit soort gesprekken gevoerd.
Ik ben wel overtuigd, dit zijn hele zware jongens.
LOVINK: Ja, want kijk, je ziet heel veel van dat soort figuren
die eerst in drugs handelen zie je naar cybercrime gaan,
omdat er veel meer in te verdienen valt en de pakkans veel kleiner is.
ROTMAN: Heb jij enig benul hoe groot die scene is?
LOVINK: Groot.
ROTMAN: Duizenden mensen? Weet je hoeveel geld gaat erin om?
LOVINK: Er gaat echt bizar veel geld in om.
Exacte getallen weet ik niet of hoeveel mensen erin zitten.
Maar op deze wereld zijn er natuurlijk nog steeds landen
als je je eigen burgers niet aanvalt, dan kun je gewoon je gang gaan.
Zolang dat soort landen er zijn, hebben we een probleem met z'n allen.
ROTMAN: Er gaat dagelijks geloof ik 1 miljard euro om
bij de Belastingdienst. Elk jaar moeten miljoenen mensen aangifte doen.
Er werken geloof ik 1600 mensen bij de Belastingdienst.
LOVINK: Iets meer. Iets meer.
ROTMAN: Nee, 1600 mensen, in de eerste aflevering had ik 't erover,
1600 mensen bij IV alleen al.
-Bij IV, Informatievoorziening.
ROTMAN: Om even aan te geven hoe groot de Belastingdienst is
en hoeveel er gedaan wordt.
Als er nieuwe software geïnstalleerd moet worden
of er moet een nieuw systeem gebouwd worden,
dan moet de winkel open blijven terwijl hij verbouwd wordt.
En als er ook maar één dag ergens een Belastingdienst platligt,
worden jullie door tienduizenden mensen gebeld, chagrijnige burgers,
omdat wij hoge eisen stellen aan de Belastingdienst.
Het is eigenlijk een wonder dat het zo vaak goed gaat, hè?
Als je ziet hoe groot het is. Of is het dankzij jou...
LOVINK: Ik vind het wel jammer dat de Belastingdienst vaak
heel negatief in het nieuws komt,
want er gaan ook echt heel veel dingen heel goed.
ROTMAN: Ja, dat blijkt maar weer. Ze komen relatief weinig echt binnen,
er wordt weinig schade aangericht. Of ben ik nou een beetje naïef?
LOVINK: Ik denk dat je daar een goed punt hebt,
want wij proberen natuurlijk de boel zo veilig mogelijk te houden.
Voordat je bij ons zomaar iets in productie mag zetten...
Een applicatie wordt ontworpen en daarna gaat hij in productie.
Dat kan ook niet zomaar. Er worden veiligheidstesten uitgevoerd,
functionele testen, nog een keer veiligheidstesten
en dan mag het pas in productie geplaatst worden.
ROTMAN: In deze serie praat ik ook met iemand die apps bouwt.
Dus jij zit echt aan de binnenkant van het systeem.
Aan de voorkant van het systeem
heb ik als eenvoudige burger te maken met een app.
Er zijn geloof ik iets van 50 apps van de Belastingdienst.
Die worden intern en extern gebruikt. Toeslagen-app... Heel veel apps.
Die worden allemaal aangesloten aan die systemen.
Zit jij er elke keer met je snuit bovenop als er iets nieuws bedacht wordt?
Eerst langs Karl. Is het allemaal dichtgetikt? Is het goed geregeld?
LOVINK: Ja, we hebben natuurlijk richtlijnen en normen bedacht.
Zoals je al zegt, er werken 1600 mensen bij de IV van de Belastingdienst.
En wij zijn met z'n 15-en, dus we kunnen niet bij iedereen aan tafel zitten.
We proberen zoveel mogelijk dat ze via richtlijnen en normen
veilig programmeren. Dat noemen we 'security by design'.
Veiligheid meenemen in het ontwerp van je software, van je apps.
En we gaan ook met dat soort teams in gesprek om uiteindelijk ook te kijken:
Hoe gaan we de monitoring doen? Van de security.
We monitoren of het nog veilig is, of er geen inbraken plaatsvinden.
Dat is een taak die we als SOC hebben.
-ROTMAN: Jullie zitten er echt bovenop.
Internet wordt steeds groter, de digitalisering gaat steeds verder,
het zit steeds dieper in de samenleving.
Hoe gaat 't de komende 10, 20 jaar eruitzien? Wat worden de dreigingen?
Waar werk jij nu al aan dat je weet: over 10 jaar is het ook nog veilig?
LOVINK: We gaan natuurlijk steeds meer digitaliseren.
We moeten ook rekening houden met de groep mensen die dat niet kan.
Dat wil ik ook nog even gezegd hebben.
Er zit een groep in de samenleving die niet met dit tempo mee kan gaan.
Daar moeten we rekening mee houden. Maar er komen steeds meer risico's.
We worden natuurlijk steeds afhankelijker van digitalisering.
En de boeven aan de andere kant worden ook steeds beter.
Waar we vroeger met z'n allen phishingmailtjes kregen
wat heel beroerd Nederlands was...
-Ze worden steeds handiger.
LOVINK: Wij zien nu zelfs dat ze juist taalfouten introduceren
om het niet perfect te laten lijken.
ROTMAN: Kijk eens aan. En ik begreep ook dat die hackers niet
een bepaald doel targetten, zoals de Belastingdienst of een gemeente.
Ze laten automatisch systemen lopen die constant kwetsbaarheden zoeken.
En dan hebben ze een pingeltje en als ze iets gevonden hebben
dan gaan ze gericht beuken op die deur.
-LOVINK: Deels wel, deels niet.
We hebben, vorig jaar is dat geweest, en een aantal jaren veel last gehad
van een aantal mensen die belden dat ze de deurwaarder waren
van de Belastingdienst. Die gingen wel expliciet sectoren af.
Dus dan waren de slagers aan de beurt, en toen de kruideniers,
toen waren de campings aan de beurt. En dan ga ik wel mee in wat je zegt,
er zitten toch maffia-achtige praktijken achter, want na onderzoek, gelukkig,
is wel de persoon die erachter zat gearresteerd. En die zat in Turkije.
Als je op Google zoekt op belastingdienst, deurwaarder, Turkije,
dan kun je nog een mooi filmpje terugvinden van zijn arrestatie.
ROTMAN: Oké, dat gaan we doen.
-LOVINK: Moet je vooral doen.
ROTMAN: Maar waar ik naartoe wilde, wat doe jij aan jouw kant?
Die werken met slimme systemen, misschien met algoritmes
om op zoek te gaan online naar zwakke schakels.
Ben jij dan ook weer een AI aan het ontwikkelen
die die AI's gaat bestrijden? Computer versus computer?
Computers tegen elkaar laten knokken. Is dat wat er gebeurt?
LOVINK: Kijk, wat je zelf ook aangeeft, is dat de cybercriminelen
steeds slimmer worden. Wij moeten daarin mee.
En wat ik toenstraks ook zei, het is een digitale wedloop.
Ja, je moet dingen gaan... Machine learning, artificial intelligence
moet je op gaan zoeken, want als wij als leek naar een zaagtandje kijken
op een beeldscherm, dan zeg ik: nou, dat ziet er echt tof uit.
Dat is echt heel consistent.
Maar als je bv. met AI naar zo'n zaagtandje kijkt, vind je afwijkingen.
ROTMAN: Een zaagtandje? Help me even.
LOVINK: Je ziet gedurende de dag proberen mensen in te loggen
uit te loggen, in en weer uit te loggen... Inloggen is een gebeurtenis,
uitloggen is een gebeurtenis, die horen bij elkaar.
ROTMAN: Patronen kun je daar herkennen?
LOVINK: En dan kijk jij als mens naar zo'n patroon en dan zeg je van:
Nou, dat ziet er perfect uit.
Maar als je met AI naar zo'n patroon gaat kijken, ga je afwijkingen vinden.
Ik denk dat we bij het SOC ook meer aan data-analyse moeten gaan doen
om dit soort dingen te gaan herkennen om juist de slimmere cybercriminelen
ertussenuit te kunnen vissen.
ROTMAN: Ik zei al, je kan doen wat je wil, maar uiteindelijk
heb je gewoon te maken met 17 miljoen mensen die allemaal
op een of andere manier klant zijn van de Belastingdienst.
Uiteindelijk is de mens toch altijd de zwakste schakel.
LOVINK: Ja, mee eens.
-Dat moet soms frustrerend zijn.
Schrijf je wachtwoord nu niet op die post-it op je scherm.
LOVINK: Daar proberen we steeds ook rekening mee te houden.
Bijvoorbeeld, voor DigiD had je vroeger gebruikersnaam en wachtwoord nodig.
Er is natuurlijk samen met DigiD is er nu een DigiD-app gekomen.
En je kunt met SMS-authenticatie, da's altijd beter dan niks.
En Microsoft is aan het experimenteren
met systemen waar je helemaal geen wachtwoord meer nodig hebt.
Dus dat op een andere manier gaat authentiseren.
ROTMAN: Ja, een vingerafdruk of zo?
LOVINK: Er zijn allerlei methodieken om dat te doen.
Dus op die manier... Ik verbaas me ook altijd,
je hebt dan een procedure als je je wachtwoord vergeten bent.
Dan moet je op drie vragen antwoord geven.
Nou, hoe heette je eerste huisdier? Waar ben je geboren?
En hoe heet je moeder?
Nou, ga op iemands Facebookpagina kijken...
en je hebt zo de drie antwoorden bij elkaar geharkt.
ROTMAN: Dus daar is ruimte voor verbetering?
LOVINK: Dat denk ik wel, ja.
Vind je dat je een leuk vak hebt?
-LOVINK: Ja, een erg leuk vak.
ROTMAN: Het lijkt me spannend. Je zit echt in de voorhoede.
LOVINK: Weet je, als je aan het eind van de dag terugkijkt
en je kijkt naar wat ik die week zou doen, komt er vaak geen fluit van terecht.
ROTMAN: Het is altijd spannend. Ja, leuk.
Nou, succes met je mooie werk.
Ik voel me wel vertrouwd als jij mijn Belastingdienst in de gaten houdt.
LOVINK: We zullen jouw ex...
-ROTMAN: Maak je zin maar af.
LOVINK: Nee, ik zal het niet doen.
-ROTMAN: Dank je wel, Karl Lovink.
Als je deze aflevering leuk vindt,
kun je ook de andere afleveringen van Tax Talk terugluisteren
via www.it-academieoverheid.nl.

Aflevering 3, 1 februari - Wendbare wetsuitvoering

Omdat belastingwetgeving vaak en snel verandert, is het voor de IV-organisatie van de Belastingdienst zaak wendbaar te blijven. Hoe doe je dat wanneer je 1.000 IT-systemen beheert? En hoe zorg je ervoor dat de regels die uiteindelijk in de ICT terechtkomen geen onbedoelde effecten hebben op burgers en ondernemers? 

In deze aflevering staan we stil bij de werkwijze Wendbare wetsuitvoering die de Belastingdienst gebruikt om van wet- en regelgeving te komen tot goed werkende ICT. Te gast zijn Mariette Lokin, juridisch adviseur bij de Concerndirectie IV en Databeheersing, en Anouschka Ausems, juridisch adviseur bij de Directie IV van de Belastingdienst. 
 

Tax Talk 3 - Wendbare wetsuitvoering

Tax Talk - Wendbare wetsuitvoering
Mensen denken altijd als er een computer aan te pas komt
dat de mens op de achtergrond raakt, maar dat is niet waar.
ROTMAN: Welkom bij Tax Talk, ik ben Robin Rotman.
Dit programma gaat over de digitale uitdagingen van de Belastingdienst,
misschien wel het grootste IT-bedrijf van Nederland.
We maken veel gebruik van concrete voorbeelden, heel belangrijk,
want dan toets je niet alleen de juistheid van wat je in je ICT doet,
maar ook de eventuele ongewenste effecten in wetgeving.
Dit is een podcastserie van de RijksAcademie voor Digitalisering
en Informatisering Overheid. Vandaag gaat het over wendbare wetsuitvoering.
Ik heb twee toppers hier tegenover me zitten, waar ik daarover ga praten.
Mariette Lokin, juridisch adviseur bij de Concerndirectie Informatievoorziening
en Databeheersing van de Belastingdienst. Klopt, hè?
LOKIN: Klopt helemaal.
-Gelukkig.
Anouschka Ausems, jij bent juridisch adviseur bij de Directie IV
van de Belastingdienst. Klopt ook, hè?
-AUSEMS: Niets aan toe te voegen.
ROTMAN: Oké, leuk. Mariette, wendbare wetsuitvoering.
Voor de mensen die niet dat jargon kennen, waar hebben we het hier over?
LOKIN: Ja, nou ja, voor mij is het een volkomen logische term.
ROTMAN: Ja, maar voor mij niet.
-LOKIN: Het zegt wat het doet.
Er wordt van de Belastingdienst heel veel verwacht.
Ieder jaar krijgen wij een belastingplan in de Kamer over ons heen,
een heel groot wetsvoorstel met 50 à 60 maatregelen.
Die moeten allemaal in een noodtempo in onze ICT verhapstukt worden
om het volgende jaar weer juist te kunnen heffen.
En dat is een hele toer. En we dachten: we moeten iets verzinnen
om dat proces van omzetting van die wetgeving naar die systemen
makkelijker en vlotter te laten verlopen, om daar wendbaarder in te kunnen zijn
om beter tegemoet te komen aan alle politieke wensen die op ons afkomen.
Maar dat betekent ook dat we eigenlijk veel meer nog moeten beginnen
bij echt de tekst van de wetgeving.
Dáár beginnen met de analyse. Wat staat er precies?
Hoe vertaalt dat zich in beslisregels, rekenregels,
allerlei gegevenscomponenten die we in onze ICT nodig hebben
om uiteindelijk jouw aanslag vast te stellen?
En hoe zorgen we dat we ook heel erg duidelijk die linkjes daartussen leggen?
Dat we echt inzichtelijk hebben van:
Dit gegeven komt uit dat artikel uit de Wet Inkomstenbelasting bijvoorbeeld.
Dus een werkwijze maken om die links heel goed te leggen.
Want als er dan iets veranderd in die wetgeving, dan zien we dat
in onze softwarecodes ongeveer: hé, dat raakt daar.
ROTMAN: Oké, we gaan straks leuke voorbeelden bespreken.
Wat is precies jouw rol in dit proces?
Deze stroomlijning, dit wendbaar maken van dit proces?
LOKIN: Ik ben tien jaar geleden bij de Belastingdienst komen werken.
Toen waren er wat collega's met dit gedachtengoed bezig.
Hoe kun je die trace van wetgeving naar uitvoering beter inrichten?
En toen dacht ik: o, da's cool. Want ik kwam uit de wetgeving.
En ik dacht al heel lang na over hoe kunnen we zorgen, als wetgevers,
dat we die wetgeving beter vertaalbaar maken?
En dat kwam heel mooi bij elkaar.
Dus toen ben ik daaraan mee gaan werken, en ondertussen
heb ik ook nog zelf daar verder over nagedacht en beschreven
hoe het wetgevingsproces aangepast zou kunnen worden
om die wendbaarheid beter te realiseren. Dat wordt dan 'wendbaar wetgeven'.
En ja, ik ben dus eigenlijk meebedenker, uitwerker
samen met een hele hoop collega's, ook Anouschka, van het concept...
ROTMAN: Er zijn een heleboel mensen mee bezig.
Anouschka, wat is jouw rol in dit grotere geheel?
AUSEMS: Nou, ik ben vooral als jurist werkzaam, ik noem het maar even zo
in de krochten van de ICT, bij een bouwblok.
ROTMAN LACHT: De krochten?
-AUSEMS: Ja, dat is echt heel gaaf.
Want ik werk daar met meerdere disciplines samen om ervoor te zorgen
dat de analyse, zoals Mariette die beschrijft, van de wetgeving
dat die ook landt in onze systemen.
En wij maken dan concreet ik noem het even webservices,
dat zijn regelgestuurde applicaties
die bv. de aanslag inkomstenbelasting berekenen.
ROTMAN: Die we allemaal kennen.
-Of zorgen dat er een uitnodiging
tot het doen van aangifte in de maanden januari/februari ligt.
ROTMAN: Dat gaat ook niet vanzelf.
-Nee, en ook daar passen we
de nieuwe werkwijze toe zoals Mariette zo mooi beschrijft.
ROTMAN: Ik kwam 'n leuke term tegen. Jullie automatiseren de automatisering.
AUSEMS: Ja, zeker. Nou, wij passen dus een methode toe.
Binnen die context van die wendbare wetsuitvoering passen wij de methode
'Wetsanalyse' toe. Daar gaan we het straks nog meer over hebben.
Maar voor nu even geef ik aan
dat die Wetsanalyse-resultaten leiden tot specificaties voor die ICT
in normale Nederlandse taal voor iedereen leesbaar.
En Mariette, vervolgens doen we iets met die Nederlandse taalregels.
LOKIN: Ja, daar zijn we het als juristen tot en met ICT'ers over eens.
Dit is wat er staat, dit bedoelen we, zo moet 't in de machine terechtkomen.
En dan hebben wij een hele mooie soort van productiestraat ontwikkeld,
die heet de Agile Law Execution Factory, ALEF. Dat wil iedereen wel hebben.
ROTMAN: De Action wat?
-De Agile Law Execution Factory.
Daar kunnen we die natuurlijke taalregels in stoppen
en daar wordt het getest en automatisch omgezet
naar de softwarecode voor die services die Anouschka noemt.
Dus als we het erover eens zijn wat het betekent en wat de bedoeling is
dan komt er niemand meer aan.
Er kloppen niet nog mensen over waardoor fouten kunnen ontstaan,
waar ze stiekem toch nog een stukje interpretatie doen of iets invullen.
Nee, what you see is what you get.
ROTMAN: Het moet duidelijk, het moet straight, het moet uitlegbaar zijn.
Oké, even concreet, concreet.
Je hebt het over de politiek, je hebt het over burgers,
die ervaren de gevolgen van dit besluit in die Tweede Kamer.
Laten we een casus uit de praktijk nemen, die we allemaal kennen:
De verhoging, de geleidelijke verhoging van de AOW-leeftijd.
Daar zitten veel fiscale gevolgen aan,
de Belastingdienst heeft daar heel veel mee te maken.
Dan wordt er dus in de Tweede Kamer dit besloten, ze gaan ermee aan de slag,
dan kijkt heel Nederland mee, de journalistiek duikt erbovenop,
en iedereen vindt er wat van, op tv vinden de deskundigen er wat van,
het is goed of slecht, maar ondertussen, achter de schermen
gaan er een paar mensen aan de slag, een heleboel zelfs,
en die moeten ervoor zorgen dat dat... Dat gaat niet vanzelf.
Dat moet in al die ICT-systemen... Dat is een beetje wanneer jullie
aan de slag gaan? Vertel. Wat gebeurt er achter de schermen?
LOKIN: Idealiter nog eerder in het proces, maar laten we deze aannemen
voor het voorbeeld. Bij ons gaan er dan allerlei bellen rinkelen.
Want misschien staat in de wet een heel simpel tabelletje
met een aantal leeftijden en jaren en maanden erbij.
En dan denken wij: ooh, ja, dit ziet er heel simpel uit.
voor de eenvoudige lezer, maar dit gaat dus heel veel impact hebben.
Want dat is niet een kwestie van
klop even gewoon 65 en 3 maanden, 6 maanden, 9 maanden in
en dan loopt het wel goed. Want zo werkt een computer niet.
Die kan daar niks mee. Dus...
AUSEMS: We hebben toen besloten om het om te zetten in maanden.
Dus in de wet stond bijvoorbeeld 65 jaar en 3 maanden,
daar hebben we maanden van gemaakt.
Dat soort keuzes worden dan gemaakt. Wat heeft de ICT nodig?
Dat bleek achteraf heel handig, want wat gebeurt er in de politiek?
Die AOW-leeftijd schuift weer, wat maanden erbij, wat maanden eraf.
Het was fijn dat we in maanden werkten, omdat we daardoor wendbaar werden.
ROTMAN: Dat is het wendbare stukje.
-Dat is het ICT-stuk, hè, of intern.
Maar extern gebeurt er ook iets in onze hoofden. We denken: die burgers
moeten wij goed kunnen uitleggen straks wat wij doen met die AOW-leeftijd.
Dus we denken ook al van: als straks onze systemen moeten gaan draaien
dan hebben we gegevens nodig van die burger. En hoe komen we daaraan?
Moeten we 'm lastigvallen of kunnen we dat bij andere overheidsinstanties halen?
ROTMAN: Mag dat wel? De privacy?
-Hoe leggen we het uit aan de burgers?
Dus zowel intern bedenken we binnen de Belastingdienst wat is nodig,
maar ook naar buiten toe, wat heeft die burger nodig?
En hoe kunnen we hem daar zo goed mogelijk bij helpen?
ROTMAN: Als ik aan de term 'wendbaar' denk, want daar gaat het hier over,
dan denk ik meteen aan de gesprekken in eerdere afleveringen van Tax Talk
en dan ontstaat mijn beeld van heel veel mensen
die met heel veel verschillende systemen aan de slag gaan.
En ik geloof dat Wouter of Delius eerder met een soort voorbeeld kwam van:
Als de Kamer het BTW-tarief een procentje meer of minder maakt
dan is dat niet een kwestie van dat nieuwe tarief in een veldje invullen
en dat het dan overal vanzelf... Nee, ál die systemen moeten aangepast.
En hoe maak je dat dan wendbaar?
Hoe zorg je dat je in het fundament van het systeem dat het wel makkelijk...
dat het bij wijze van spreken wél zo wordt dat je het ergens invult.
Dat voelt voor mij wendbaar. Maar wat bedoel jij met wendbaar?
LOKIN: Voor mij is het dat we heel snel kunnen detecteren waar het dan zit
in al die systemen. En kunnen zeggen:
oké, dus overal waar deze wijziging in de wetgeving zich voordoet,
weten wij dat we nu iets moeten doen.
Dan is het nog niet meteen helemaal wendbaar.
Wat het nog wendbaarder maakt,
is dat je ook wat Anouschka net al even noemde,
dat je niet meer werkt met grote monolithische systemen
zoals wij dat dan noemen, maar dat je meer met services werkt.
En dat je dus bv. een service hebt
voor het berekenen van bepaalde BTW-tarieven,
die eigenlijk een beetje losstaat van een groot systeem.
Dus als het systeem die uitkomst nodig heeft,
bijv. bij de inkomstenbelasting hebben we nu een aparte service,
die maakt de berekeningen en geeft die terug aan het systeem
en die gaat daar dan de volgende stappen weer mee doen.
We gaan de kennis dus ook een beetje uit de diepte, uit die krochten
van die systemen weghalen. ROTMAN: Ja!
LOKIN: Buiten de systemen dat modelleren en daar ook
services van bouwen die onze processen kunnen uitvoeren.
En dan wordt het ook veel wendbaarder omdat je het in stukjes hebt geknipt.
In plaats van dat je één zo'n heel groot, zo zien die dingen eruit in een datacenter
zo'n hele grote dubbeldeurs koelkast hebt staan, wat een mainframe heet,
waar alles diep in de code is weggeprogrammeerd
en je heel veel overhoop moet trekken voordat je dus dat ene BTW-tariefje...
ROTMAN: Ja, of die AOW-leeftijd.
-LOKIN: Hebt verwerkt.
Anouschka, wat is in deze casus dan die methode Wetsanalyse?
Hoe leg je dat over deze casus heen? Hoe ziet dat er in concreto uit?
AUSEMS: Fijn dat je die vraag stelt, want ik wilde Mariette even aanvullen.
Ik ben 't helemaal eens met wat ze zegt en wat ik nog kan aanvullen is
dat als je ook aangeeft waar de regels in het systeem op gebaseerd zijn in de wet,
dus echt die linken rechtstreeks legt,
bv. AOW-leeftijd, stel dat dat artikel 7 is van de Algemene Ouderdomswet,
dat je heel traceerbaar die links legt,
dus elke regel, elk gegeven leg je vast waar het staat in de wet
of in regelgeving of beleid. Dat maakt je ook enorm wendbaar.
En dat merkten we ook bij die AOW- leeftijd,
want toen die wijziging eraan zat te komen,
moesten we toch wel een paar weken zoeken als Belastingdienst:
Ja, waar hebben we dat nou allemaal netjes gedocumenteerd?
Want we hadden nog niet die rechtstreekse verbindingen,
we hadden ook de tooling nog niet om dat goed te doen.
Dus als je mij vraagt: Wat kan die Wetsanalyse daarin betekenen?
Nou, dat we dus wat Mariette zegt, dicht op die wet analyseren.
Alle uitleg die we doen leggen we vast en koppelen we aan onze specificaties
en onze ICT, zodat we geen spaghettislierten meer krijgen,
maar mooie rechtstreekse lijntjes.
En dan kan je met een druk op de knop zeggen: o, dat verandert?
Druk op de knop, waar zit dat allemaal? Even simpel gezegd.
ROTMAN: En als je het hebt over de Belastingdienst, Mariette,
dan is er weinig ruimte voor fouten. Of géén ruimte.
Want als we iets te zeiken hebben over de Belastingdienst
dan doen we het met z'n allen. De pers kijkt mee,
We hebben er allemaal mee te maken.
En als we tien seconden te lang in de wacht staan als we een vraag hebben
dan zijn we over de zeik. Dus je voelt waarschijnlijk ook druk.
Het móet goed zijn. Je kan je niet permitteren dat het systeem
een weekje of een maandje draait terwijl het nog niet geregeld is.
Dus je hebt weinig ruimte om fouten te maken.
LOKIN: En dat is ook terecht.
Ik zeg wel eens: de Belastingdienst is voor mij de ultieme publieke zaak.
Wij raken alles, we raken iedereen.
We raken het leven van alle burgers, van alle bedrijven.
We zijn degenen die geld van ze mogen afpakken, even plat gezegd.
ROTMAN: Het gaat over geld, over belangen.
LOKIN: Het is een heel vergaande bevoegdheid die we hebben.
En nou ja, noblesse oblige. Dat moet dus goed.
En er gaat ook heel erg veel goed. Gelukkig.
Als je ziet in de massa van wat wij iedere maand, iedere dag verwerken
dan gaat denk ik 99,9% goed. Maar die 0,1% moet ook goed.
En het moet snel, want er wordt veel van ons gevraagd.
En we moeten het goed uitleggen.
En dan zijn dit soort werkmethoden echt essentieel.
Dat je gewoon de hele trace kan volgen.
Van wat die Kamer heeft vastgesteld tot wat wij doen.
ROTMAN: Anouschka, want die wil wat zeggen...
AUSEMS: Ik hap zowat die microfoon in.
-ROTMAN: Geeft niet.
Ik hoorde je net een ander voorbeeld... Ik dacht: dat gaat ook niet vanzelf.
Een proces voor het uitnodigen tot het doen van aangifte, daar had je 't over.
Dus dat moest ook beter.
En ik denk: dan krijg je 'n brief of weet ik veel wat.
Dat gaat natuurlijk ook niet vanzelf. Wat speelt daar dan?
AUSEMS: Op een gegeven moment werd besloten, er was verouderde ICT,
dus daar gingen we nieuwe ICT voor maken. En toen hebben we gezegd:
Oké, wat gebeurt er nu in onze zoemende dozen?
KUCHT: Sorry.
Dus met terugwerkende kracht gingen we de regels die erin zaten
in de gegevens alsnog linken aan wet- en regelgeving.
En waar we toen tegenaan liepen, kijk, je moet het zo zien,
wetgeving heeft vaak nog wel eens open normen
of begrippen die multi-interpretabel zijn.
Bij het uitnodigen tot het doen van aangifte is er maar één wetsartikel
waarin staat: 'De inspecteur kan naar zijn mening uitnodigen
wie vermoedelijk belastingplichtig is.' 'Naar zijn mening' is een open norm.
Dus dat heeft de Belastingdienst ook keurig met beleidsregel ingevuld,
alleen het bleek dat er in de praktijk
toch nog wat meer beleid daaromtrent gegroeid was.
Allemaal keurig afgestemd, hoor.
Alleen we hadden dat niet meer centraal ook voor ogen.
En daar hebben we toen aan gewerkt.
We hebben enerzijds de links gelegd met de wetgeving
en ervoor gezorgd dat alles wat in die zoemende doos gebeurt...
ROTMAN: Zoemende doos, mooi, hè?
-Keuzes en interpretaties
ook netjes werden vastgelegd. Ja, en toen hadden we prachtig zicht.
We wisten precies wat we deden.
We konden de burgers, dat doen we nóg niet, maar dat kunnen we nog beter
gaan uitleggen waarom ze uitgenodigd worden. We konden bij testen,
want we maken heel veel gebruik van concrete voorbeelden,
want dan toets je niet alleen de juistheid van wat je in je ICT doet,
maar ook de eventuele ongewenste effecten in wetgeving. Heel belangrijk.
Die kan je ook van tevoren toetsen. En we konden dus heel mooi testen.
Nou, bleek dat we iets te veel mensen uitnodigen in de test.
Konden we heel snel schakelen: Ah, dat ligt aan die regel.
Passen we aan, nu wel goed, in productie. Dat ging feilloos.
ROTMAN: Oké, Mariette, bij mij ontstaat nu zo'n beeld,
tijdens de opnames van deze serie,
alles is een beetje IT en ICT en technologie en digitalisering, hè?
Dus nu noemen we twee dingen.
We hebben het nu over aangiftebrieven en de AOW-leeftijd.
Maar we hebben het over toeslagen, het gaat over regels...
Aan de lopende band worden er allemaal dingen bedacht.
En ik denk dat ambtenaren ook...
Nieuwe systemen, nieuwe trucs, en het moet allemaal beter en sneller...
Het is heel erg veel.
En we noemen nu twee besluiten in de Tweede Kamer, die nieuw zijn.
En daar kan ik me iets bij voorstellen.
Maar je hebt ook nog een hele grote brij aan oude wetten en oude regels,
oude IT-systemen, daar heb je natuurlijk ook de hele tijd mee te maken.
Heb je dan ook het fenomeen van de wendbare wetsuitvoering?
LOKIN: Het voorbeeld van de uitnodiging tot het doen van aangifte van Anouschka
want die brief die sturen we al jaren, die wetgeving bestaat ook al jaren,
dat was eigenlijk zo'n vanaf de andere kant benaderd-project.
Daar hadden we een bepaald uitvoeringsproces geautomatiseerd
waarvan werd gezegd: Nee, dat willen we gaan verbeteren en vernieuwen.
Dus we gaan nu uit alle bestaande code trekken waar het linkt aan de wetgeving
en op basis daarvan gaan we het opnieuw inrichten.
ROTMAN: Precies. De vraag die ik wil stellen is namelijk:
Als je nieuw beleid hebt, dan kan je 'm wendbaar bouwen.
Maar een heleboel systemen zijn van nature al 10, 20, 30 jaar...
Die zijn niet zo wendbaar.
-AUSEMS: Dan doe je het andersom.
Dan maken we het wendbaarder.
LOKIN: Ja, zeker. Een van de discussies in de Kamer is ook vaak
en wat ook geroepen wordt in de media:
Ja, de Belastingdienst heeft verouderde ICT-systemen.
Ik denk dat wij een hoop oude ICT- systemen hebben,
maar ik weet niet of je ze zomaar weg mag zetten als 'verouderd'.
Wij hadden ooit een directeur die zei: Ja, eigenlijk zijn dat onze oldtimers.
En die moeten we koesteren en oppoetsen. Ja, mooie beeldspraak.
Doet meer recht aan wat ze doen, want ze werken nog steeds heel goed.
Maar goed, ontegenzeggelijk moeten we wel vernieuwen.
En deze methode helpt je dus ook om je vernieuwing goed vorm te geven
en te zorgen dat het voor de toekomst ook wendbaar blijft.
ROTMAN: En dat is met de stofkam erdoorheen?
Er zijn teams die dagelijks bekijken: Waar moeten we iets mee?
Hoe werkt dat in de praktijk?
-AUSEMS: Als er projecten ontstaan
om ik noem het toch maar even verouderde, hoor, excuses.
Net zo makkelijk, verouderde ICT.
-LOKIN: Zeg oud.
De oldtimers, als die mooie oldtimers toch vervangen moeten worden
door snelle Tesla's, zeg maar,
dan gaan we in zo'n project de Wetsanalyse toepassen.
Dat zijn een aantal stappen. Soms passen we alle stappen toe,
soms een deel. En dan gaan we met verschillende disciplines samen
tot het ministerie aan toe, want dat maakt het ook zo krachtig,
gaan we kijken van: Oké, wat zit er nu in onze systemen?
Wat doen ze? Wat zit daar aan juridische lading in?
We gaan dat koppelen aan de wet. We zorgen dat eventuele keuzes
die onverhoopt niet waren vastgelegd in beleidsregels
dan zorgen we dat dat gebeurt.
En op die manier gaan we dus inderdaad andersom ervoor zorgen
zoals Mariette zo mooi zei, dat die traceerbaarheid/wendbaarheid ontstaat.
LOKIN: Als ik nog een voorbeeldje mag geven.
Een van die oude systemen is ons omzetbelastingsysteem.
Een van de oudste die we hebben.
AUSEMS: Zo'n mooi belastingmiddel. Ja, het is m'n favoriete.
ROTMAN: Jeetje, we hebben de belastingnerds hier aan tafel.
Waarom is dit een mooi voorbeeld?
LOKIN: Nou, omdat daar dus inderdaad...
Daar moet vernieuwd worden. En daar wordt nu ook
met de wendbare wetsuitvoering Wetsanalyse-benadering gewerkt.
Anouschka zit daar rechtstreeks in.
Ik kijk dat altijd aan en vind dat heel interessant en leer daar weer van
voor de doorontwikkeling van onze methode, maar Anouschka zit erin,
dus die kan er meer over vertellen van wat daar gebeurt.
AUSEMS: We doen nu een proef, dat systeem moet vervangen worden.
LOKIN: Da's echt een oldtimer, hè?
ROTMAN: Miljoenen mensen hebben daarmee te maken?
AUSEMS: Zeker. Kijk, het bedrijfsleven, al die ondernemers die aangifte
voor de omzetbelasting doen, hebben er belang bij dat wij heel netjes
die oldtimer omzetten naar een moderne auto.
Dat die niet ineens linksaf slaat terwijl hij altijd rechtdoor reed.
En daar werken we aan.
-ROTMAN: Eigenlijk wil je dan...
Dit kwam ook in de eerdere opnames tevoorschijn:
Je moet de winkel verbouwen terwijl hij open is, hè?
LOKIN: Precies, heel mooi gezegd.
ROTMAN: Terwijl die oldtimer rijdt, versleutel je 'm tot een nieuwe auto.
AUSEMS: En dat moet beheerst en controleerbaar
en dat doen we met die methode.
-ROTMAN: Dat lijkt me wel wat.
We doen nu een proef met de particuliere zonnepaneelhouders.
Misschien dat een aantal luisteraars dat wel herkennen.
Dus zonnepanelen en BTW-nummering, hele leuke onderwerpen
waar we nu een proef mee doen
om te kijken of we inderdaad dienstbaar kunnen zijn voor de omzetbelasting.
Maar eerst doe je dus een proef.
ROTMAN: Hé, en Mariette, ik denk dat deze strategie, deze aanpak
deze moderne aanpak, dat dat ook voor andere overheidsinstanties
of misschien we organisaties buiten de overheid interessant kan zijn
om zo hun oude normen en systemen hupsaflats de 21e eeuw in te trekken.
Gebeurt dat ook? Wordt er gekeken hoe ze dat doen bij de Belastingdienst?
LOKIN: Ja, zeker, zeker.
Andere grote uitvoeringsorganisaties waren ook al wel bezig met dit concept
van het regelgebaseerd werken, dus het wendbaar wetsuitvoering-deel.
Maar ze hebben ook veel interesse in onze manier van wetsanalyse
die we daarvoor inzetten. We hebben ook een boek geschreven
om het goed te kunnen uitdragen. Dat heet ook Wetsanalyse.
Dat was een heel leuk traject.
-ROTMAN: Is het een leesbaar boek?
LOKIN: Nou, wij vinden van wel. Het is al heel toegankelijk
omdat er veel leuke kleurtjes en plaatjes in staan. Dat maakt het laagdrempelig.
Het is natuurlijk best wel ingewikkelde en ook in die zin technische materie,
juridisch technische materie, maar we hebben wel geprobeerd
om het met heel veel voorbeelden heel tastbaar en toepasbaar te maken.
Volgens mij is dat aardig gelukt. Maar even nog, het UWV, SVB, IND.
die zijn er nu ook mee aan de slag.
Met de IND gaan we een pilot doen om wederzijds kennisoverdracht te doen.
ROTMAN: De Immigratie- en Naturalisatiedienst.
En ook het bedrijfsleven, Achmea, heeft ook al eens bij ons aangeklopt.
Hé, wat jullie aan het doen zijn, dat is wel heel interessant.
En ja, kijk, het geldt natuurlijk ook... Elk groot bedrijf, financiële instellingen
hebben ook wetgeving waar ze zich aan moeten houden
en ook ICT-systemen die ze gebruiken voor de toepassing.
En eigenlijk geldt daar hetzelfde als voor de Belastingdienst.
Dat maakt niet zo heel veel uit.
ROTMAN: En dan die stappen waar je het net over had, Anouschka.
Dit is een proces dat je kan exporteren, deze kennis, deze methode.
Wat zijn dan de belangrijkste stappen die je als organisatie kan nemen
die jij nu als een pitch gaat neerzetten en als ze dat interessant vinden
dat ze dat boek van Mariette gaan halen?
AUSEMS: Ik maak er even reclame voor.
-LOKIN: Ons boek, hoor.
AUSEMS: Het is samen geschreven. Ik ga daar even reclame voor maken.
Ik doe even de belangrijkste stappen. Stap 1, de hoofdvraag, sla ik even over.
Stap 2 is heel leuk, juridische grammatica duiden in de wetgeving.
Want wetgeving, da's leuk om te weten misschien voor de luisteraars,
heeft juridische grammatica.
Stap 3, heel belangrijk, de betekenis stellen we vast van wetgeving
en we maken de juiste formuleringen.
Da's essentieel, want die komen straks in de systemen.
En als laatste, ik moet opschieten, ik begrijp het,
we werken altijd met concrete voorbeelden. Heel belangrijk.
Effecten van wetgeving vooraf toetsen.
En we leggen ook al onze keuzes en interpretaties vast
die we lopende de vertaling naar die ICT maken in beleidsregels.
En dat is de ultieme vorm, vind ik en Mariette ook, dat weet ik zeker,
de ultieme vorm van democratie binnen een overheidsorgaan.
Vastleggen welke keuzes je maakt. Transparant zijn, zodat mensen
iets daarvan kunnen vinden ook van wat wij doen. En dat is heel belangrijk.
ROTMAN: En waar zitten jullie zwakke plekken?
Dit zijn kwaliteiten die jullie kunnen exporteren naar andere organisaties,
IND en noem het allemaal maar op.
Waar kijken jullie naar? Want jullie hebben ook inspiratie nodig.
Waar denken jullie: o, daar hebben we nog wat slagen te maken.
LOKIN: Nou, we doen dit nu voor de gegevenscomponenten
en de regelcomponenten uit wetgeving.
De processtappen, daar hebben we nog zeg maar een doorontwikkeling...
ROTMAN: Wat bedoel je met processtappen?
LOKIN: Als je bijvoorbeeld een aanslag moet opleggen
dan doorloopt die een aantal stapjes
om te zorgen dat hij uiteindelijk in jouw brievenbus valt.
En om die proceskant ook op een goede manier te modelleren
en te zorgen dat dat ook toegepast kan worden in de systemen,
daar hebben we nog stappen te zetten.
ROTMAN: Dat kan efficiënter of gestroomlijnder?
LOKIN: En ook dat meer servicematig modelleren.
Daar zijn ook methodes voor ontwikkeld al in de wetenschap.
En daar kijken we nu ook naar.
Hoe kunnen we daarmee onze methode verder doorontwikkelen?
AUSEMS: Ik wou 't alleen mooi samenvatten.
Dus niet alleen de reken- of besliskant, waar we ons nu vooral op focussen,
maar ook wat zij zo mooi zegt, de proceskant inderdaad.
ROTMAN: Ja. Nu zie ik een haakje voor een stokpaardje van mij.
Het gaat dus altijd over mensen hier, hè.
Het gaat niet over ICT, in de kern. Ook niet over wat men in Den Haag wil.
Het gaat uiteindelijk over mensen. Die hebben te maken met beleid, regels,
met financiële zaken. En jullie zijn de vertalers, zal ik maar zeggen.
Zou je kunnen zeggen dat dit een soort concrete uitvoering is van de term
'menselijke maat by design'? 'Security by design' heb je ook.
Maar menselijke maat by design, dat vind ik altijd een mooie.
LOKIN: Ja, heel mooi.
-AUSEMS: We gaan ervan glimmen, hè?
Ja, want mensen denken altijd als er een computer aan te pas komt
dat de mens op de achtergrond raakt, maar dat is niet waar.
Want de methode, als je het heel zorgvuldig en secuur doet,
dan hou je ook echt rekening met dat doel van die wet
en hoe dat mensen raakt.
Wat Anouschka ook zegt, dat testen, simuleren, kijken of het doet wat je wil
en of je geen ongewenste effecten hebt.
En wat in die methode ook wel heel belangrijk is, is dat je soms detecteert:
Hier zit zoveel afwegingsruimte, dit kun je niet meer in een machine stoppen.
Dit moet gewoon in een handmatig proces naar iemand op kantoor
die er goed naar kijkt en alles meeweegt.
ROTMAN: Dus ICT is geen doel op zich? Het gaat altijd over mensen?
LOKIN: Ja.
-ROTMAN: Jullie worden er vrolijk van.
AUSEMS: Ja, ik krijg hier bijna kippenvel van.
Want dat wordt niet altijd gezien. Maar ja, dat is gewoon essentieel,
wat Mariette beschrijft.
ROTMAN: Ik wens jullie veel succes met je mooie werk.
Volgens mij zijn jullie heel goed bezig.
Misschien ga ik zelfs dat boek er wel bij pakken.
LOKIN: Goed plan.
-Als je pech hebt, heb ik 'm in m'n tas.
Ik zal straks kijken. ROTMAN LACHT
Dank jullie wel, Anouschka Aussems en Mariette Lokin.
Luister ook de andere afleveringen van Tax Talk terug en je hoort het,
belastingzaken is gewoon superleuk.
Ga hiervoor naar it-academieoverheid.nl. Dames, dank jullie wel.
Dank je wel.
-Graag gedaan.

Aflevering 4, 8 februari - MCC, meer dan alleen apps voor de Belastingdienst

Miljoenen mensen gebruiken de apps waaraan het Mobile Competence Centre (MCC) van de Belastingdienst heeft meegewerkt. Denk aan de app Aangifte inkomstenbelasting van de Belastingdienst, de Reisapp van het ministerie van Buitenlandse Zaken en de Douane en de bekendste: DigiD, die het MCC samen met eigenaar Logius en het ministerie Binnenlandse Zaken en Koninkrijksrelaties ontwikkelde. Wat komt er kijken bij een goede app? En hoe zorg je ervoor dat de apps aansluiten op de wensen van de opdrachtgever én de gebruiker? In deze aflevering van Tax Talk spreekt host Robin Rotman met Martijn Hendriks, app-coördinator bij het MCC van de Belastingdienst.

MCC, meer dan alleen apps voor de Belastingdienst

LEVENDIGE MUZIEK

HENDRIKS: Ik draai het altijd om. Wat je veel ziet in IT:
we hebben het opgeleverd, het is klaar, veel succes.
Nee, we hebben opgeleverd, nu begint het pas.
ROTMAN: Welkom bij Tax Talk. Ik ben Robin Rotman
en ik praat met betrokkenen en deskundigen
over digitale uitdagingen van de Belastingdienst,
misschien wel het grootste IT-bedrijf van Nederland.
HENDRIKS: De eindgebruiker serieus nemen, betekent wat voor je business.
En ik denk als je die stap en die connectie maakt
dat je echt een paar stappen weer verder komt in het hele proces.
ROTMAN: Dit is een podcast
van de Rijksacademie voor Digitalisering en Informatisering Overheid.
En vandaag gaat het over apps.
Ja, apps, gewoon apps op je telefoon, computer, apps, dat soort dingen.
De Belastingdienst is niet alleen een groot IT-bedrijf,
maar ook een hele grote appbouwer.
En sommige apps worden door miljoenen mensen gebruikt.
Te gast tegenover mij, Martijn Hendriks,
appcoördinator bij het Mobile Competence Center. Zeg ik het goed?
HENDRIKS: Helemaal goed.
-Ja, van de Belastingdienst.
Wat is eigenlijk jouw favoriete Belastingdienst-app?
HENDRIKS: Er één noemen is de andere tekortdoen.
ROTMAN: Het zijn allemaal kindjes?
-Het zijn allemaal kindjes van me.
De één heeft de ander nodig en elk heeft zijn voors en tegens.
Maar ik vind ze allemaal even mooi.
Meestal is het wel zo: de laatste is meestal weer het favoriete kindje.
ROTMAN: De laatste, de leukste. En wat is nu de laatste in dit geval?
HENDRIKS: Ja, we maken apps zowel voor intern als extern gebruik.
Een hoop mensen zien de externe apps,
denk aan de aangifte-app of kinderopvangtoeslag-app,
DigiD en de Berichtenbox-app.
We maken nog veel meer, Reisapp komt ook bij ons vandaan.
Maar we maken ook interne apps.
We maken veel apps. We maken ongeveer...
We hebben er meer dan 60 gemaakt, ongeveer 50, 55 hebben we nu.
ROTMAN: Jullie hebben 55 actieve apps.
Is dat allemaal alleen maar voor de telefoon?
Of ook op de iPad of op de laptop? Wat zijn dat voor dingen allemaal?
HENDRIKS: De apps zijn zowel voor de iPad als voor smartphone,
en op Android en iOS.
ROTMAN: Wat is voor burgers, simpele eenvoudige mensen als ik
de grootste app waar de meeste mensen mee te maken hebben?
HENDRIKS: Ja, een beetje geholpen door de omstandigheden, de DigiD-app.
Die is wel denk ik de allergrootste vanuit Rijksoverheid.
ROTMAN: O ja, de DigiD-app. Komt ook hier vandaan?
HENDRIKS: Die komt ook bij het MCC vandaan, ja.
Het is een app van Binnenlandse Zaken, Logius. Net als de Berichtenbox-app.
Wij vanuit MCC, Mobile Competence Center, leveren daar
een hoop mensen, bijna het gehele team, is niet helemaal waar, hoor,
want we mixen het team met de mensen van Logius.
Maar er zijn veel collega's die daaraan meewerken.
Van begin af aan al.
ROTMAN: Dat is DigiD. Je noemde net al de toeslagenapps en de Berichtenbox.
Wat zijn die kleinere, specialistischere apps voor intern gebruik?
Waar moet ik dan aan denken?
-Die zijn heel divers.
Denk aan een app die gebruikt wordt op Schiphol
door douaniers om toezicht te houden. Toezicht klinkt dan weer een beetje plat.
Om het wat simpeler te zeggen:
ik bedoel, als je met je koffers daar aankomt en er is een controle,
dan moet dat ook natuurlijk geregisseerd worden.
Wie gaat op welk moment op welke plek staan?
En daar zijn taakgebonden apps voor.
ROTMAN: Er zit 'n slim systeem achter. Die doen misschien wel risicoanalyses.
Er komt data binnen, er moeten keuzes gemaakt worden,
en zo'n app assisteert het personeel:
joh, nu is het zaak om eens te kijken of hoe we misschien...
HENDRIKS: Vanuit allerlei bronnen en impulsen
kunnen zulk soorten opdrachten plaatsvinden.
ROTMAN: Dan krijgen ze... Dan kunnen ze ook weer informatie invoeren.
Dat komt bij elkaar.
-Het is een opdrachtbrief,
alleen in digitale vorm, inclusief 'n stuk terugkoppeling
die netjes geautomatiseerd kan werken. ROTMAN: Dus dit is een creatief proces.
Dit is een creatieve tak van de Belastingdienst, denk ik.
HENDRIKS: Dit is een heel creatieve tak.
ROTMAN: Hoeveel mensen werken er bij jullie?
HENDRIKS: Ongeveer 50, 55 mensen specifiek voor app.
Daarnaast is er ook nog een deel die backends doen.
Dus bij elkaar zijn dat ruim 60 mensen.
ROTMAN: Welke app hebben jullie nu in ontwikkeling waarvan je denkt:
dat wordt straks m'n nieuwe favoriete kindje.
Wat is je laatste kunststukje straks?
HENDRIKS: Niet alleen van mij. Ik ben dan appcoördinator bij...
ROTMAN: Jullie doen het natuurlijk allemaal samen, hè.
HENDRIKS: Sowieso. Maar er zijn meerdere apps in ontwikkeling.
De meest voor de hand liggende en die het meest tot de verbeelding spreekt,
zijn natuurlijk de openbare apps, waar iedereen bij kan, zeg maar.
Ja, we zijn nu bezig om met name te kijken van:
kunnen we ook wat verbreden met apps, dus niet alleen maar heel specifiek
op een aangifteproces gaan zitten, wat één keer per jaar speelt,
maar de gebruiker, burger of zakelijke gebruiker langer van dienst zijn.
Denk aan een breder pakket van dienstverlening.
ROTMAN: Dat je dat in één app bij elkaar brengt.
HENDRIKS: Daar zijn we niet helemaal over uit. We zijn ernaar aan het kijken,
maar dat er wat gaat gebeuren op dat vlak, weet ik wel zeker.
ROTMAN: Die kinderopvangtoeslagapp, ik krijg het m'n mond bijna niet uit.
Het is een heel woord. Dat is een relatief nieuwe, toch?
HENDRIKS: Die is vanaf zomer vorig jaar.
ROTMAN: Waarom moest die er komen?
Om een beetje dat proces te bekijken. Hoe ontstaat zo'n app?
HENDRIKS: Apps kunnen vanuit hele diverse hoeken ontstaan
en deze was helaas wel een beetje geboren vanuit het toeslagenaffairestuk.
Er zijn daar verbetervoorstellen uit gekomen
en één van de verbetervoorstellen was:
we willen de gebruiker, ouder, voogd, beter ondersteunen in het proces.
We hadden daarvoor al, een tijd daarvoor, een keer een rondje gedaan.
We doen af en toe rondjes binnen de organisatie om te laten zien:
wat kan je met apps? Waar zit de toegevoegde waarde van apps?
En waarom zijn die zo goed? Of zijn die beter dan...
Het is niet vaak niet beter dan, hè, maar het zijn specifieke eigenschappen
die een app een app maken, met name dat je hem heel dichtbij draagt
en er zit natuurlijk een notificerende functie in die erg prettig is
om mensen op de hoogte te brengen van...
Dus we hadden de inspiratierondes al gedaan en toen kwam dit langs
waarbij we zoiets hadden van: oké, één en één is twee.
Dus als we dat willen doen, kunnen we misschien een app maken
om die ouder te ondersteunen voor het kinderopvangtoeslagproces.
ROTMAN: Om dat toegankelijker, inzichtelijker, laagdrempeliger,
dat het makkelijker wordt.
Je zegt: wij vinden 't belangrijk dat het voor de eindgebruiker goed geregeld is.
Als je nou bijvoorbeeld die, weet ik veel, jullie hebben ook een aangifte-app.
Als je nou eens kijkt...
Want jullie denken echt vanuit de gebruiker.
Kun je dan omschrijven hoe dat dan werkt?
Wat dan de overwegingen zijn of wat dan belangrijk is dat je denkt:
daar zie je heel duidelijk dat wij vanuit de eindgebruiker redeneren
en niet vanuit het nut voor de Belastingdienst.
Het gaat over die mensen die die apps moeten gebruiken.
HENDRIKS: Ja, startpunt is de gebruiker.
Zonder gebruiker is het mooi om een app te hebben,
maar wat gaat hij dan doen en wat gaat ie betekenen?
Dus zolang wij bestaan, en dat is echt al een tijdje,
maken we apps die met name de gebruiker centraal stelt.
Dat is mooi, maar dan ben je er natuurlijk niet.
We gaan wat dat betreft op zoek naar enerzijds de gebruikersbehoefte,
aan de andere kant ook: wat willen wij vanuit de organisatie ermee?
Sorry dat ik het woord gebruik, maar we zijn op zoek naar de sweet spot.
ROTMAN: O, de sweet spot.
-Ja, hét plekje.
Dus het moet maximaal gemak en functionaliteit voor de eindgebruiker
en het doel wat jullie daarmee willen gebruiken.
De toegankelijkheid naar jullie diensten of zo.
Dat moet bij elkaar komen en daar zit een soort sweet spot.
HENDRIKS: En daarin en daar omheen heb je een plek, zeg maar,
die voor beiden heel erg prettig is.
En als je zo'n plek kan vinden en vaak vind je die wel,
dan ben je met elkaar gewoon goed bezig,
want dan weet je dat je de gebruiker gaat helpen in wat voor vorm dan ook.
En dat de gebruiker ook de gegevens levert,
vaak gaat het om gegevens, of de acties doet.
Waar zij blij van worden, maar waar je als organisatie ook blij van wordt.
ROTMAN: Ik kan me voorstellen dat een slimmerik tijdens een vergadering roept:
daar moeten we een app voor bouwen, zoiets.
HENDRIKS: Vergaderen is niet meer van deze tijd.
ROTMAN: Neem me niet kwalijk.
Maar er roept iemand, er komt een idee op tafel.
Maar waar ik namelijk heen wil...
Gaan jullie dan de aanstaande gebruikers interviewen?
Halen jullie die erbij, klankborden of zo?
Hoe zorg je ervoor dat je daadwerkelijk iets bouwt
waar die mensen iets aan hebben dat het echt vanuit hun geredeneerd is?
HENDRIKS: Het zijn meerdere momenten.
Eén, het inspiratiemoment al een tijd eerder: wat is nu mogelijk?
Hoe kan je de gebruiker nog beter van dienst zijn
en je businesswensen ook daarin vertalen?
En daarnaast is er een idee, gedachte,
zoals met de kinderopvangtoeslag-app.
Dan ga je eerst met een team zitten: oké, wat willen we bereiken?
Welke doelen hebben daarbij?
Er worden ook doelen geformuleerd met betrekking tot de gebruiker.
Dan gaan we met elkaar tekeningen maken en dat doen we al vrij snel.
Tekeningen maken, want tekeningen zijn leuk.
Als je een tekening ziet van een app en je ziet daar een huis omheen...
ROTMANS: Letterlijk een tekening van het beginscherm?
HENDRIKS: Vaak niet het beginscherm, maar vaak een scherm verder.
Waar het om gaat echt, waar de toegevoegde waarde ligt.
En daar maken we er een paar van en dan gaat het leven.
Dan gaat het leven binnen de organisatie en dan in dit geval,
bij de kinderopvangtoeslag-app, hebben we ervoor gekozen
om van begin af aan een branche- organisatie aan tafel uit te nodigen
of naar de brancheorganisatie toe te gaan.
ROTMAN: Dan laat je die tekeningen zien en zegt iemand:
ik moet wel heel veel doorklikken voordat ik ben waar ik wil zijn.
Dat soort opmerkingen krijg je dan terug.
-Exact, exact.
Dus inderdaad, we laten de concepten zien.
Vaak zijn ze al klikbaar en dan krijg we feedback terug.
En dat is superwaardevol, want op zo'n moment
zijn we nog geen regel aan het coderen en programmeren,
maar hebben we veel informatie die we verwerken in een volgende versie.
Vaak gaan er twee, drie, vier versies overheen
voordat we zeggen: oké, nu zijn we ver genoeg en nu kunnen we gaan coderen.
We hadden in dit traject afgesproken
dat ze tijdens het bouwen de demo zouden geven.
Iets verder hebben we de demo gegeven aan diverse partijen,
ook de branchevereniging.
En in dit geval hebben we ook de gebruiker uitgenodigd,
in dit geval volgens mij ongeveer 150 burgers.
ROTMAN: Die zitten in een zaal met een telefoontje in hun hand te kijken:
pak hem er maar bij. Wat valt je op? Zoiets?
HENDRIKS: Nou nee, dat niet. Nee, gewoon:
we hebben de app beschikbaar voor Android en iOS.
We nodigen mensen uit op basis van een aantal gegevens.
Mensen gaan er thuis mee aan de slag en die draaide in productie.
Niks qua demo of zo. Nee, het zijn productiegegevens.
ROTMAN: Je kon al dingen aanvragen, veranderen, wijzigingen doorvoeren.
HENDRIKS: Vooral wijzigingen doorvoeren,
want dat is relevant bij het kinderopvangtoeslag-proces.
ROTMAN: Er verandert iets in jouw persoonlijke situatie.
En die... ja, 'moet' is een groot woord.
Het is verstandig om die snel ook door te voeren,
dat voorkomt of vermindert terugbetalingen. Dat wil je niet.
ROTMAN: En dan komt de feedback.
dan zegt een van die gebruikers: o, o, ik ga scheiden.
Wij worden vanaf volgende maand co-ouders.
Wij hebben allebei recht op de helft van de toeslag,
want we hebben allebei de helft van de tijd de kinderen in huis.
Dan moeten jullie denken: o ja, shit, dat is waar ook,
dat moeten we ook regelen in die app dat dat makkelijk veranderd kan worden.
Dat zijn de soort dingen waar je dan tegenaan loopt?
HENDRIKS: Je begint met een basis, zo klein mogelijk.
Vrij snel zie je: oké, wacht even, in het hele proces missen we kleine stapjes.
En hoe gaan we zorgen dat we dat aanvullen?
Tijdens zo'n, ik noem het even pilot,
waarbij we eigenlijk al met een hele beperkte groep in productie actief zijn,
krijgen we ook de feedback: 'oké, daar gaat het nog helemaal lekker.'
'O, ik mis nog dat.' 'Dat is voor mij onduidelijk.'
We gaan natuurlijk filteren, we kunnen niet alles meenemen
en daar maken we een nieuwe versie van en dat is ook gebeurd in dit proces.
Dus er is een nieuwe versie gekomen voordat ie helemaal landelijk ging.
ROTMAN: Dus een bèta-versie en dan komt daarna de definitieve.
HENDRIKS: Komt inderdaad de volledige release. Ja.
En dan stopt het natuurlijk niet, want dat is voor ons dan het startpunt.
ROTMAN: Dan is het een kwestie van bijpunten, je loopt tegen dingen aan.
Ja, ik draai het altijd om. Wat je veel ziet in IT:
wij hebben het opgeleverd, het is klaar, veel succes.
Nee, we hebben opgeleverd en nu begint het pas,
want we maken iets niet om het op te leveren,
we maken iets om het te gebruiken en te evolueren naar een volgende fase.
ROTMAN: Heb jij de mensen in je team... je hebt 55 van die apps lopen.
Heeft iedereen in jouw team dan een pakketje aan apps
waarvan hij of zij dat in de gaten moet blijven houden:
jij bent verantwoordelijk voor dat die informatie binnenkomt
en dat jij aan de bel trekt als we er echt een keertje wat mee moeten?
Is dat een beetje hoe dat dan werkt?
-Niet helemaal.
We houden het in de gaten. Dat doen we eigenlijk allemaal.
ROTMAN: Dat doen jullie met z'n allen.
Wij hebben een programmeur en een tester.
We hebben een architect. Er zijn heel veel mensen in.
Een designer. Er zijn ook best wel veel designers in,
van verschillende soorten.
En iedereen pakt daar wel zijn rol in,
dus het is niet zo dat alleen maar de designer gaat kijken:
hoe doet het design het in de reviews? Nee, iedereen gaat kijken:
oké, wat krijgen we aan feedback terug? Dat is het mooie van het kanaal.
De store reviews zijn openbaar, dus je kan daar alles in zetten.
Wij kunnen er ook veel informatie uit halen.
ROTMAN: Zit je zelf nog achter de tekentafel?
HENDRIKS: Ik zit overal met m'n vingers tussen.
ROTMAN: Een beetje meetekenen, mee ontwerpen.
HENDRIKS: Ja, dat is het mooie van mijn rol dat je inhoudelijk betrokken bent
en afstemt met iedereen binnen het team,
maar ook daarbuiten om te zorgen dat alles met elkaar verbonden is en blijft.
ROTMAN: Wat mij lastig lijkt, de doelgroep is vaak groot en divers.
Heel veel mensen. En je moet eigenlijk een app maken die voor de mensen
die er het minst handig in zijn, dat zij er ook nog mee kunnen werken.
Dus het moet superlaagdrempelig zijn. Supermakkelijk te bedienen.
Terwijl de missie die je erin wil duwen, die is vaak misschien best ingewikkeld.
Het gaat over wetgeving. Dat lijkt me de moeilijkste, de grootste uitdaging.
HENDRIKS: Ja, ja en nee. We worden een beetje geholpen door het medium.
Want het medium is klein. We hebben kleine schermpjes.
Hoewel het natuurlijk al jaren gegroeid is. Het blijft een klein scherm,
dus je wordt ook gedwongen om dingen simpel en klein te maken
en klein te houden. En inmiddels doen we dit nu al vanaf 2012,
dus we hebben echt wel ook heel veel competentie opgebouwd
op het simpel maken van.
-Je wordt daar natuurlijk handig in.
En dan is er nog iets op de achtergrond wat...
In deze serie praat ik ook met mensen van IV
en die vertelden hoe groot de Belastingdienst is.
Het gaat over een miljard euro per dag die er doorheen gaat.
Er zijn in de aangifteperiode miljoenen mensen die letterlijk tegelijkertijd
hun aangifte willen doen. Je hebt vaak systemen,
IT-systemen die misschien al tientallen jaren oud zijn.
Soms worden er aan hele systemen door heel veel mensen
tegelijkertijd gewerkt om updates te realiseren terwijl de winkel open is,
dus de winkel moet open blijven terwijl er verbouwd wordt.
En uiteindelijk moeten al die systemen, denk ik,
op de een of andere manier aan zo'n moderne nieuwe app gekoppeld worden.
Dat lijkt me ook niet altijd makkelijk, want dat moet allemaal samenwerken.
HENDRIKS: Klopt, klopt. Ja ja ja.
Daar zitten wat specifieke eigenschappen aan.
Ook aan dit kanaal. We hebben natuurlijk het geluk
dat een app weer lokaal draait op je telefoon.
Dus niet op de server van de Belastingdienst in dit geval.
Dus dat scheelt wel weer als je kijkt naar capaciteitverdeling.
HENDRIKS: Maar hij moet wel z'n data ergens vandaan halen.
Dat gebeurt natuurlijk veilig vanuit het achterlandschap van de Belastingdienst.
En als het druk is bij de poort, dan wordt het steeds voller en voller
en moeten we zorgen dat we met elkaar dat in goede banen leiden.
ROTMAN: Dat lijkt me ook een creatief proces, een puzzel.
We hebben die systemen die soms oud zijn
en we hebben die splinternieuwe telefoontjes met die rekenkracht en zo.
En daar staat dan die app op. Maar op een of andere manier
moet dat samenwerken met zo'n systeem.
Heb je dan hele slimme jongens en meisjes in dienst die dat kunnen?
Is dat zo'n puzzel dat je af en toe denkt: ik heb geen benul, hoe ik dit moet doen.
In de Kamer besluiten ze nu dat het btw-tarief omhoog moet.
Dat betekent dat achter de schermen veel moet worden aangepast.
Dat gaat niet vanzelf, heb ik inmiddels geleerd.
En dan moet het ook nog eens goed functioneren op die apps van jou.
HENDRIKS: Ook nog, ja, nee, dat klopt. Elk jaar hebben we jaaraanpassingen.
De fiscale jaaraanpassingen.
Het is vaak een puzzel, beginnend met een vraagstuk: dit zouden we willen.
Dan ga je de puzzel uit elkaar trekken en dan ga je kijken:
maar waar halen we dan onze informatie vandaan?
En dan soms kom je erachter dat dat niet in volledigheid kan.
En dan kijken of als het minder volledig is of het nog steeds voldoende is
en dat we het in stapjes doen en waar we dan wel het voordeel...
Deze voorkantoplossing is vaak, hoe moet ik het zeggen...
Als je in de aangifte-app kijkt, die is niet voor iedereen bruikbaar, helaas.
Dat zouden we wel graag willen, maar het is een hele specifieke doelgroep.
Terwijl de online omgeving, online aangifte,
daar moet wel iedereen bij kunnen of die moet wel iedereen kunnen gebruiken.
Dus wij zitten vaak in een deel van het totale pad.
Ook in een deel van de doelgroep.
Daardoor kan je soms makkelijker de zaken voor elkaar krijgen.
Maar het is wel vaak een puzzel.
En belangrijker om te zeggen, we hebben het de hele tijd over apps,
maar net zo belangrijk is het hele achterlandschap.
Zonder achterlandschap, geen informatie in de app.
Wat bedoel je met achterlandschap?
-Alle systemen erachter.
ROTMAN: Alle servers. Ja.
In een van deze afleveringen praat ik ook met Karl Lovink.
Hij is de... de security sheriff noem ik hem maar eventjes
en die zegt: 'het is belangrijk. Ik moet zorgen dat de systemen veilig zijn
en we zijn bezig met ddos-aanvallen. We zijn bezig met ransomware.
We moeten de gebruikers ook misschien een beetje opvoeden, af en toe.'
Maar hij zegt: we moeten ook zorgen, een van mijn taken is ook,
dat we een soort security by design hebben.
Dat is zo'n populaire term security by design.
In een systeem moet het al veilig zijn.
Ik hoop eigenlijk dat dat voor jou natuurlijk ook prioriteit is.
Hoe vlieg je dat aan? Dus die security?
HENDRIKS: Dat doen we op meerdere manieren.
Ten eerste doen we dit al een tijdje en alles wat bij ons...
ja, security by design, zo noemen we dat heel erg populair natuurlijk.
Voor ons is het: security zit daar gewoon in.
Het is gewoon onderdeel van het ontwerp inderdaad, van het design.
Ik wou bijna zeggen, in andere termen, het is een hygiënefactor geworden.
Weet je, wij denken daar niet over na. Het zit er gewoon in.
Daarvoor hebben we in het verleden, en dat doen we nog weleens,
maar zeker in het verleden hebben we gebruikgemaakt van expertise
uit academisch Nederland.
We hebben met de Radboud Universiteit een paar keer gezeten om te zorgen
dat onze basisontwerpen qua security gewoon kloppend zijn.
Dat er niks tussen kan komen, om zo te zeggen,
en daarnaast elke toepassing die we maken, intern of extern,
die wordt altijd onderworpen aan een securitytest.
ROTMAN: Worden er ethische hackers ingezet?
'Ga maar kijken of je er gaten in kan schieten.'
HENDRIKS: Er worden bedrijven buiten de Belastingdienst aangetrokken
om te kijken van: hebben wij het goed gedaan?
In het begin werd er nog wat gevonden.
Naarmate de tijd vordert, zie je dat het minder wordt,
omdat wij er steeds...
-De bètaversie wordt steeds beter.
HENDRIKS: Hij wordt steeds beter, omdat we dingen die we vinden,
meenemen in onze basisapplicatie als het ware.
ROTMAN: Hetzelfde geldt voor de privacymaatregelen.
HENDRIKS: Privacy idem dito. Privacy is wat ons betreft heel simpel.
Alles wat wij verzamelen, is altijd anoniem.
Of het moet functioneel...
Een aangifte, als je informatie instuurt is dat natuurlijk niet anoniem.
Die informatie is van jou.
Als we gegevens daaromheen verzamelen, is het anoniem.
We zorgen dat gegevens die opgeslagen worden
zo opgeslagen worden dat die niet hackbaar zijn.
ROTMAN: Als jij met jouw crew in een café zit
en de beentjes zijn op tafel en er zit een biertje bij,
en jullie gaan een beetje brainstormen over de toekomst.
Misschien heb je er geen biertje bij nodig,
maar in ieder geval, wat is dan jullie einddoel?
Wat is in jullie wildste fantasieën de ultieme Belastingdienst-app?
Creatievelingen bij elkaar zijn natuurlijk altijd bezig: hoe kan het beter?
HENDRIKS: De ultieme app is een app
waar je een zo groot mogelijke doelgroep mee kan bedienen,
maar wel binnen de perken. Dus de ultieme app wordt niet van:
we gaan alles van de Belastingdienst in één app stoppen.
Absoluut niet. Die dingen die belangrijk zijn, die je veel als burger of bedrijf
het zou heel tof zijn als we die kunnen verappen.
Met name die dingen die zich heel erg goed lenen in het spel van:
hé, ik heb iets dicht bij me, dat gebruik ik wat vaker
en ik vind het wel heel fijn om daar af en toe een update van te krijgen.
Oftewel daarover genotificeerd te worden.
Dat is de echte kracht van het platform.
ROTMAN: Ik ben een gebruiker en ik ben ondernemer,
dus ik heb met de Belastingdienst te maken.
Elke drie maanden m'n btw, ik moet m'n aangifte doen.
Ik heb een kind, dus ik heb met toeslagen te maken.
Ik heb op verschillende manieren met de Belastingdienst te maken.
Het zou wel handig zijn als ik één Belastingdienst-app heb
en dat iedereen z'n eigen Belastingdienst-app heeft.
Dat je binnen de app de functionaliteiten die voor jou van toepassing zijn,
dat je die eronder kan hangen.
Zoiets? Is dat een beetje de ultieme Belastingdienst-app?
HENDRIKS: Zo zou je 'm kunnen schetsen inderdaad.
Dat zal in stapjes gaan.
Dat is absoluut niet iets wat vandaag of morgen geregeld is,
maar met name toegespitst op datgene wat iets toevoegt voor de gebruiker
en datgene wat iets toevoegt in het proces.
Het hoeft niet altijd direct het gevoel te hebben: het voegt nu iets voor mij toe.
Maar uiteindelijk wil je voorkomen dat je met elkaar
vervelende brieven gaat uitwisselen of dat je nog een keer moet bellen.
Dat het je gemakkelijk gemaakt wordt.
Eén ding: veel mensen vinden belasting-taal niet leuk.
Ze vinden belasting terugkrijgen wel leuk, maar het hoort er wel bij.
ROTMAN: Security by design, privacy by design.
Kan ik zeggen dat jullie een menselijke maat by design hebben?
Dat jullie dat proberen erin te beuken? Denk aan die eindgebruiker.
HENDRIKS: Nou, dat is wel ons motto inderdaad: zet die gebruiker centraal.
Ga daaromheen kijken wat je kan regelen, wat je geeft,
maar wat je ook als het ware terugkrijgt.
De wederkerigheid opzoeken van elkaar en daar kom je dus echt heel ver mee.
Dat hebben we al laten zien met diverse apps.
ROTMAN: Maar dat klinkt voor mij natuurlijk volstrekt vanzelfsprekend.
Dat is toch wat je doet? Weet je wel?
Deze podcast wordt veel beluisterd door ambtenaren in de brede zin van 't woord,
dus in alle lagen van de ambtenarij.
Iedereen vindt natuurlijk van zichzelf dat ie de burger voorop heeft staan.
Maar wat kunnen we nou specifiek van jullie manier van werken leren?
Dat je denkt: ja, maar jongens, dit is het ook. Heb je nog wat...
HENDRIKS: Ja, ik heb daar een mooi voorbeeld van.
Er zijn natuurlijk een hoop bedrijven die zeggen dat ze dat doen.
Wij zeggen dat nu ook. Mooi verhaal, Martijn.
Het klinkt heel goed en als je naar de store kijkt
en je kijkt naar de ratings van de app, zegt dat ook wat.
Dus dat ziet er ook goed uit.
Maar wat mij wel heel duidelijk geworden is afgelopen tijd,
is hoe we het met elkaar doen en wat wij eigenlijk of blijkbaar normaal vinden,
dat dat eigenlijk niet normaal is. Om een voorbeeld te geven:
We hebben het heel vaak over digitale inclusie,
dat iedereen het kan en iedereen er ook bij kan. Dat is soms heel moeilijk.
Want je hebt natuurlijk, zeker met telefoons, smartphones...
dat verloop is groot en ze worden niet allemaal ondersteund,
dus je moet keuzes maken qua security of je wel of niet de versie ondersteunt.
Dat zijn best lastige afwegingen.
Maar het komt ook voor dat versies prima ondersteund worden,
maar dat een bepaalde groep een klein groepje,
het gaat vaak niet om grote groepen,
maar een groepje toch tegen problemen aan loopt in een bepaalde app.
We komen er niet achter. We hebben twee kluizen.
Een kluis voor Android-toestellen en een kluis voor iOS-toestellen.
Daar halen we een toestel uit en gaan proberen om dat na te spelen.
Dat lukt niet en dat blijft dan bij ons hangen.
Dat lukt ons niet en we willen het wel.
Af en toe horen we 'm toch weer of zien we toch weer langskomen.
Dan stap je in de auto en rij je erheen?
-Dan stapt een teamlid in de auto.
Die maakt een afspraak met, in dit geval vaak 'n burger: mogen wij langskomen?
Dat vinden ze vaak hartstikke leuk.
Ja, het is dan wel frappant dat het meestal in Limburg of in Friesland is.
ROTMAN: Dat zul je net zien. Dat is een end rijden.
HENDRIKS: Dan spreken we af, gaan we echt om de keukentafel zitten.
Vooral voor corona ging het heel makkelijk. Nu is het wel wat lastiger.
ROTMAN: Je moet ook voorzichtig blijven.
HENDRIKS: Met elkaar om tafel zitten.
En vaak zie je dat je met een paar stappen...
O, wacht even, is dat aangezet? Oe, dat wisten wij niet.
Dan kunnen we dat mee terug nemen.
Dan weten we: daar kunnen we een check op doen,
we kunnen eventueel de gebruiker die dat aan heeft staan erop attenderen.
Dan kunnen we een grotere groep helpen om digitaal zaken te doen.
ROTMAN: Dan is eigenlijk jouw tip voor jouw collega's in de ambtenarij:
jongens, als je de eindgebruiker serieus wil nemen, moet je echt all in gaan
en desnoods stap je in de auto en zoek je ze op en ga je erheen.
HENDRIKS: Klopt, daar wil ik aan toevoegen:
als je de eindgebruiker serieus neemt, betekent dat ook wat voor je business.
Ik denk dat als je die stap en die connectie maakt,
je echt een paar stappen weer verder komt in het hele proces.
ROTMAN: Ik ben benieuwd
wanneer die grote allesomvattende Belastingdienst-app komt.
Ik ben benieuwd. Martijn Hendriks,
appcoördinator bij Mobile Competence Center bij de Belastingdienst.
Dank je voor je verhaal. Heel veel succes met je mooie werk.
Luister ook de andere afleveringen van Tax Talk terug
en doe dat via www.it-academieoverheid.nl.
Tot de volgende keer.

LEVENDIGE MUZIEK EINDIGT