Grote kwetsbaarheid Rijk bij uitval ict-dienstverlening

Nederland begin 2024 ternauwernood aan ramp ontsnapt De rijksoverheid is ernstig kwetsbaar voor acute en langdurige uitval van ict-dienstverlening.  Onvoldoende is de bescherming als zo’n leverancier omvalt of in zware financiële problemen komt. De grote afhankelijkheid van een beperkt aantal ict-partijen vergroot het risico op maatschappelijke ontwrichting. Dat blijkt uit het rapport ‘Van kwetsbaar naar weerbaar’ van AbdtopConsult. Opdrachtgever voor het onderzoek was het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (BZK). Uit de studie spreekt de nodige urgentie: het is vijf voor twaalf. Grootschalige uitval is geen theorie. Het ging begin 2024 bijna goed mis, aldus het rapport.  De sterk verslechterde financiële situatie van een grote ict-leverancier (hoogstwaarschijnlijk Atos, al bestonden er ook grote zorgen over Centric) had tot een landelijke crisissituatie kunnen uitgroeien. Onherstelbare uitval Bij een ongecontroleerd faillissement van deze dienstverlener had dit, ook door concentratie-risico’s bij deze leverancier, tot acute, langdurige en mogelijk onherstelbare uitval van kritieke ict-dienstverlening van veel bedrijven en overheden kunnen leiden. Met verstoring van dienstverlening aan burgers en bedrijven en daardoor mogelijk maatschappelijke ontwrichting als gevolg. Dit zou daarna nog jarenlange effecten kunnen hebben op de digitalisering van bedrijven en overheden. Kortom, we zijn door het oog van de naald gekropen. Digitale monocultuur Een ander risico is de grote concentratie. De afhankelijkheid van een klein aantal ict-leveranciers is groot. AbdtopConsult noemt het gevaar van een ‘digitale monocultuur’, waarin vele organisaties afhankelijk zijn van een klein aantal aanbieders. Het rapport wijst op de vele bedrijven en overheden die hun ict onderbrengen bij Amerikaanse ‘hyperscalers’ zoals Microsoft, Amazon en Google. Volgens het rapport nemen de risico’s van acute uitval van ict-dienstverlening toe. Grote incidenten waren de uitval bij de TU Eindhoven (2025), het Nafin-netwerk (2024), Crowdstrike (2024), Citrix (2020) en DigiNotar (2011). Competence Centre De onderzoekers constateren dat de overheid slechts beperkte kennis en expertise van acute risico’s heeft. Ook de kennisdeling schiet tekort. Daarom wordt een ‘Competence Centre’ voor it-sourcing aanbevolen. Het sourcingbeleid dat al dertien jaar oud is, moet worden vernieuwd. Bij het actualiseren van de rijksbrede it-sourcing-strategie dient een expliciete risicoafweging centraal te staan. Centrale monitoring is nodig voor het proactief volgen van leveranciers en marktontwikkelingen. Dit om tijdig te kunnen ingrijpen bij dreigende acute en langdurige uitval van ict-diensten. Aanbevolen wordt deze vervolgacties naast de Nederlandse digitaliseringsstrategie (NDS) op te pakken, stelt AbdtopConsult. Voorbeelden van ernstige contractuele blundersUit een eerdere analyse, die in het rapport van AbdtopConsult is opgenomen, blijkt hoe slecht de contracten van sommige overheden in elkaar steken. Daardoor waren continuïteitsrisico’s bij acute en langdurige uitval niet effectief afgedekt.• In een belangrijk overheidscontract was niet duidelijk geregeld wie de eigenaar is van de software;• Bij een overheidsorganisatie die de computers in een eigen datacentrum had staan, waren de toegangsrechten niet geregeld in de situatie dat de leverancier zou wegvallen;• Bij diverse contracten was niet duidelijk waar vandaan de dienstverlening door welke afdeling van de leverancier geleverd werd. Wereldwijd inzicht in de leveringsketens ontbrak;• Bij een grote overheidsorganisatie was de uitbestede ict-oplossing onderdeel van een eigen leveranciersoplossing (‘proprietary’), waardoor het overbrengen naar een andere partij vrijwel onmogelijk zou zijn;• In geen van de onderzochte contracten waren ‘step-in-rechten’ geregeld waarmee in geval van een calamiteit de dienstverlening door de eigen organisatie of een derde ict-dienstverlener overgenomen zouden kunnen worden;• Bij de geïnterviewde overheidsorganisaties is afgelopen maanden geprobeerd op basis van bestaande terugvalopties te testen of dat zou werken. Geen van die testen is succesvol gebleken (escrow, uitwijkmogelijkheden, fail-over testing, etcetera).