NRC: Belastingdienst logt niet welke informatie medewerkers opvragen

De Nederlandse Belastingdienst kan niet achterhalen welke informatie medewerkers opvragen. Dat melden anonieme bronnen aan NRC. Volgens het dagblad compliceert dat onderzoeken naar corruptie binnen de fiscus.

Volgens NRC is het 'technisch onmogelijk' om bij te houden welke informatie door de medewerkers van de Belastingdienst wordt opgezocht. De fiscus zou 'meer dan 900' verschillende systemen gebruiken. Meestal zijn die niet aan elkaar gekoppeld. Hierdoor is het vaak onduidelijk welke gegevens via medewerkers van de fiscus terecht zijn gekomen bij criminelen, meldt de krant.

Het probleem met de systemen van de Belastingdienst kwam aan het licht tijdens een strafrechtelijk onderzoek naar een belastingambtenaar die wordt verdacht van corruptie, witwassen en het schenden van de geheimhoudingsplicht. Tijdens dat onderzoek is gebleken dat van heel vorig jaar geen loggegevens beschikbaar zijn van de zoekopdrachten van Belastingdienst-medewerkers. In de woning van de verdachte is 920.000 euro contant geld aangetroffen. Justitie probeerde vast te stellen of dat geld is verdiend met het verstrekken van gegevens aan criminelen, maar dat was niet mogelijk vanwege het gebrek aan loggegevens.

De Belastingdienst bevestigt in een reactie aan NRC dat het inderdaad lastig is om handelingen van medewerkers te achterhalen. De fiscus stelt dat er wel 'goed onderzoek' kan worden uitgevoerd bij integriteitsproblemen, omdat de Belastingdienst wel 'kan vaststellen tot welk soort informatie een verdachte medewerker toegang heeft gehad'. Volgens NRC werken er in totaal 25.000 mensen bij de Belastingdienst, waarvan er 10.000 toegang hebben tot gegevens van burgers of bedrijven.

De Belastingdienst beschikt over gegevens van iedereen die in Nederland belasting betaalt of een toeslag krijgt. De database van de fiscus is daarnaast gekoppeld aan bestanden van onder meer de Rijksdienst voor het Wegverkeer. Deze informatie kan interessant zijn voor criminelen. In een onderzoek naar de uitbraakpoging van Ridouan T. uit de EBI in Vught was bijvoorbeeld het vermoeden dat er contact was met iemand binnen de Belastingdienst, mogelijk om de adresgegevens van vier bewakers op te zoeken. Dat kan volgens NRC niet bevestigd worden vanwege het gebrek aan logging.

IT-banen

Reacties (248)

248

244

122

Wijzig sortering

Keyb 10 oktober 2022 09:51

Wat een lulkoek weer "Volgens NRC is het 'technisch onmogelijk' om bij te houden welke informatie door de medewerkers van de Belastingdienst wordt opgezocht. De fiscus zou 'meer dan 900' verschillende systemen gebruiken."

Het feit dat je meer dan 900 verschillende systemen gebruikt kies je zelf voor. Je hebt er jaren over gedaan om die systemen in te richten. Dan ga je nu beginnen met het inrichten van audit trails.

En anders zou de overheid een simpele regel kunnen stellen. Als er geen audit functionaliteit beschikbaar is in een systeem kan je het niet gebruiken. Geef ze een paar jaar voor de overstap en klaar.

Jan-Will3m @Keyb • 10 oktober 2022 10:35

De Belastingdienst heeft een intranet publicatie gedaan hierover voor de medewerkers.

Belastingdienst reageert op publicatie NRC over het loggen van gegevens

NRC publiceerde zondagavond 9 oktober 2022 een artikel waarin staat dat het voor de Belastingdienst technisch niet mogelijk is om voor iedereen die bij de Belastingdienst werkt, bij te houden welke informatie ze opzoeken. Het gebrek aan deze loggegevens leidt volgens de krant tot zorgen in de opsporing. Dat is zorgelijk, omdat de informatiepositie van de Belastingdienst van grote waarde is voor criminelen. Tineke Bijl, Directeur Concerndirectie IV&Databeheersing (IV&D), reageert in dit artikel op de publicatie in NRC.

NRC schrijft dat de zorgen over de systemen zijn ontstaan naar aanleiding van een strafrechtelijk onderzoek naar een medewerker van de Belastingdienst, die in juli van dit jaar werd aangehouden. Tijdens het onderzoek is gebleken dat er in 2021 geen loggegevens beschikbaar zijn van zoekopdrachten die de medewerkers van de dienst hebben gedaan.

In het artikel legt de krant verder een verband tussen deze zaak en een onderzoek naar de uitbraakpoging van Ridouan Taghi uit de Extra Beveiligde Inrichting (EBI) in Vught. Volgens de politie wilde Taghi via een contact bij de Belastingdienst de adresgegevens zoeken van 4 bewakers van de EBI, die mogelijk moesten worden bedreigd of gegijzeld voor die uitbraakpoging. Het is nu niet vast te stellen of de adresgegevens van deze bewakers in 2021 ook daadwerkelijk zijn bevraagd, omdat het logsysteem van de Belastingdienst dat niet bijhoudt.

Hoe komt het NRC aan deze informatie?
De journalisten spraken eind september met inhoudelijk deskundige collega’s over ‘hoe de Belastingdienst omgaat met ambtelijke corruptie/ondermijning’. Daarin is toegelicht hoe we voorkomen dat collega’s systemen misbruiken. Naarmate het gesprek vorderde stelde de journalisten specifiekere vragen over het onderzoek dat ze deden naar Ridouan Taghi. Op vragen over het strafrechtelijk onderzoek konden we echter niet antwoorden. Om inzicht te krijgen in de wijze van loggen spraken de journalisten met Tineke Bijl, directeur IV&D, en Marco Peter Baas, plaatsvervangend Chief Information Security Officer (CISO).

Tineke: “We hebben veel uitgelegd en niet alles is in het artikel opgenomen. Bijvoorbeeld dat de Belastingdienst in veel gevallen wel logt, maar dat dat niet gebeurt ten behoeve van het 'controleren' van medewerkers – de hoek waar de journalisten in zoeken. Daarnaast hebben we binnen de Belastingdienst verschillende andere manieren om zoveel mogelijk te voorkomen dat kwaadwillenden systemen kunnen misbruiken. Enkele voorbeelden hiervan zijn ons aannamebeleid, een screening met VOG en soms met een AIVD-onderzoek voor vertrouwensfuncties. En daarnaast is van belang dat we zorgen voor functiescheiding en tweetrapsautorisatie waar nodig.”

Klopt het dat de Belastingdienst niet kan nagaan welke medewerker welke informatie heeft opgezocht?
“Deels klopt dat. We loggen weliswaar veel applicaties, zo wordt bijvoorbeeld de mutatie van gegevens wel gelogd. Maar we loggen niet alle raadplegingen bij alle systemen. Bij veel systemen die al lang bestaan is het loggen van raadplegingen niet in het ontwerp meegenomen. Ze zijn primair ontwikkeld om fiscale wetgeving uit te voeren, niet om dit soort informatie vast te leggen. Voor nieuwe systemen wordt in het ontwerp en toekenning van rechten uitgegaan van ‘need to know’ voor toegang tot informatie.”

Wat doen we wel om misbruik tegen te gaan?
“Een belangrijk mechanisme zijn alle maatregelen voor autorisatiebeheer en functiescheiding. Hierdoor is vastgesteld welke systemen en gegevens een collega in een bepaalde functie mag raadplegen of aanpassen. Zo zijn er aanzienlijk minder collega’s bevoegd om gegevens te muteren dan te raadplegen. En wordt bij risicovolle mutaties het vier-ogenprincipe toegepast. Daarnaast moet iedereen bij indiensttreding over een VOG beschikken, hebben we onder andere de ambtseed, een integriteitscursus en de verplichting om een vermoeden van integriteitsschending te melden. Collega’s die op een vertrouwensfunctie gaan werken worden bovendien eerst aan een aanvullend veiligheidsonderzoek onderworpen.”

Hoe nu verder?
“Concreet zijn er naar aanleiding van de NRC-publicatie nog geen nieuwe maatregelen genomen. Daarvoor is het ook nog te kort dag. Maar recent hebben we bijvoorbeeld wel een actualisatie uitgevoerd van rollen en rechten. Daarnaast werken we continu aan oplossingen om nog beter te kunnen waarborgen dat de collega’s alleen toegang hebben tot de gegevens die zij voor hun werk nodig hebben. Daarvoor zijn verschillende nieuwe technische hulpmiddelen in beeld.

Tot slot wil ik nog aangeven dat de beveiliging nooit helemaal waterdicht zal zijn. Medewerkers van de Belastingdienst hebben voor het uitvoeren van hun functie toegang tot informatie. Helaas kan die informatie, wanneer zij het criminele pad (willen) bewandelen of door de onderwereld onder druk gezet worden, voor andere doeleinden gebruikt worden. Dat is nooit helemaal te voorkomen.

In de basis zijn we een organisatie die werkt vanuit vertrouwen waar het de integriteit van onze collega’s betreft en waar zorgvuldig wordt omgegaan met de informatie van belastingplichtigen. En dat vind ik een groot goed.”

locke960 @Jan-Will3m • 10 oktober 2022 13:41

In de basis zijn we een organisatie die werkt vanuit vertrouwen waar het de integriteit van onze collega’s betreft en waar zorgvuldig wordt omgegaan met de informatie van belastingplichtigen. En dat vind ik een groot goed.”

Dit is nog het ergste. Dit is feitelijk een ontkenning van het probleem.

Het is nog te begrijpen dat er oude systemen zijn zonder auditing functies, maar het is deze ontkennende houding die er voor zorgt dat er niets aan gedaan wordt.

Er bestaan geen organisaties van 25.000 mensen zonder rotte appels in de mand.

B64

@locke960 • 10 oktober 2022 19:31

Dit is een bericht naar het personeel, daarin gaan ze natuurlijk niet schrijven dat ze alle personeelsleden in principe wantrouwen. Maar dat betekent toch niet dat de organisatie er niet van doordrongen is dat er rotte appels tussen zitten, waar maatregelen voor genomen worden? En dat personeel snapt dat heus wel hoor.

Superstoned @B64 • 11 oktober 2022 18:11

Daarbij werkt elke organisatie zo - als je elkaar niet kan vertrouwen kun je het wel opgeven, zo kun je geen elke organisatie runnen. Tenminste niet als je iets ingewikkelds doet…

n4m3l355 @locke960 • 10 oktober 2022 14:36

Het is toch wereldvreemd dat men uberhaubt zo'n stelling maakt juist ten tijde wanneer men zelf onderzoek doet naar fraude van een collega, dat is niet de eerste en zeker niet de laatste.

En hoewel het begrijpelijk is dat verouderde systemen misschien niet voldoen, tegelijkertijd is het toch ook weer raar dat dit soort systemen in gebruik blijven? Dat is toch een enorm risico wat keer op keer aangetoond wordt?

Uiteindelijk zien we hier een ambtenaar die weer een halfbakken reactie geeft wat eigenlijk niet eens een antwoord is. Immers hoeveel systemen worden dan niet fatsoenlijk gelogt? Men geeft aan "een aantal", is een aantal 890 systemen? En die resterende systemen die wel worden gelogd, blijven die gegevens langdurig opgeslagen?

Ik vind het raar dat ondanks dat "de overheid" die zo groot is, blijkbaar nergens over nadenkt, blijkbaar geen standaard SOP heeft mbt dat bijvoorbeeld data-loggen en blijkbaar ook maar mag aanmodderen.

Tintel

Economie en maatschappij
Politiek en recht

@n4m3l355 • 10 oktober 2022 15:14

Conclusie:
Ze controleren liever burgers dan elkaar... Hun doel is zoveel mogelijk binnenhalen en als daar wat slachtoffers bij vallen is dat bijkomende schade.

En het excuus; we hebben het al zo druk is ook niet acceptabel.

Het past bij hun slogan "Makkelijker kunnen we het niet maken [om uw gegevens te grabbel te gooien]".

KroeT @locke960 • 11 oktober 2022 09:50

Volkomen normaal in communicatie naar de eigen medewerkers. We vertrouwen jullie, jullie zijn allemaal goede mensen. In de basis. Dus: in principe. Als je in de communicatie naar 25k medewerkers een toon van wantrouwen hanteert dan richt je veel meer schade aan dan wanneer je zegt dat je iedereen in principe vertrouwt én dat er op plekken waar dat mogelijk is gewoon controlemogelijkheden zijn.

RogerWilco2 @locke960 • 14 oktober 2022 16:08

Er was een interessante podcast van NCR Vandaag over dit onderwerp.

Een belangrijk punt dat daar gemaakt werd is dat de Belastingdienst er op is ingesteld om te voorkomen dat er geld naar de verkeerde of onterecht overgemaakt wordt. De hele organisatie heeft niet het besef hoe interessant hun informatie om andere redenen voor criminelen kan zijn, en is daar dus niet op ingericht.

De politie schijnt dit veel beter te doen, dus het kán wel.

Keyb @Jan-Will3m • 10 oktober 2022 10:44

Ik kan geen +2 geven, maar duidelijk verhaal.

Ik denk dat een groot deel van de NRC stelling op dit stukje slaat:

We loggen weliswaar veel applicaties, zo wordt bijvoorbeeld de mutatie van gegevens wel gelogd. Maar we loggen niet alle raadplegingen bij alle systemen.

Imo zouden ze dat wel moeten doen. Normaalgesproken ben ik het ook wel eens met de stelling :

Enkele voorbeelden hiervan zijn ons aannamebeleid, een screening met VOG en soms met een AIVD-onderzoek voor vertrouwensfuncties.

Alleen is dat gezien dit nieuws imo niet meer afdoende.

RobertPeterson @Keyb • 10 oktober 2022 11:50

Vaak is een VOG geen afdoende onderzoek, in mijn mening tenminste. De grootste fout die gemaakt kan worden is iedereen vertrouwen die nog nooit gepakt is. een VOG doet niet veel meer dan een database raadplegen om te zien of je ook misdrijven hebt gepleegd en hiervoor veroordeeld bent geweest. Persoonsgegevens of bijvoorbeeld notities van vorige werknemers worden niet gedeeld want ja AVG.

Dit zie je helaas ook vaak in de (jeugd)zorg, wanneer er weer iets verschrikkelijks gebeurd tussen een cliënt en werknemer. De werknemer is gescreend maar er is niks gevonden. Bij de vorige werkgever waren er wel al aanwijzingen maar die mogen niet gedeeld worden.

Pas wanneer er wordt overgegaan tot een veroordeling, wat vaak lastig is, zo ook in deze zaak. Wordt het advies van een VOG aangepast.

debom @RobertPeterson • 10 oktober 2022 14:55

Sterker nog. Een VOG kan worden aangevochten. Zo las ik laatst een blog van een advocaat waar een conciërge geen VOG kreeg voor werken op een school, omdat hij in het verleden veroordeeld was voor het bezit van kinderporno. Maar tijdens het aanvechten van de VOG gesteld werd dat hij niet in direct contact stond met kinderen. En voilà, meneer kreeg een VOG van de rechter.

RobertPeterson @debom • 11 oktober 2022 00:20

Gadver, hoe kun je hier in mee gaan als rechter? Maar het bewijst maar weer dat de VOG schijnveiligheid geeft. Mocht de conciërge zich ooit weer misdragen kan de school zeggen: Wij hebben er alles aan gedaan.

In de jeugdzorg is het bijvoorbeeld verplicht. Het is dus ook nog eens een miljoenenbusiness. Ik geloof zo’n 45 euro per VOG.

jhnddy @debom • 11 oktober 2022 07:29

En terecht! Die persoon in kwestie heeft zijn straf al uitgezeten, en mag dus weer volledig deelnemen aan de maatschappij. Om de omgeving te beschermen, mag hij geen nieuwe functie meer krijgen op functies waar hij zijn vroegere misdaden kan herhalen.

Als hij conciërge wordt op een school voor volwassen, zie ik niet in waarom hij geen VOG zou krijgen.

TheVivaldi @RobertPeterson • 10 oktober 2022 11:57

Dat is inderdaad een groot probleem. Als jij bijvoorbeeld 3 mensen vermoordt, maar je wordt nooit gepakt en ook niet als de moordenaar herkend/aangemerkt, dan krijg je gewoon een VOG. Ze weten immers niet dat jíj de moordenaar was.

Ik vind dus ook dat die VOG maar beperkt helpt. Het is beter dan niks, maar het is niet afdoende.

[Reactie gewijzigd door TheVivaldi op 23 juli 2024 12:38]

Jeroen73 @TheVivaldi • 10 oktober 2022 12:21

Maar wat is dan het alternatief? Niemand meer een VOG tenzij je kunt aantonen dat je niemand vermoord hebt? Bewijzen dat je iets niet hebt gedaan grenst aan het onmogelijke...

Soldaatje @Jeroen73 • 10 oktober 2022 13:22

Een VGB is een alternatief, maar daar komt wel meer werk bij kijken. Dat zal minder snel worden ingezet bij lagere functies.

jDuke @Soldaatje • 10 oktober 2022 14:02

Ik heb ook voor een functie zo'n hele screening gehad. Dat ging redelijk ver incl. interview om te kijken wat je zegt ook klopt met wat men weet over je en kijken hoe chantabel je bent. Maar het blijft een moment opname. Het gevaar is als iemand een zak geld aangeboden krijgt voor wat geld (of erger, gechanteerd wordt) uiteindelijk knakt iedereen wel op een bepaald moment. Daarom is het zeker belangrijk om te zien wie wat heeft geraadpleegd, want ja zoals in deze situatie dat het zelfs voor de rechter komt moet je het wel kunnen bewijzen.

Argantonis @Jeroen73 • 10 oktober 2022 13:20

Met een VOG is niks mis, maar het is gewoon niet dekkend. Je moet bij gevoelige informatie kunnen zien wie die informatie heeft opgehaald, én toegang limiteren tot wie die informatie ook daadwerkelijk nodig heeft. Je gaat nooit alles ontdekken maar nu is het wel héél makkelijk om met van alles weg te komen daar.

RobertPeterson @Jeroen73 • 10 oktober 2022 16:57

Ik denk dat @TheVivaldi en ik bedoelen dat een VOG een schijnveiligheid geeft. Zo ook in dit artikel wordt er aan gerefereerd. Het maakt een illusie dat, vaak aan overheid gelieerde bedrijven, veel doen aan hun screenings procedures. Terwijl ze zelf qua screening bar weinig doen. Ze vragen een formuliertje op uit een data base.

Wanneer er dan iets gebeurd is het wel het eerste wat ze benoemen. Ja maar we maken gebruik van een VOG dus we hadden niet kunnen weten!

RogerWilco2 @TheVivaldi • 14 oktober 2022 16:10

En heet probleem is dat mensen vaak benaderd worden door criminelen als ze als ergens werken. Die zijn goed in het vinden van de zwakke schakels in een systeem.

En de belastingdienst is voor criminelen een hele goede bron van informatie voor het bedreigen van mensen.

Klaus_1250 @RobertPeterson • 10 oktober 2022 14:44

Sowieso zegt een VOG weinig over wat je allemaal hebt uitgespookt. Het is functie-gerelateerd, dus je kan nog steeds een VOG krijgen terwijl je van alles op je kerfstok hebt (strafblad). Men kijkt dat naar de gepleegde feiten, omstandigheden, etc en hoe dit in verhouding staan tot de functie die je gaat uitvoeren.
Een VOG is ook nog eens niet internationaal / europeees.

Waarde van een VOG is laag - je sluit alleen mensen met een risico/geen VOG uit.

Jan-Will3m @Keyb • 10 oktober 2022 12:17

Ik denk, en dat weet ik niet helemaal zeker, dat de kern van het probleem zich bevindt bij het mainframe van de Belastingdienst. Deze is er al sinds de jaren 70 of 80. Het schijnt zo te zijn dat dingen toen niet goed zijn gedocumenteerd. Het werkt, maar niemand weet meer hoe.
En vrijwel al die 900 applicaties zijn daaraan gekoppeld. De nieuwe applicaties zijn in orde denk ik want dit is meegenomen in het ontwerp.
In de reactie staat ook ""Bij veel systemen die al lang bestaan is het loggen van raadplegingen niet in het ontwerp meegenomen. ""
En dan praten we over NAW gegevens, dingen die ook in de GBA staan en waar Taghi in was geïnteresseerd.

Sluuut @Jan-Will3m • 10 oktober 2022 13:02

Zo’n oud mainframe is toch compleet onafhankelijk van nieuwe applicaties, ik ga er vanuit dat die als SaaS worden afgenomen en gekoppeld zijn als diensten zoals Azure.

Natuurlijk zijn er legacy apps die niet makkelijk te migreren zijn, of nog jaren online moeten blijven wegens oude gegevens raadplegen. Maar we mogen toch hopen en verwachten dat ze niet stilzitten bij de belastingdienst..

MSalters

Economie en maatschappij
Politiek en recht

@Sluuut • 10 oktober 2022 14:48

Azure? Zeer gevoelige persoonsgegevens wil jij hosten bij een bedrijf want niet aan de GDPR kán voldoen?

De overheid lijkt me nou typisch een geval waar je een private cloud wil hebben: genoeg interne systemen om de cloud-overhead te rechtvaardigen, en genoeg gevoelige data om het niet uit te besteden.

Sluuut @MSalters • 10 oktober 2022 21:42

Sinds wanneer is data in Azure hosten niet GDPR compliant? Als je als hosting gewoon EU (Ierland) kiest dan is dat toch gewoon compliant?

RobertPeterson @MSalters • 11 oktober 2022 00:23

Azure heeft ook gewoon grote servers in middenmeer. Zeker wel compliant dus

Superstoned @RobertPeterson • 11 oktober 2022 18:16

Het blijft een buitenlands (Amerikaans) bedrijf wat toegang tot en controle over de servers heeft. Dus totaal niet GDPR compliant. Wat ze beloven doet er niet toe - realiteit is dat een Amerikaanse rechter de eigenaar (Microsoft) simpelweg kan bevelen data te overhandigen. Om de Nederlandse belastingdienst onder controle te brengen van Amerikaans recht is totaal bezopen…

RobertPeterson @Superstoned • 11 oktober 2022 19:13

Het blijft een buitenlands (Amerikaans) bedrijf wat toegang tot en controle over de servers heeft. Dus totaal niet GDPR compliant.

Ik denk echt dat je de wetgeving eens moet lezen. Dat jij het bezopen vind, prima. Maar het is overeenstemming met de wet.

Superstoned @RobertPeterson • 16 oktober 2022 10:51

De wet is duidelijk, en rechters hebben zich er ook al over uitgesproken:
* https://noyb.eu/en/cjeu

En een aantal overheden hebben zich hier al bij neergelegd, al zijn veel andere nog met hun kop in het zand:
* Duitsland: https://www.heise.de/news...-unzulaessig-4466156.html en https://www.baden-wuertte...keiten-der-kommunikation/
* Zweden: https://www.dn.se/debatt/...-av-it-tjanster-i-molnet/

etc

Het feit dat iedereen in Nederland dit negeert maakt het nog niet legaal.

[Reactie gewijzigd door Superstoned op 23 juli 2024 12:38]

RobertPeterson @Superstoned • 16 oktober 2022 12:38

Duidelijk verhaal ja! Ik had niet aan de surveillance wet van Amerika gedacht. Alleen aan de opslaglocatie.

Bedankt voor je uitgebreide en geduldige reactie. Ik kwam toch wat bot uit de hoek in mijn vorige reactie.

Superstoned @RobertPeterson • 16 oktober 2022 14:23

Pleasure. Ja, de CLOUD act was seen problem, en we gaan zien of de EU en VS iets af weten te spreken wat wel acceptabel is voor de ECJ. Ik heb er twijfels over daar rechters er niet van houden om nee te horen en dus zal het niet meevallen voor MS om een rechter in, zeg, New York, geen toegang te geven tot data uit Europa.

BrennuS

@Sluuut • 10 oktober 2022 15:50

Het nieuwe rijkscloudbeleid staat sowieso niet toe dat basisregisters in de cloud worden gehost.

https://www.rijksoverheid...jksbreed-cloudbeleid-2022

"gelukkig" blijft de overheid daar dus zelf verantwoordelijk voor de hosting, inclusief eventuele nadelen.

Sluuut @BrennuS • 10 oktober 2022 21:41

Zoals ik het lees (bedankt voor de link) kan data wél in de cloud worden gehost, op kroonjuwelen en ministerie van defensie data na?

BrennuS

@Sluuut • 10 oktober 2022 21:47

Maar de 10 basisregisters zijn de kroonjuwelen

Een gewoon register / databestand mag dan weer wel onder voorwaarden.

Edit: dit is nieuw beleid dus er komt een grace periode waarin de huidige situatie wordt vernieuwd.

[Reactie gewijzigd door BrennuS op 23 juli 2024 12:38]

BrainBugs @Sluuut • 11 oktober 2022 09:28

Zo’n oud mainframe...

Zo oud is dat mainframe niet. Linus heeft er laatst een interessante video over gemaakt.

Keypunchie @Keyb • 10 oktober 2022 11:43

We loggen weliswaar veel applicaties, zo wordt bijvoorbeeld de mutatie van gegevens wel gelogd. Maar we loggen niet alle raadplegingen bij alle systemen.

Imo zouden ze dat wel moeten doen. Normaalgesproken ben ik het ook wel eens met de stelling :

Helemaal mee eens. Wie heeft wanneer naar de gegevens gekeken is extreem belangrijk. Is ook helemaal niet complex om te implementeren als onderdeel van standaard audit-logging.

Als je het helemaal goed wil doen, doe je ook nog eens continue steekproeven. Dat een controleteam regelmatig over bekeken dossiers een korte verantwoording vraagt waarom je die hebt ingezien.

Maar veel belangrijker: je kunt dan ook patronen zien. Een ambtenaar die bijzonder veel dossiers opvraagt van BN'ers bijvoorbeeld.

Tintel

Economie en maatschappij
Politiek en recht

@Keypunchie • 10 oktober 2022 15:15

je kunt dan ook patronen zien

oei - de belastingdienst en patronen is geen goede combinatie...

White Feather

@Keyb • 10 oktober 2022 10:09

Dan ga je nu beginnen met het inrichten van audit trails.

De Belastingdienst:
“- Ja, we gaan alle 900 systemen voorzien van logging.
- Laten we ook nog eens veel oer-oude systemen, die met plakband in leven worden gehouden, overhoop gaan gooien en logging bouwen in ontwikkeltalen die niemand meer kent.

- We hadden gelukkig al genoeg mankracht en geld om onze automatisering op orde te krijgen. Dat is bij de Belastingdienst gelukkig nooit een probleem.
- de regering wacht wel even met het bedenken van nieuwe wetgeving zodat wij rustig aan onze systemen kunnen werken”

Gemakkelijk lullen vanaf de bank.

En ja, ze weten daar echt wel dat het een zooitje is.

[Reactie gewijzigd door White Feather op 23 juli 2024 12:38]

Tintel

Economie en maatschappij
Politiek en recht

@White Feather • 10 oktober 2022 10:51

Toch klopt er hier iets niet. De belastingdienst legt de schuld van haar falende systemen bij de overheid 'want die veranderen de regels telkens'. Maar de belastingdienst is 100% een overheidsdienst...

Deze gekte zien we nu steeds vaker. Een overheid die regels bedenkt die haarzelf hindert. Dat is toch niet de richting die je uit moet gaan?

De belastingdienst wordt steeds meer een risico-punt. Teveel gevoelige informatie, teveel systemen, teveel mensen, teveel geld.

En waarom? Een stelsel dat inmiddels zo complex is dat het effect van een regels (of aanpassing daarvan) niet meer te overzien is (als in: het werkelijke effect - het beoogde effect is altijd heel duidelijk uitgerekend maar stiekem loopt het toch altijd anders).
Medelijden hebben met een dienst wat letterlijk niets anders doet dan zoveel mogelijk graaien zonder dat de bevolking in opstand komt is ook niet aan de orde.

Ik besef dat belasting betalen noodzakelijk is - maar maak het dan doorzichtig voor iedereen(!). Staffels zijn nooit een eerlijk systeem. En proberen alle transacties en al het bezit te belasten is ook graai gedrag wat leidt tot nog meer administratie en noodzakelijke controles.

Waarom geen flat tax? Dat lost letterlijk een enorme bak problemen op.
Ander voorbeeld:
Waarom hebben we een belastingdienst die zelfs spaargeld belast? Dat klopt toch gewoon niet. Onder de noemer; "dan pakken we de rijken extra aan" - terwijl we allemaal allang weten dat de echt rijken allang een oplossingen hebben gevonden door of te verhuizen (misschien niet eens zelf), banken in andere landen, bedrijfsvestiging in andere landen, enz.
Dat spaargeld heb je gekregen nadat je belasting hebt betaald en daarmee is het klaar. Maar nee, in een economie waarbij het rond pompen van geld noodzakelijk is geworden, moet je dat spaargeld wel aanpakken.

Telkens weer worden subsidies en kortingen bedacht die vervolgens leiden tot misbruik waardoor de belastingdienst weer een nieuw volg/controle systeem moet inrichten...totale gekte.

Proberen in een bedrijf wat te doen waar 900(!!!) systemen draaien van wisselende kwaliteit en wisselende leeftijd is toch ook onmogelijk. En hoe komt het dat een belastingdienst systemen is gaan gaan gebruiken waarin geen audit mogelijk was vanaf de eerste installatie?
Gaan ze dit 'oplossen' door nog meer geld te steken in meer automatisering, meer ICT-ers? Kansloos.

Dit moet je bij de bron aanpakken. Proberen brandnetels te bestrijden door met een nagelschaartje de bloemmetjes eruit te knippen is toch ook geen oplossing?

Uitgangspunt: de belastingdienst en de overheid zijn twee handen op 1 buik. Naar elkaar wijzen dat de ander het niet goed doet is stompzinnig. Zonder belastingdienst geen overheid en zonder overheid geen belastingdienst.

Jeroen73 @Tintel • 10 oktober 2022 12:29

Je verhaal gaat al volledig mank op het gebruik van de term "de overheid". Als je al niet beseft dat wetgeving en uitvoering van elkaar gescheiden zijn, waarbij het wetgevende deel om de vier jaar van samenstelling verandert en die continue moeten bijsturen waar we met dit land heen willen, terwijl de uitvoerende kant het daarna maar moet zien aan te passen met een houtje-touwtje oplossing omdat het wel per 1 januari in moet gaan, dan kan je net zo goed gelijk "Rutte" de schuld geven, want dat is net zo kort door de bocht.

Tintel

Economie en maatschappij
Politiek en recht

@Jeroen73 • 10 oktober 2022 15:22

In dit geval is uitvoering een letterlijke opvolging van de regels zijn opgesteld door die overheid. En sinds wanneer heeft een uitvoerend orgaan geen zeggenschap dan?

Jouw stelling dat het mank gaat omdat overheid (wetgeving) en dienst (uitvoering) van elkaar gescheiden zijn is nu juist het excuus wat wordt gebruikt om er zo'n bende van te maken.
Als regels te complex zijn/worden moet toch het antwoord niet zijn "dan duurt het langer of kost het meer" maar "nee, dat is niet verstandig" maar helaas door die scheiding die ons als burger zou moeten helpen is het omgekeerde waar en verschuilen beide partijen zich resp. achter 'ik bedenk de regels alleen maar' en 'ik bedenk de regels ook niet'. Daardoor komen er misstanden bij ipv dat deze worden voorkomen.

Mijn verhaal was een voorstel tot een oplossing van probleem wat blijkbaar bestaat en ik besef maar al te goed dat ze van elkaar gescheiden zijn maar vooral in naam en als het goed uitkomt.

J_van_Ekris @Tintel • 10 oktober 2022 20:54

In dit geval is uitvoering een letterlijke opvolging van de regels zijn opgesteld door die overheid. En sinds wanneer heeft een uitvoerend orgaan geen zeggenschap dan?

Ongeveer sinds het opstellen van de grondwet. Dit is het probleem van veel UITVOERINGSinstanties: ze hebben wetten uit te voeren zonder dat er met ze gesproken wordt over de uitvoerbaarheid. Soms gaat een minister voor zijn dienst staan, maar dat gebeurt vrijwel niet. Heel zuiver gezien is na een besluit van de tweede en eerste kamer geen weg terug, men moet het gaan doen.

Jouw stelling dat het mank gaat omdat overheid (wetgeving) en dienst (uitvoering) van elkaar gescheiden zijn is nu juist het excuus wat wordt gebruikt om er zo'n bende van te maken.
Als regels te complex zijn/worden moet toch het antwoord niet zijn "dan duurt het langer of kost het meer" maar "nee, dat is niet verstandig" maar helaas door die scheiding die ons als burger zou moeten helpen is het omgekeerde waar en verschuilen beide partijen zich resp. achter 'ik bedenk de regels alleen maar' en 'ik bedenk de regels ook niet'. Daardoor komen er misstanden bij ipv dat deze worden voorkomen.

Het probleem is dat wetten op wetten gestapeld worden en dat elk zielig verhaal een juridische uitzondering creeert die ook accuut in die systemen moet. De kamers willen in veel gevallen de burger helpen en zijn dan doof voor operationele bezwaren, waarbij ze onbewust de uitvoeringinstantie steeds verder dat moeras induwen.

Voor veel uitvoeringinstanties is het gewoon niet bij te houden, zeker niet met die enorme bak legacy die er draait. Jaren roofbouw komt vanzelf een keer als een boemerang terug....

Tintel

Economie en maatschappij
Politiek en recht

@J_van_Ekris • 11 oktober 2022 11:02

Met zeggenschap bedoel ik: als een uitvoeringsinstantie regels moet uitvoeren en dat is niet haalbaar dan kan deze dat wel degelijk aangeven. Ze hebben geen zeggenschap als in "zelf regels opstellen" (of zouden dat niet mogen hebben).

Het excuus dat de ene overheidsinstantie (wat dat is het wel) het goed doet omdat de andere overheidsinstantie het als eerste niet goed deed is gewoon niet acceptabel.

Ik heb ook bij een overheidsdienst gewerkt en ken het probleem helaas...
Ik ben ook van mening de voornaamste 'schudlige' aan deze bende, de opsteller is.

Wat jij beschrijft is hoe het zo'n bende is geworden maar dat is geen excuus om het te blijven accepteren.

J_van_Ekris @Tintel • 11 oktober 2022 11:26

Ik ben ook van mening de voornaamste 'schudlige' aan deze bende, de opsteller is.

Wat jij beschrijft is hoe het zo'n bende is geworden maar dat is geen excuus om het te blijven accepteren.

Ik denk dat we het hier roerend met elkaar eens zijn. Maar voorkom maar eens dat men heel nieuw beleid wil uitrollen omdat de ICT niet klaar kan zijn. Die integrale langere termijn blik op wetgeving (we maken een wet die op moment X ingaat met een change management process in de betrokken organisatie en dan ook gelijk uitvoerbaar is met achterliggende systemen) ontbreekt helaas volledig. Zeker als er nog eens zielige verhalen gaan meespelen besluit men al vlot dat het "Nu!" opgelost moet worden om politieke moed te tonen, maar men vergeet dat het nog wel even ergens organisatorisch en technisch geregeld moet worden.

Tintel

Economie en maatschappij
Politiek en recht

@J_van_Ekris • 11 oktober 2022 13:22

besluit men al vlot dat het "Nu!" opgelost moet worden

idd - het toonbeeld van managers die enkel het probleem managen maar niet de oplossing. "Ik wil geen excuses - los het maar gewoon op" - "de wet gaat morgen in en daar is niets meer aan te doen, zorg maar dat het werkt".

Ambtenaar loket 1: ga eerst lang loket 2 - dan help ik u verder.
Burger: maar loket 2 is onbemand?
Ambtenaar loket 1: oh dat is spijtig maar dan kan ik niets voor u doen.
Burger: Maar dat is van den zotte! Waar kan ik dit probleem aankaarten?
Ambtenaar loket 1: bij loket 3
Burger tegen ambtenaar: loket 3: zeg, dit werkt niet!
Ambtenaar loket 3: Ik kan u pas helpen als u bij loket 1 bent langsgeweest en ik zie die ambtenaar zitten dus ik ga u niet verder helpen.

White Feather

@Tintel • 10 oktober 2022 11:29

Waarom geen flat tax? Dat lost letterlijk een enorme bak problemen op.

Hoe hoog wil je het percentage dan maken? Nu begint het laag en loopt op. Waardoor de sterkste schouders het meeste betalen.

Waarom hebben we een belastingdienst die zelfs spaargeld belast?

Omdat iedereen een bijdragen aan de maatschappij moet doen, ook degene die leven van spaargeld.
Er wordt overigens rendement belast en geen spaargeld zelf. Al is deze bewering op het moment dubieus gezien de fictieve rendementen die de belastingdienst hanteert. Maar op dit moment is de heffing zelfs 0.

Telkens weer worden subsidies en kortingen bedacht die vervolgens leiden tot misbruik waardoor de belastingdienst weer een nieuw volg/controle systeem moet inrichten...totale gekte.

Dat is de politiek die dat doet. Daar wordt nooit met de belastingdienst over gesproken, die hebben het uit te voeren.

En dat de politiek dat zo doet is vaak puur partijbelang. Micromanagment op de belangen van hun achterban.

We hadden bijvoorbeeld een speciale regeling voor 75+ers (iig in 2019): https://www.homefinance.n...n/belastingtarieven-2019/

Daarbij loopt de 2e schaal verder door dan bij alle andere leeftijden. Voor mensen onder de 75 liep dit door tot € 34.300 en voor 75+ers tot € 34.817.

Dat is dus een grotere schaal van € 517, Het verschil in percentage tussen de 2 schalen is (38,10%-20,20%)=17,9%.

17,9% keer € 517= € 93 (afgerond naar boven, want het mag in je voordeel).

Voor het toekennen van € 93 per jaar, nog geen € 8 per maand netto, voor mensen van 75+ die een inkomen hadden van meer dan € 34.300 hebben we dus een extra leeftijdscategorie in het leven geroepen in het schijven-stelsel.
Met een inkomen van bruto € 34.300 had je dus een netto inkomen van € 27.667. Die € 93 is daar 0,33% van.
(belasting schijf 1: 18,75% over 20.384, belasting schijf 2: 20,20% over het restant, totaal € 6.633 belasting)

Daarop moeten dus uitgebreid aangepast worden:
- alle uitkerende systemen bij pensioenfondsen en verzekeraars
- alle systemen van de belastingdienst die de hoogte van de belastingen berekenen
- alle systemen in Nederland die een bruto-netto berekening doen.

Dat heeft de overheid en vooral het bedrijfsleven en pensioensfondsen miljoenen extra gekost.

Het had de BV Nederland heel wat minder gekost als ze een oplossing hadden gekozen rekening houdend met de al aanwezige schijven.

Ik ben het overigens met je eens dat het eenvoudiger zou moeten.
De pest is dat arbeid relatief slecht betaalt en daarom grote groepen moeilijk kunnen rondkomen. Nu hebben we allerlei omstandigheden bekeken en daar een tegemoetkoming voor bedacht: de toeslagen.

Het zou fijn zijn als het merendeel van Nederland gewoon rond zou kunnen komen van het inkomen dat hij genereert en niet alsnog voor van alles afhankelijk is van toeslagen.
Het is nu een opgetuigde kerstboom waarin alleen maar geld heen en weer gesleept wordt.

Tintel

Economie en maatschappij
Politiek en recht

@White Feather • 10 oktober 2022 14:09

Het is nu een opgetuigde kerstboom waarin alleen maar geld heen en weer gesleept wordt.

idd.

Hoe hoog wil je het percentage dan maken? Nu begint het laag en loopt op. Waardoor de sterkste schouders het meeste betalen.

stel 35%? Het is te berekenen hoe je gemiddeld gezien ongeveer even veel binnenharkt als voorheen. De sterkste schouders betalen nu het minste omdat daar de belastingvoordelen veel groter zijn. Zoals bijv. hypotheekrente aftrek. En de echt 'sterke schouders' betalen helemaal weinig (dat zijn de bedrijven zelf).

En dat zie je dus heel sterk: in veel beroepsgroepen krijgen mensen weinig betaald [dus arbeid] maar het bedrijf zelf verdient prima. Dat moet worden aangepakt en dat gaat als vanzelf als burgers ook onder flat-tax vallen net zoals bedrijven en bedrijven wat van hun voordelen inleveren (of in ieder geval dat burgers dezelfde voordelen hebben).

Wat je nu ziet is dat elke 'oplossing' het systeem complexer maakt.

Omdat iedereen een bijdragen aan de maatschappij moet doen, ook degene die leven van spaargeld.

Dan doen ze ook. Dat deze persoon niet werkt is dan maar zo. En natuurlijk betaalt hij/zij nog wel belasting; namelijk de BTW. En het 'grappige' is dat mensen die voldoende spaargeld hebben om van te leven die werken nu ook al niet meer op dezelfde manier. Die investeren / kopen en verhuren huizen. Om zodoende midner spaargeld te hebben dat vervolgens veel oplevert. Het kromme van deze regeling is (alweer) dat juist de middenmoot wordt 'gepakt'. Altijd onder de noemer van de 'de sterkste schouders' - dat is pertinent niet waar. In Nederland betaald juist de middenmoot de meeste belasting (en dat midden is een relatief grote groep).

divvid @Tintel • 10 oktober 2022 12:31

In een tijd waarin het ontwikkelen van een applicatie langer duurt dan de zitting van het desbetreffende kabinet blijft het dweilen met de kraan open. Elke keer weer worden er nieuwe wetten gemaakt voor situaties die NU van toepassing zijn

Flattax zou een oplossing zijn, maar die treft de onderkant van het loongebouw onevenredig hard.

Afschaffen van vermogensbelasting is ook een probleem, want met vermogen kan je, veel, vermogen genereren (dus inkomsten), maar met 1000 euro spaargeld gaat je dat niet lukken

Een oplossing is niet zo makkelijk zonder groepen onevenredig te treffen of juist te bevoordelen. Denk aan het nivellerende effect van erfbelasting of de kleine ondernemers regeling.

Beste zou rust in de tent zijn en 10 jaar de tijd geven om alles te moderniseren. Gaat alleen niet gebeuren

Keyb @White Feather • 10 oktober 2022 10:13

Het is net zo gemakkelijk een beetje bagatelliseren en te doen alsof je neus bloed. Zelfde gemakkelijk lullen vanaf de bank. Alles afdoen met ja sorry is te moeilijk is zo'n lekkere dooddoener.

White Feather

@Keyb • 10 oktober 2022 10:20

Wie zegt dat de Belastingdienst niet keihard aan het werk is aan nieuwe systemen (waarmee een zooi oudere systemen uitgezet kan worden)?

Je dacht dat ze openbaar gaan maken dat ze inderdaad geen logging hebben op 800 van de 900 systemen en welke systemen dat dan precies zijn?

Want dat lost het probleem op of zo?

Ze hebben geen andere keus dan doen alsof het geen probleem is. Iedere andere reactie geeft aan dat het gatenkaas is (wat het dus is) en zal nog meer criminele activiteit/actie naar hun medewerkers opleveren.

[Reactie gewijzigd door White Feather op 23 juli 2024 12:38]

PjotterP @Keyb • 10 oktober 2022 10:21

Er wordt niet gebagatelliseerd, maar duidelijk gemaakt dat het niet zo makkelijk is op te lossen. Dat zijn twee verschillende dingen.

oef! @Keyb • 10 oktober 2022 10:10

Die 900 systemen zijn natuurlijk niet in een keer geïmplementeerd. Er zal veel ouder spul tussen zitten dat in een tijd ontworpen is waarop er heel anders naar audits, logging en monitoring werd gekeken en SSO is waarschijnlijk ver te zoeken.
Ook in de professionele IT (leveranciers van software) is het auditen van specifieke gebruikershandelingen nog niet eens zo lang gemeengoed.

Dit vraagstuk is gruwelijke complex:
- Logt de applicatie überhaupt gebruikershandelingen? Zo nee, wat dan?
- Wat loggen de specifieke applicaties wel. Is dat genoeg?
- Gaat dit per gebruiker of is het een machine account?
- Welke relaties vallen er te leggen tussen user id's binnen verschillende applicaties
- Hoe leg je verbanden tussen verschillende applicaties waar een request doorheen gaat
- Hoe leg je het performant vast en maak je het inzichtelijk?

Deze lijst is praktisch eindeloos, er is heel veel expertise en heel veel denkwerk voor nodig en zelfs dan zul je tegen allerlei praktische zaken aanlopen (applicatie logt niet, leverancier is er niet meer om het aan te passen).

Melones @oef! • 10 oktober 2022 10:45

goede poging voor het opbreken van dit vraagstuk. Inderdaad had dit gewoon vanaf het begin (dit zou niet eens een overweging mogen zijn) goed geregeld moeten zijn. Zeker omdat de overheid dit in het kader van PIFI wel gewoon aan banken verplicht.

- Logt de applicatie überhaupt gebruikershandelingen? Zo nee, wat dan?
-> Knock-out criteria bij pakket/vendor selectie traject. Decomission target indien dit niet gebeurt.
- Wat loggen de specifieke applicaties wel. Is dat genoeg?
-> Wederom deel van je aankoop process.
- Gaat dit per gebruiker of is het een machine account?
-> Non personal accounts hebben nooit toegang tot data en anders nooit mensen toegang tot de NPA
- Welke relaties vallen er te leggen tussen user id's binnen verschillende applicaties
-> SSO + MFA
- Hoe leg je verbanden tussen verschillende applicaties waar een request doorheen gaat
-> Tijdspartities per user. Plausibiliteits check
- Hoe leg je het performant vast en maak je het inzichtelijk?
-> Er bestaan al legio distributed tools beschikbaar hier voor. Gebruik machine learning voor outlyer detection getrained op normaal gedrag (supervised learning). Outlyers presenteer je aan medewerkers met volledige gedrags-trail.

RJG-223 @Melones • 10 oktober 2022 12:01

goede poging voor het opbreken van dit vraagstuk. Inderdaad had dit gewoon vanaf het begin (dit zou niet eens een overweging mogen zijn) goed geregeld moeten zijn. Zeker omdat de overheid dit in het kader van PIFI wel gewoon aan banken verplicht.

Vanaf het begin - je bedoelt vanaf de vorige eeuw al ? Zeg 1980 ?

- Logt de applicatie überhaupt gebruikershandelingen? Zo nee, wat dan?
-> Knock-out criteria bij pakket/vendor selectie traject. Decomission target indien dit niet gebeurt.

Probleem (voorbeeld): huidig systeem is 25 jaar oud, of ouder, is nog wel nodig. Leverancier bestaat niet meer. Broncode is niet meer beschikbaar. Systeem wordt niet intensief gebruikt; vervangen is dus niet kostenefficiënt, en er is sowieso geen budget voor. Wat te doen ?

- Wat loggen de specifieke applicaties wel. Is dat genoeg?
-> Wederom deel van je aankoop process.

Zie vorige opmerking

- Gaat dit per gebruiker of is het een machine account?
-> Non personal accounts hebben nooit toegang tot data en anders nooit mensen toegang tot de NPA

Eigenlijk weer hetzelfde argument. Voor bestaande systemen is dit nu misschien niet zo, omdat het nooit nodig was. Aanpassen is amper mogelijk, vervangen is in de pratkijk ook geen optie (niet voldoende geld, geen tijd, andere prioriteiten, etc.)

Daarnaast: je kunt zulk beleid ook niet ad-hoc implementeren. Er moeten dan ook organisationele procedures etc. geïmplementeerd worden om rechten toe te kennen en te ontnemen. En daar is dan ook weer software voor nodig. En dat is niet een kwestie van even een servertje neerpoten, software installeren en klaar. Dan heb je dus 901 systemen... En zelfs al ondersteunen bestaande applicaties individuele gebruikersaccounts, dan kunnen ze nog niet noodzakelijkerwijs interfacen met een centraal systeem voor het toekennen van rechten.

En dan heb je nog het probleem van systeembeheer (waaronder backup). Vaak, in ieder geval bij oudere systemen, kunnen systeembeheerders letterlijk overal bij, met meer of minder moeite. Ik vraag me zelfs af of er heden ten dage wel al voldoende mogelijkheden zijn bij nieuwe systemen om te zorgen dat systeembeheer niet overal bij kan op een systeem. En dan heb ik het nog niet eens over de 'domme' gebruikers die van systeembeheer afhankelijk zijn, zodat het in de praktijk problemen kan geven als systeembeheer iets niet kan...

- Welke relaties vallen er te leggen tussen user id's binnen verschillende applicaties
-> SSO + MFA

Zelfde argument weer... Integreer jij dat even in een cobol-applicatie die op een mainframe draait. Of in al de bestaande systemen ? En maak jij dan 'even' de centrale applicatie die dat allemaal beheert en in de gaten houdt ? EN het moet wel 100% betrouwbaar, want als het een keertje niet werkt, dan ligt de hele organisatie stil...

- Hoe leg je verbanden tussen verschillende applicaties waar een request doorheen gaat
-> Tijdspartities per user. Plausibiliteits check

- Hoe leg je het performant vast en maak je het inzichtelijk?
-> Er bestaan al legio distributed tools beschikbaar hier voor. Gebruik machine learning voor outlyer detection getrained op normaal gedrag (supervised learning). Outlyers presenteer je aan medewerkers met volledige gedrags-trail.

Het heeft geen zin om hetzelfde nogmaals te herhalen. En dan is nog de vraag of de belastingdienst de kennis heeft om te weten welk soort maatregelen ze moeten eisen, en of de leverancier de kennis heeft om die te allemaal te implementeren, laat staan om ze goed te implementeren.

En machine learning: laat me niet lachen. Voordat je iets kunt doen, moet je eerst de data beschikbaar hebben - en die zit dus in 900 systemen, waaronder hele oude. Dan heb je dus eerst een heel trajekt nodig om te bepalen welke data je nodig hebt, welke data er überhaupt is, hoe je die gaat extraheren, en of dat überhaupt kan. En dan moet je die data gaan verzamelen. En voor dat alles moet je dus weer alle (o.a. oude) software aanpassen etc. Als dat al kan. En dan is nog de vraag of er voldoende mensen zijn met voldoende erkende expertise in dit onderwerp om dit te kunnen uitvoeren. Laat staan dat het ook nog eens een enorme hoeveelheid geld kost, dat er niet is, en ook tijd, onder andere van bestaande medewerkers, die al werk genoeg hebben, en dit er niet nog eens bij kunnen hebben.

En als je alle bezwaren en problemen opgelost hebt, alle applicaties aangepast en geïntegreerd, alle procedures opgesteld, alle taken en rollen toegekend, dan komt er over twee jaar een nieuwe omstandigheid, waardoor blijkt dat er aanvullende beschermingen en organisatieprocedures nodig zijn om de privacy etc. te waarborgen. Dan kun je dus opnieuw beginnen met alle applicaties aan te passen, en nieuwe procedures opstellen, etc. etc. En als je pecht hebt, dan komt er, terwijl je nog bezig bent, een nieuw probleem op je af, en moet je alles weer aanpassen nog voordat je klaar was met de vorige aanpassing. Laat staan dat de mensen al aan de eerder vernieuwing gewend zijn, en al begrijpen hoe het precies werkt. Ze zien je aankomen, met nóg weer een andere manier van alles doen, die ze moeten leren, die ze weer extra tijd kost, die niet altijd goed of handig werkt, zodat ze minder produktief zijn, etc.

Jij denkt zeker dat de belastingdienst een kleine innovatieve organisatie is, met een of twee computers met moderne software in de kelders, waar iemand kan roepen: 'jongens laten we het nu zo doen', en dat de lokale IT-guru dan in een week een scriptje in elkaar sleutelt om de gewenste queries uit te voeren, of de gewenste controles, en dat alles dan koek en ei is ?

De enige soort organisaties die zo werken, zijn cowboys, die waarschijnlijk minder verstand van zaken hebben dan ze denken, en die alleen maar niet continu gehackt worden, of andere informatielekken hebben, omdat ze klein zijn, en dus niet echt een prominent doelwit.

J_van_Ekris @RJG-223 • 10 oktober 2022 21:00

Probleem (voorbeeld): huidig systeem is 25 jaar oud, of ouder, is nog wel nodig. Leverancier bestaat niet meer. Broncode is niet meer beschikbaar.

En je hebt geen flauw idee wat een systeem echt doet, wat ze er in de afgelopen decennia tegenaan geknutseld hebben en al helemaal geen idee hoe het van binnen werkt. Dat soort systemen vervangen zijn een nachtmerrie, en blijkbaar hebben ze er een paar honderd van.....

Tintel

Economie en maatschappij
Politiek en recht

@oef! • 10 oktober 2022 13:21

Natuurlijk is het moeilijk maar blijkbaar was het niet zo moeilijk om toch niet te proberen om alles wat we [als burgers] doen met geld te gaan traceren (en te belasten).

Waarom moet de belastingdienst weten hoe duur mijn huis is, hoe duur mijn inrichting daarvan is? Dat is toch allemaal gekocht met geld dat ik heb gekregen nadat de loonsbelasting is betaald en nadat ik BTW heb betaald voor de spullen in dat huis en/of de uren van de aannemer?
[Ik weet waarvoor - voor de WOZ maar dat is een gestoorde belasting]

Ja, zegt men dan; omdat de hypotheekrente aftrek aan regels is gebonden. Ik wil helemaal geen hypotheekrenteaftrek - ik wil een rente percentage betalen wat klopt bij het risico en in verhouding staat tot de hoeveelheid geld in omloop. Voor de bank: weinig risico want de lening heeft een behoorlijk waardevast onderpand. Want nu hebben we dus zelfs een constructie die stelt dat je maar 30 jaar de rente mag aftrkken....alsof we dan na die tijd ook geen wooning nodig hebben. Nee, dat is om te stimuleren dat het huis wordt verkocht, anders woont u te groot....wat?

Waarom is dat dan geen eigen keuze?

Bedrijven worden wel via flat-tax belast - behalve dan als je heel erg groot bent - dan gaat het percentage wonderlijk genoeg, omlaag. Waarom worden burgers niet via flat-tax belast? En verder geen andere belastingen over bezit. Als een bedrijf miljoenen in kas heeft, wordt door naa rmijn weten ook geen belasting over betaald.

Gr4mpyC3t

@Keyb • 10 oktober 2022 09:54

Achteraf is mooi wonen natuurlijk. De manier waarop data tegenwoordig misbruikt wordt is exponentieel toegenomen.

Het probleem is dat dit soort systemen al jaren bestaan en simpelweg te complex zijn geworden om even aan te passen.

Ik praat het absoluut niet goed, maar even wat aanpassingen doen is hier niet bij. Dan zit je al snel aan een vervangingstraject van vele miljoenen en mankracht. Laat De Belastingdienst nou net die capaciteit niet hebben.

vgroenewold @Gr4mpyC3t • 10 oktober 2022 10:11

Achteraf is het makkelijk idd, maar je hebt natuurlijk ook gewoon goede structuren en regels waarmee je een goed systeem had kunnen opzetten, ook in het verleden. Je kan vooruit denken over mogelijke problemen met een systeem, dat is eigen aan ontwikkelaars lijkt me.

The Third Man @vgroenewold • 10 oktober 2022 10:17

Om even reeel te blijven: waar in het bedrijfsleven komt het nou voor dat men bij het gebruik van dermate oude systemen ook zulke dingen heeft toegepast? En dan komt de (semi)overheid daar nog achteraan waar stelselmatig beperktere budgetten dat alleen maar moeilijker maakt. De moralistische discussie "wat men had moeten doen" is leuk maar naar mijn idee is het onzinnig omdat het in de praktijk gewoonweg niet gebeurt, schijnbaar des mens eigen.

vgroenewold @The Third Man • 10 oktober 2022 10:20

Oh dat is zeker mens eigen, maar daarom voer je daar een discussie over. Dat we dat anders willen zien is namelijk wel duidelijk en dat moet je vorm kunnen geven binnen zo'n dienst, kost heel veel tijd en geld maar zoals het nu gaat werkt het niet echt lekker (gezien de schandalen en problemen).

Lapa @The Third Man • 10 oktober 2022 11:28

En om nog even reëel te blijven, hoeveel systemen zijn er die niet alleen alle mutaties loggen, maar ook alle bevragingen? Volgens mij is dat een zeldzaamheid, ook bij de meest moderne systemen.

Zorgen dat je niet kan bevragen waar je geen recht of noodzaak toehebt is natuurlijk wel belangrijk en gebruikelijk.

J_van_Ekris @The Third Man • 10 oktober 2022 21:03

Om even reeel te blijven: waar in het bedrijfsleven komt het nou voor dat men bij het gebruik van dermate oude systemen ook zulke dingen heeft toegepast?

Banken, verzekeraars. De partijen die in de jaren 80 begonnen met automatiseren van adminstratie processen.

The Third Man @J_van_Ekris • 10 oktober 2022 21:20

Zat daar serieus al auditing e.d. in? Dat draaide indertijd toch enkel om verwerkingscapaciteit?

J_van_Ekris @The Third Man • 10 oktober 2022 21:43

Bij die oude meuk is men al blij dat het uberhaupt nog werkt. En vervolgens is het devies "if it ain't broke, don't touch it". De kennis is volgens al weggepensioeneerd, en dat soort systemen voldoen allang niet meer aan de hedendaagse standaarden. Dus het achteraf toevoegen van logging is de goden verzoeken....

The Third Man @J_van_Ekris • 10 oktober 2022 22:11

Dus… bevestig je niet mijn punt dat het nogal makkelijk praten is dat bijv de belastingdienst dit wel had moeten voorzien en implementeren? Met andere woorden: niemand deed het toen?

J_van_Ekris @The Third Man • 10 oktober 2022 23:56

Mijn punt is eerder: niemand deed dat toen, en nu kan het niet meer omdat niemand het aandurft in zo'n systeem nog maar een wijziging aan te brengen.

The Third Man @J_van_Ekris • 11 oktober 2022 09:19

Maar dat was dus al het punt wat ik origineel maakte

Om even reeel te blijven: waar in het bedrijfsleven komt het nou voor dat men bij het gebruik van dermate oude systemen ook zulke dingen heeft toegepast?

Dus ik stelde de vraag 'waar gebeurde dat wel' en jij antwoordt met

Banken, verzekeraars. De partijen die in de jaren 80 begonnen met automatiseren van adminstratie processen. '.

Maar die deden het dus net zo goed niet, wat jij nu ook bevestigt " niemand deed dat toen". Dus je lijkt iets tegen te willen spreken wat juist al aansloot bij jouw stelling.

[Reactie gewijzigd door The Third Man op 23 juli 2024 12:38]

Blokker_1999

Economie en maatschappij
Politiek en recht

@vgroenewold • 10 oktober 2022 10:41

Je kan vooruit denken over mogelijke problemen, en dan kijk je naar die deadline, naar je budget en besef je dat je nu al niet de tijd en het geld hebt om op te leveren wat gevraagd wordt, laat staan om aanpassingen te maken om het toekomstbestendiger te maken.

DdeM @Blokker_1999 • 10 oktober 2022 11:16

Aan de andere kant, met de juiste manier van werken kan je daar als ontwikkelaar al heel veel aan doen. Helaas blijkt steeds maar weer dat bedrijven toch graag zelf het wiel maar weer steeds opnieuw willen uitvinden en er een zwaar gebrek is aan ontwikkelaars die daadwerkelijk de juiste werkprocessen kunnen toepassen noch de tijd krijgen dit te leren.

30 Jaar geleden heeft een groep ontwikkelaars er al heel goed over nagedacht hoe je projecten snel én kwalitatief goed kan neerzetten, helaas worden de processen die hun hebben bedacht in het bedrijfsleven nauwelijks correct en/of effectief toegepast.

mjtdevries @DdeM • 10 oktober 2022 12:03

Tja, tegenwoordig wil men nu eenmaal Agile, waarbij snel wel word gerealiseerd, maar kwalitatief in de vorm van veiligheid, confidentiality, etc niet.

Behalve als je programmeurs hebt zoals degene die het manifesto hebben opgesteld.
De methodiek promoot die kwaliteit helaas niet.
Dat was 20 jaar geleden. Ik weet niet welke methodiek jij op doelt van 30 jaar geleden.

mac1987 @mjtdevries • 10 oktober 2022 12:19

Het is mijns inziens onjuist om dit op te hangen aan Agile. Ongeacht ontwikkelmethodiek is het van cruciaal belang dat (non-)functionele eisen en acceptatiecriteria worden vastgesteld, vastgelegd en geaccepteerd door zowel de stakeholder als het ontwikkelteam. Gaat het daar fout, dan zal geen enkele methodiek je redden. Ook een lekker ouderwets zwaar "all design up-front" waterval methodiek als PRINCE2 staat of valt met de juiste eisen stellen en daarop controleren.
Vind je iets als opdrachtgever belangrijk, dan moet je er zorg voor dragen dat dit vertaald wordt naar eisen en acceptatiecriteria. Vermeld je die eisen niet, dan kun je de schuld achteraf niet bij de ontwikkelaars neerleggen. Vermeld je ze wel, maar wordt er niet aan voldaan, dan accepteer je de levering niet. Veel ingewikkelder dan dat is het bij dit soort basale eisen (loggen van gebruikershandelingen) niet.
En juist bij Agile kun je veel makkelijk tussentijds toetsen of het product de goede kant op gaat. Bij waterval methodiek is het excuus al snel "het is nog niet klaar", en bij oplevering is het al te laat (zie ook invloed van sunk cost fallacy).

[Reactie gewijzigd door mac1987 op 23 juli 2024 12:38]

mjtdevries @mac1987 • 10 oktober 2022 12:35

Dit probleem ligt inderdaad niet alleen bij Agile.
Maar Agile is gericht op projecten waarbij het doel niet duidelijk is. En dus eisen ook niet van tevoren bekend zijn. Maar ze vergeten vervolgens dat er een lijst van vereisten is dat altijd nodig en bekend is.

Tuurlijk is het mogelijk dat wel goed te doen, maar de methodiek nodigt je er niet toe uit.
En op dezelfde wijze kun je bij PRINCE2 ook de eisen wat betreft security en confidentiality vergeten en alleen maar focusen op de functionele eisen.

Maar de ervaring van de afgelopen jaren laat in de praktijk wel zien dat de situatie met Agile verslechterd is.
Nogmaals: Agile kan geweldig goed werken, maar je hebt wel goede ervaren mensen nodig.

Heeft allemaal niks te maken met de Belastingdienst, maar aangezien DdeM over methodieken begon...

MSalters

Economie en maatschappij
Politiek en recht

@mjtdevries • 10 oktober 2022 14:54

Nou ja, het heeft natuurlijk best wel veel te maken met de Belanstingdienst, vooral dat deel van "doel niet duidelijk" en "doel verandert met hoge frequentie". Dat is precies de externe problematiek van de belastingdienst, die doelen komen uit de politiek. Dan heb je geen keuze anders dan Agile processen, en inderdaad ervaren mensen. Wat je niet gaat krijgen voor ambtenarensalarissen.

mjtdevries @MSalters • 10 oktober 2022 15:17

Nee, dat is net niet waar Agile voor bedoeld is.
Het doel is wel degelijk van tevoren duidelijk. Dat word door een nieuwe wet vanuit de tweede kamer voorgeschreven.
En het doel veranderd ook niet tijdens de implementatie. De wet moet eerst aangenomen zijn, daarna pas kan de Belastingdienst implementeren.

Het ultieme waterfall scenario dus.
Het grote probleem is dat er te weinig tijd zit tussen het moment waarom de wet aangenomen is, en het moment waarop de tools klaar moeten zijn omdat de wet in werking gaat.

DdeM @mjtdevries • 10 oktober 2022 15:15

Wat de ervaring de afgelopen jaren vooral laat zien in de praktijk, is dat de meeste bedrijven die zeggen Agile te zijn... helemaal niet Agile zijn.

Er is een mooie beschrijving voor het soort agile binnen deze bedrijven: Cargo Cult Agile

mjtdevries @DdeM • 10 oktober 2022 15:22

Ik zie het ook bij onze IT afdeling, waar ze Agile bij alle afdelingen (ook al gaven de Agile specialisten aan dat je dat bij operatie (networking, server, client) dat absoluut niet moesten doen. Gewoon Kanban voor die afdelingen zodat je overzicht heb)

Gevolg: Een vreselijke starre organisatie waar niets snel opgepakt kan worden maar alles tot de volgende sprint moet wachten, om daar ingepland te worden.
Precies het tegengestelde van de Agile gedachte.

DdeM @mjtdevries • 10 oktober 2022 15:26

Klinkt als een typisch voorbeeld van Cargo Cult Agile eerlijk gezegd. Als je sneller wil/moet schakelen kan je bijvoorbeeld van iteraties van 1 week kiezen, of inderdaad Kanban zodat je continue kan switchen. Maar Kanban is ook gewoon Agile, dus als Agile specialisten dat als alternatief voor Agile voorstellen.... dan is het wellicht verstandig op zoek te gaan naar andere specialisten.

mjtdevries @DdeM • 10 oktober 2022 15:34

Het punt van Agile is juist dat je helemaal niet hoeft te wachten op de volgende sprint. Als iets urgent is, dan komt het in de huidige sprint en verplaats je een ander iets naar een volgende sprint.
Voor iedereen is dan ook duidelijk wat de impact is van het nu uitvoeren van dat urgente ding.

Maar je ziet hoe snel mensen star worden, door te denken dat het pas in de volgende iteratie kan. Je loopt zelf al in die valkuil.

En kanban is geen agile.
Een kanban bord is alleen maar een tool dat toevallig ook bij Agile gebruikt word.
Maar zo'n overzicht van taken en hun status kan ook prima buiten Agile om gebruikt worden.

Het werd ook al lang voordat Agile bestond gebruikt, want het komt van Toyota af.

DdeM @mjtdevries • 10 oktober 2022 16:10

Kanban binnen de software onwikkeling is een Lean methode. Lean Software Development is een adaptie van Lean manufacturing inderdaad van origine bedacht binnen Toyota, voor het eerst beschreven in Lean Software Development: An Agile Toolkit wat toch echt een Agile methodiek is. Dus ja, Kanban, binnen de context van Software ontwikkeling ís wel degelijk Agile.

Dan over het eerste punt, Agile zegt helemaal niets over sprints of iteraties in welke vorm dan ook, dat is geheel aan het team om te bepalen. Enige wat Agile zegt is dat je verandering moet verwelkomen, niet dat je maar alles moet laten vallen om direct dat andere op te pakken.
Gezien je steeds sprint zegt neem ik overigens aan dat de Agile methodiek waar je het meest bekend mee bent Scrum is, aangezien dat de enige is die sprint als naam gebruikt voor iteraties. Binnen scrum is het wel zeker zo dat je geen veranderingen doet tijdens een sprint die het doel van de sprint veranderd. Daar kies je voor op het moment dat je er voor kiest Scrum te doen. Het hele idee is namelijk dat je als team commitment kan geven dat je een sprint succesvol kan afronden

Wil je dat niet, dan kies je een andere Agile methode (zoals Kanban).

Een boek wat een echte aanrader is om een idee te krijgen wat Agile nou werkelijk is zonder alle bagage zoals Scrum, Kanban of whatever andere bedrijven bedacht hebben is de volgende: The art of agile development, second edition

mjtdevries @DdeM • 10 oktober 2022 16:26

Focus je op waar het om gaat ipv semantische discussies. Het boeit niet of je het iteratie of sprint noemt.
En ik heb het ook nergens gehad over een verandering die het doel van de sprint veranderd. (wat sowieso niet van toepassing is wanneer je dit zoals ik eerder noemde, dit in operatie toepast ipv development afdelingen)
Het standaard antwoord van wachten tot de volgende iteratie of sprint is de verkeerde mindset.

Weet je wat nog een betere aanrader is? Het Agile Manifesto.
Dan heb je echt geen bagage meer.
Vervolgens merk je dan ook dat iedereen faalt om het in een methode te gieten, die alle aspecten van het Manifesto mee neemt.

DdeM @mjtdevries • 10 oktober 2022 16:28

" Vervolgens merk je dan ook dat iedereen faalt om het in een methode te gieten, die alle aspecten van het Manifesto mee neemt. "

Klopt, iedereen faalt er in, wat eigenlijk raar is omdat het wel bestaat, namelijk Extreme Programming.

mjtdevries @DdeM • 10 oktober 2022 17:23

Ik heb zelf helaas geen praktijk ervaring met Extreme Programming. (Als voormalig test manager lijkt het me geweldig)
Wat denk jij dat de reden is dat het niet meer gebruikt word? (ik heb wel zo mijn vermoedens, maar dat kan ik nergens aan staven)

DdeM @mjtdevries • 10 oktober 2022 18:39

Ik denk persoonlijk vooral dat het niet gebruikt wordt omdat niet veel ontwikkelaars er mee bekent zijn en management het over het algemeen "eng" vind klinken en ze daardoor ook de ruimte niet geven aan ontwikkelaars om het te leren. Het frappante is dan ook dat de meest gebruikte Agile methode vandaag de dag SCRUM is, maar ik geen enkele partij ken die SCRUM doet, die ook Extreme Programming doet. Terwijl SCRUM juist is bedacht als Agile methode om Extreme Programming te implementeren: (bron: originele SCRUM boek https://www.amazon.com/Ag...pment-Scrum/dp/0130676349)

Ik denk dus ook niet dat het niet zo zeer is dat het niet méér gebruikt word, maar dat het gewoon nooit écht gebruikt is, omdat bedrijven veelal weinig ruimte bieden om het te implementeren. Want het is best een omschakeling van traditioneel waterval methodieken naar Extreme Programming en als je dan kijkt naar de veelal brakke implementaties van Agile binnen organisaties, dan verbaast het me niets dat vooral de jongere generaties ontwikkelaars nooit met Extreme Programming in aanraking zijn gekomen.

Daarnaast hebben de bedenkers van Extreme Programming niet bepaald een sales pitch gehouden omdat ze geen verkopers zijn (om maar de woorden van Kent Beck zelf te gebruiken). Hierdoor is er in veel gevallen ook een misvatting ontstaan waardoor de originele ideeën een eigen leven zijn gaan leiden. Mooi voorbeeld is Behaviour Driven Development, wat conceptueel precies hetzelfde is als Test Driven Development, maar bedacht is door Dan North mede omdat hij vond dat TDD lastig te leren was (bron: https://dannorth.net/introducing-bdd/)

Nog een probleem die ik zelf ervaar is dat het Open Source model ook in Closed Source omgevingen nogal is doorgedrukt. En vooral principes als Continuous integration en Continuous Delivery, die ook onderdeel zijn van XP, hebben daar last van. Denk aan Merge/Pull Requests die dagen open staan omdat er een handmatige check gedaan moet worden maar niemand tijd heeft, waardoor je vaker merge conflicten en andere ongein krijgt tijdens integratie.

tl;dr;
- Ik denk niet dat het niet meer gebruikt wordt, maar dat het nooit echt gebruikt is
- Ik denk dat managers te vaak geen ruimte geven aan ontwikkelaars om de processen te leren, hierdoor groeit de kennis niet
- Ik denk dat de bedenkers te veel op de achtergrond zijn, ipv. het actief te promoten
- Ik denk dat we te veel op andere werkmethodes leunen die niet verenigbaar zijn met (onderdelen van) XP, en in mindere mate met Agile (Open Source).

mjtdevries @DdeM • 10 oktober 2022 18:58

Een mooi genuanceerd antwoord.
Maar zou het ook iets veel simpelers kunnen zijn? Zouden managers denken dat dit meer tijd/mankracht kost?

Veel managers horen bij Agile vooral dat je product sneller en goedkoper klaar is. Daar hebben ze wel oren naar. De rest interesseert ze niet.

Dat slaat deels natuurlijk ook terug op wat jij al zei dat de bedenkers van Extreme Programming geen verkopers zijn.

DdeM @mjtdevries • 10 oktober 2022 19:50

Ja het is inderdaad zo simpel, vandaar dat ik "eng" ook in quotes had gezet. Vooral concepten als Pair Programming en Mob Programming zijn van die dingen die voor managers vaak gezien worden als kost tijd/mankracht terwijl het in de praktijk juist vaak veel tijdwinst opleverd. En zo ook met TDD, wanneer je dat als team echt goed oppakt hebben QA engineers vaak veel meer tijd voor andere soorten tests die zich lastig laten automatiseren, wat dus netto ook tijdwinst opleverd.

Daarnaast is een probleem die ik overigens ook vaak zie mbt Agile gaan werken, dat managers verwachten dat Agile direct sneller en goedkoper is, en dat is helaas weer niet zo. Zeker wanneer er nog geen/weinig ervaring is binnen een bedrijf kan je er van uit gaan dat de eerste 3 tot 6 maanden er lagere productiviteit is binnen nieuwe Agile teams en wanneer projecten dan korte deadline hebben dan kan dat natuurlijk écht niet (vaak is er meer mogelijk dan de managers/klanten denken).

NuEffeNiet @mjtdevries • 10 oktober 2022 18:10

‘Agile is gericht op projecten waarvan het doel niet duidelijk is’ dit vind ik klinkklare onzin.

Als het doel niet duidelijk is dan begin je er niet aan. Als het doel wel duidelijk is, maar je weet nog niet precies hoe het te bereiken, of je verwacht dat de eisen gedurende de implementatie (bijna altijd) veranderen dan is agile een goede ontwikkelmethode. Wel is het belangrijk om een goede architectuur op hoofdlijnen op te tuigen en te onderhouden zodat het geen zooitje wordt, wat volgens mij 1 van de grote valkuilen van agile is. Te weinig tijdige refactoring waardoor de velocity in elkaar zakt.

mjtdevries @NuEffeNiet • 10 oktober 2022 18:36

Ik zal je een voorbeeld geven van een veel voorkomend project waar het doel niet duidelijk is.
Een gemeente vind dat hun website vreselijk verouderd is en niet meer van deze tijd. Dus geven ze iemand opdracht de website flink onder handen te nemen.
Maar hoe de nieuwe website er dan uit moet zien en welke nieuwe functionaliteiten die moet krijgen worden kan niemand vertellen.
Dat is een perfect scenario voor Agile.

Maar als Toyota een productielijn voor een nieuw model auto gaat opzetten dan doen ze dat niet via Agile.

Je hebt absoluut gelijk dat je ook bij Agile een goede architectuur op hoofdlijnen wilt hebben.
Achteraf security en privacy inbouwen is een slecht idee. Maar je wilt niet weten hoe vaak dat gebeurd.

NuEffeNiet @mjtdevries • 10 oktober 2022 18:42

In het voorbeeld van de website is het doel wel duidelijk: de website weer bij de tijd maken, dat er daarnaast erg veel onduidelijk is laat dat niet onverlet.

Iets zonder doel (en dat komt helaas ook voor) is ik heb een zak geld en dat moet op, dus ik laat maar ‘iets’ ontwikkelen. Dat soort zaken moet je mijns inziens zo snel mogelijk de kop indrukken en liever helemaal niet aan beginnen.

mjtdevries @NuEffeNiet • 10 oktober 2022 18:46

Laat ik het dan anders verwoorden: Je doel is de website bij de tijd maken, maar je hebt geen requirements voor dat doel. Dus je weet niet wanneer je je doel bereikt hebt. (en daarom is je doel niet duidelijk imho)

Bij Waterfall ga je juist uit van je requirements of als die er nog niet zijn ga je die eerst verzamelen.
Bij Agile komen de requirements gedurende het proces, want die veranderen steeds.
En in principe ga je door met je Agile proces tot het geld op is. Bij waterfall stop je als je je requirements geimplementeerd hebt.

NuEffeNiet @mjtdevries • 10 oktober 2022 19:31

Het is inderdaad zeker niet onverstandig om je doel(en) in dat geval specifieker te maken om te bepalen wanneer ze behaald zijn en om daarmee de kans op succes te vergroten.

Maar, en het wordt misschien een iets te semantische fijnslijperij, er is wel een doel, hoe abstract en slecht verwoord dat soms ook is. Dat was het punt wat ik wilde maken.

Dat laat niet onverlet dat er veel te veel projecten starten met te vage doelen, wat ervoor zorgt dat erg veel van dit soort projecten faalt.

nineball @mac1987 • 11 oktober 2022 22:45

Moet je dan ook loggen wie de logging heeft geraadpleegd? Dat wordt een recursief Droste plaatje.

DdeM @mjtdevries • 10 oktober 2022 13:43

In de eerste zin beschrijf je precies het punt wat ik probeerde te maken. Dat is dus niet Agile. Het hele idee achter Agile is wat de gebruiker wil, snel én kwalitatief hoogstaand.

Dat er vervolgens bedrijven zijn die methodieken gebruiken die dat niet promoten, is een probleem van die bedrijven. En dat zijn helaas veel bedrijven.

Maar uiteindelijk had ik het niet zozeer over Agile, maar over wat er aan vooraf ging, de processen rondom Extreme Programming.

[Reactie gewijzigd door DdeM op 23 juli 2024 12:38]

mjtdevries @DdeM • 10 oktober 2022 15:50

Het hele idee achter Agile is wat de gebruiker wil, snel én kwalitatief hoogstaand.

Dat is de wens ja.
Ongeveer net zoals de meeste mensen vrede op aarde wensen.

Maar ze hebben er geen methode bij bedacht die zorgt dat dat laatste punt ook bereikt word, of in ieder geval gestimuleerd word.

"test first development" zoals in XP gebruikt word, stimuleert dat wel.

DdeM @mjtdevries • 10 oktober 2022 16:24

Hebben ze één methode bedacht? Nee.

Maar allemaal hebben ze wel een achtergrond in het ontstaan van meerdere methodes, welke ieder op een vlak wel de stimulans geven om kwaliteit op te leveren (oa. XP) https://agilemanifesto.org/history.html

batjes @Keyb • 10 oktober 2022 10:09

Bedenk je even dat de Belastingdienst applicaties gebruikt die nog uit het vorige millenium komen. Daar kan je niet zo maar even achteraf wat userlogging in rammen.

Niet al die systemen zijn een vrije keuze geweest en er is zeker niet het budget om al die zut maar even binnen een paar jaar te vervangen.

Keyb @batjes • 10 oktober 2022 10:20

Maar wat is jouw voorstel? Dat ze gewoon doorgaan met die huidige systemen en de schouders ophalen over dit probleem? Technisch is het niet onmogelijk. Economisch gezien een ander verhaal? Ja uiteraard, maar dat mag geen excuus zijn om maar door te gaan op de huidige voet.

MsG @Keyb • 10 oktober 2022 10:23

Dat vind ik ook wel een interessante. Menig versimpeling van het belastingstelsel is al teruggefloten om "verouderde ict-systemen" dat kunnen we toch niet nog decennia blijven roepen? Ooit valt het een keer goed om.

jaenster

@MsG • 10 oktober 2022 10:37

Iedereen kan wel roepen en scheeuwen dat het antiek is, maar zolang de regering in zijn bezuiniging mania zit, is er geen geld om er iets aan te doen.

Waarschijnlijk moet het eerst echt daadwerklijk omvallen voordat er echt iets aan gebeurd. Onlangs in gesprek geweest met iemand van de belastingdienst (recruitment). Het is niet bepaald een uitnodigende toko om te werken. Het was een enorme pre als ik cobol kon

Belachelijk salaris, jammer want je hebt wel het gevoel iets nuttigs te doen

MsG @jaenster • 10 oktober 2022 10:48

En ze hebben recent natuurlijk al het capabele personeel met een riante vertrekregeling laten gaan. Wat dat betreft wordt daar een hoop afgeprutst. Als het een keer serieus omvalt, zijn de kosten waarschijnlijk een veelvoud van de investering die je nu zou moeten doen, maar goed vaak regeert men op "Penny Wise, Pound Foolish"-strategie.

batjes @Keyb • 10 oktober 2022 10:35

De oplossing heb ik ook niet direct, het vervangen van software en systemen had vele jaren geleden al in gang gezet moeten worden. Maar ik denk dat er wel een beetje begrip nodig is dat dit allemaal niet 1,2,3 geregeld is.

Blokker_1999

Economie en maatschappij
Politiek en recht

@Keyb • 10 oktober 2022 10:40

Oude, legacy systemen kan en wil je niet meer aanpassen. Daar is niets aan te doen. Maar dat zegt niets over moderne systemen. Die hebben hopelijk wel de nodige faciliteiten aan boord om logging mogelijk te maken of genereren mogelijks die logging al zonder dat deze bewaard blijft. Of misschien wordt ze zelfs al bewaard.

Vele oude systemen bestaan simpelweg omdat er nog wetgeving van toepassing is waardoor de data op die systemen noodzakelijk blijft. Dan kan je heel veel geld gaan investeren in het bouwen van nieuwe software waarin je die data kunt overzetten, of je kunt die systemen gewoon in leven houden. Zeker wanneer het om statische data gaat, die niet meer veranderd, zal er al zeer snel voor dat laatste gekozen worden. Veel goedkoper.

De belastingdienst heeft ook maar een beperkt budget, moet ook elk jaar keuzes maken van waar ze hun geld aan uitgeven. Ga je dan geld investeren in oude systemen die weinig gebruikt worden op te waarderen of ga je dat investeren in de moderne systemen die veel gebruikt worden te verbeteren?

Dennisb1 @Blokker_1999 • 10 oktober 2022 12:48

Oude, legacy systemen kan en wil je niet meer aanpassen. Daar is niets aan te doen. Maar dat zegt niets over moderne systemen. Die hebben hopelijk wel de nodige faciliteiten aan boord om logging mogelijk te maken of genereren mogelijks die logging al zonder dat deze bewaard blijft. Of misschien wordt ze zelfs al bewaard.

Vele oude systemen bestaan simpelweg omdat er nog wetgeving van toepassing is waardoor de data op die systemen noodzakelijk blijft. Dan kan je heel veel geld gaan investeren in het bouwen van nieuwe software waarin je die data kunt overzetten, of je kunt die systemen gewoon in leven houden. Zeker wanneer het om statische data gaat, die niet meer veranderd, zal er al zeer snel voor dat laatste gekozen worden. Veel goedkoper.

De belastingdienst heeft ook maar een beperkt budget, moet ook elk jaar keuzes maken van waar ze hun geld aan uitgeven. Ga je dan geld investeren in oude systemen die weinig gebruikt worden op te waarderen of ga je dat investeren in de moderne systemen die veel gebruikt worden te verbeteren?

Logging hoort nu eenmaal bij de AVG en al helemaal met zulke gegevens.
Oude systemen dus uitfaseren of aanpassen en met terugwerkende kracht. Ja dat kost geld.

Je moet gewoon voldoen aan de wetgeving punt.

[Reactie gewijzigd door Dennisb1 op 23 juli 2024 12:38]

mjtdevries @Dennisb1 • 10 oktober 2022 13:09

De AVG stelt niet hoeveel logging je moet doen. Sterker nog het legt de nodige bezwaren bij teveel logging, omdat dat impact op je privacy heeft.

Dus stellen dat je "gewoon" moet voldoen aan de wetgeving is onzinnig.
Was het maar zo simpel.

MSalters

Economie en maatschappij
Politiek en recht

@Dennisb1 • 10 oktober 2022 14:58

Belastingen zijn in de EU een puur nationale bevoegdheid. AVG Art 2.2(a) zondert daarom de belastingdienst uit van de AVG.

(Simpel gezegd kan de EU alleen regels maken op gebieden waar ze bevoegd zijn)

RJG-223 @Dennisb1 • 10 oktober 2022 16:58

Logging hoort nu eenmaal bij de AVG en al helemaal met zulke gegevens.
Oude systemen dus uitfaseren of aanpassen en met terugwerkende kracht. Ja dat kost geld.

Je moet gewoon voldoen aan de wetgeving punt.

En als de belasting met vijf procent omhoog moet, stem jij dan voor een andere partij die de belasting ongemoeid laat ? Die dat financiert door onder andere het budget van de belastingdienst te korten, zodat ze toch nog maar even de oude systemen blijven gebruiken, en het niet voldoen aan de wet voor lief neemt, omdat het de meeste mensen toch niet echt kan schelen ?

mac1987 @Blokker_1999 • 10 oktober 2022 12:24

Je zou wel voor raadpleging van oude data gebruik kunnen maken van enterprise search engines en daar de logging inbouwen (directe toegang tot het oude systeem moet dan worden afgesloten of beperkt tot het minimum). Nieuwe gegevens zouden dan z.s.m. moeten worden vastgelegd in nieuwe systemen die dit soort zaken wel op orde hebben.

[Reactie gewijzigd door mac1987 op 23 juli 2024 12:38]

J_van_Ekris @Keyb • 10 oktober 2022 21:06

Maar wat is jouw voorstel? Dat ze gewoon doorgaan met die huidige systemen en de schouders ophalen over dit probleem? Technisch is het niet onmogelijk. Economisch gezien een ander verhaal? Ja uiteraard, maar dat mag geen excuus zijn om maar door te gaan op de huidige voet.

Volgens mij is het zo'n verweven en verouderde bende dat je geen keus hebt dan op de huidige manier door te gaan. Misschien hier en daar wat ellende opruimen, maar UWV heeft wel laten zien dat herbouwen van kernsystemen echt uitloopt op een nachtmerrie.

evilution @batjes • 10 oktober 2022 10:24

Gelukkig was er wel budget voor riante afvloeiingsregelingen.

bussie66 @evilution • 10 oktober 2022 23:43

En de hele dag dossiers zwart lakken

jpsch @batjes • 10 oktober 2022 10:33

Technisch is het mogelijk. Al neem je maar alle schermen continue op van de medewerkers.

Somoghi @jpsch • 10 oktober 2022 11:01

Of je houdt per medewerker het klembord in de gaten en verbiedt telefoons met fotocamera's, iets in die richting.
Als iemand een eigen mail controleert mag dat volgens mij gewoon.

[Reactie gewijzigd door Somoghi op 23 juli 2024 12:38]

Dennisb1 @jpsch • 10 oktober 2022 12:50

Al neem je maar alle schermen continue op van de medewerkers.

Dit is niet toegestaan vanuit de wetgeving.

[Reactie gewijzigd door Dennisb1 op 23 juli 2024 12:38]

n9iels

@Keyb • 10 oktober 2022 10:28

Ook in developer land is er een groot tekort aan mensen. Ga je dan een team van ontwikkelaars alle oude applicaties die maar 4x per week gebruikt worden laten aanpassen? Daar heb je simpelweg niet genoeg tijd voor. Applicaties zijn oud, een ontwikkelomgeving opzetten kost enorm veel tijd en CI/CD was toen absoluut nog niet zo' ding.

Tuurlijk is het technische wel mogelijk, maar het zal absoluut een uitdaging zijn. Want je kunt prima logs en audit toevoegen aan al die 900 apps maar die informatie moet ook efficiënt doorzoekbaar zijn. En 900 verschillende logs doorspitten is dat absoluut niet.

Keyb @n9iels • 10 oktober 2022 10:31

Dus? Gewoon doorgaan zoals ze dat nu doen? Of zou er toch serieus gekeken moeten worden naar een in principe loggen we alle bevragingen? En alleen met hoge uitzondering mag een oud systeem nog blijven 'bevragen'?

Blokker_1999

Economie en maatschappij
Politiek en recht

@Keyb • 10 oktober 2022 10:44

Vanaf de zijlijn is het eenvoudig. Alleen bij hoge uitzondering oude systen blijven bevragen? Dus je gaat de bureaucratie bemoeilijken doordat mensen ineens toestemming moeten gaan vragen om hun werk te doen, wat hun werk ook nog eens gaat vertragen.

Wat nodig is, is dat je eerst een analyse gaat doen van wat er mogelijk is, wat haalbaar is binnen vooropgestelde termijnen en budgetten. Waar de grootste winsten zijn te halen en daarmee gaat beginnen. Je gaat het nooit helemaal goed trekken, maar geen enkel systeem is perfect.

Maar ondertussen moeten je medewerkers wel gewoon hun werk kunnen blijven doen.

Melones @Keyb • 10 oktober 2022 10:46

Exact! Desnoods een procedureel 4-ogen principe toevoegen en mensen laten meekijken. Er zijn bakken oplossingen.

RJG-223 @Melones • 10 oktober 2022 12:44

Exact! Desnoods een procedureel 4-ogen principe toevoegen en mensen laten meekijken. Er zijn bakken oplossingen.

De stap van een oplossing die theoretisch werkt, naar een die geïmplementeerd is in een relatief grote, bestaande organisatie, die beperkt budget heeft, en ook al geen overschot aan mankracht, is niet zo vanzelfsprekend als jij schijnt te denken. Daarnaast ie het heel makkelijk om vanaf de kant een 'eenvoudige' oplossing aan te dragen, maar zulke 'eenvoudige' oplossingen lijken eenvoudig omdat je ze in één zin kunt opschrijven. Als ze uit gaat werken voor gebruik in een grote organisatie, dan blijken ze veel complexer te zijn dan ze lijken, en voor je het weet zit je met het zoveelste projekt dat jaren vertraagd is, en zwaar over budget.

sfc1971 @Keyb • 10 oktober 2022 11:33

Nee, het is technisch "nu niet mogelijk in de huidige setup". Niet "het is onmogelijk om een systeem te bouwen dat dit wel kan".

CAPSLOCK2000

Politiek en recht
Economie en maatschappij

@Keyb • 10 oktober 2022 12:44

Het feit dat je meer dan 900 verschillende systemen gebruikt kies je zelf voor. Je hebt er jaren over gedaan om die systemen in te richten. Dan ga je nu beginnen met het inrichten van audit trails.

En anders zou de overheid een simpele regel kunnen stellen. Als er geen audit functionaliteit beschikbaar is in een systeem kan je het niet gebruiken. Geef ze een paar jaar voor de overstap en klaar.

Wie maakt die keuze? De belastingdienst zelf of de politiek die de opdrachten geeft en het budget beschikbaar stelt? Of de burger die het accepteert?

Het rottige aan de situatie is dat we niet zonder belastingdienst kunnen. Zonder geld kunnen we gewoon niks. Zelfs het ophalen van belasting kost geld.

We kunnen eigenlijk niet zeggen "regel het maar en anders geen belasting" want daar jhebben we alleen maar onszelf mee. Bij een bedrijf heeft het zin, als de directeur geen centjes meer krijgt dan gaat die wel iets anders bedenken. De belastingdienst betaalt gewoon salaris uit, of er nu belasting wordt opgehaald of niet, en dat kun/wil je ook niet veranderen. Het opgehaalde geld gaat naar de schatkist en niet naar de directeur. Daarbij moet die directeur ook maar doen wat de politiek opdraagt en we willen ook niet dat er soort extra kantoor komt om de belasting te maximaliseren zodat de directeur een mooie bonus krijgt, of zo iets.

Het vervelende is dat een slecht functionerende belastingdienst voordelig is voor rijken en nadelig voor armen. Bij de rijken valt het meeste te halen, hoe slechter de belastingdienst werkt hoe minder er betaald wordt door de groep die dit het beste kan dragen. Als de rijken het niet betalen dan komt het dus bij de armen terecht. Of we doen het niet. Dat komt op hetzelfde neer want de rijken kunnen het dan nog zelf betalen terwijl de armen dat niet kunnen. Ik laat met opzet even in het midden wat "het" dan is, net als wie er "rijk" en "arm" zijn.

Punt is dat je een belastingdienst nodig hebt om geld op te halen. Hoe beter die dienst werkt hoe eerlijker het is en hoe minder mensen onredelijk belast worden. Als de dienst niet goed werkt dan is dat in het voordeel van de rijken en in het nadeel van de armen.

Wat je bij een slecht functionerende belastingdienst dus vooral niet moet doen is bezuinigen. Dat maakt de problemen en ongelijkheid alleen maar groter. Geen belasting betalen is gewoon geen optie. Als de ene belasting niet betaald wordt dan zal het ergens anders vandaan moeten komen.

Een regering die opkomt voor de zwakkeren investeert in de belastingdienst zodat de rijken hun aandeel betalen in plaats van de armen er voor op te laten draaien. Een regering die kiest voor de belangen van de rijken zal bezuinigen op de belastingdienst.

Toeslagen onderbrengen bij de belastingdienst is ergens logisch omdat het allemaal om geld gaat en van de andere kant onlogisch omdat "uitkeren" en "belasting betalen" nogal tegengesteld zijn.
De belastingdienst heeft de taak om te zorgen dat niemand te weinig betaald.
We moeten ook een dienst hebben om te zorgen dat niemand te weinig krijgt. ( Nee, we gaan het niet de ontlastingsdienst noemen).

Zonder er nu verder op in te gaan: het basisinkomen zou de boel flink versimpelen en heeft een vangnet functionaliteit doordat het ook werkt voor mensen die niet zo goed in staat zijn om voor hun eigen belangen op te komen.

RJG-223 @CAPSLOCK2000 • 10 oktober 2022 14:29

Een regering die opkomt voor de zwakkeren investeert in de belastingdienst zodat de rijken hun aandeel betalen in plaats van de armen er voor op te laten draaien. Een regering die kiest voor de belangen van de rijken zal bezuinigen op de belastingdienst.

Ik denk dat het voor een deel ook kortetermijnpolitiek is.

Een oplossing implementeren kost nu veel geld en mankracht, en levert pas na de volgende verkiezingen, of als je pecht hebt nog een kabinetsperiode later, geld op. Het is politiek voordeliger om het geld wat het kost in deze kabinetsperiode uit te geven aan iets waarvan je direkt politiek rendement ziet, in plaats van aan iets wat op langere termijn geld oplevert, voor je opvolgers, en dan nog niet eens politiek rendement - want mensen houden wel van klagen over dingen die niet goed gaan, maar als het wel goed gaat, dan vinden ze dat vanzelfsprekend...

En voor bewindslieden is het waarschijnlijk ook een zaak waarbij ze niets kunnen winnen. Als ze de problemen oplossen, krijgen ze weinig erkenning, zeker niet landelijk, maar als het projekt met moeilijkheden te kampen krijgt (waarschijnlijk deels door te weinig budget...), dan krijgen ze wel de verwijten.

Dauthi 10 oktober 2022 10:00

Wow.
Dat is schokkend, dat overheid zijn eigen werknemers niet kan en niet wil controleren.

Helemaal bij een instantie, die gepakt is op het gebruik van illegale zwarte lijsten op basis van afkomst of religie.

De overheid is een onbetrouwbare handelspartner, die je als burger en ondernemer, blijkbaar op zijn blauwe ogen moet geloven.

casd18 @Dauthi • 10 oktober 2022 10:15

De overheid is een onbetrouwbare handelspartner, die je als burger en ondernemer, blijkbaar op zijn blauwe ogen moet geloven.

Nee, deze specifieke tak van de rijksoverheid is in wanorde.

'De overheid' werkt in de meeste gevallen prima en levert gewoon prima diensten tegen een redelijke prijs. Je denkt er misschien niet bij na maar je doet elke dag 'zaken met de overheid'. Dat gaat meestal zo vlekkeloos dat je er niet een bij nadenkt.

Ik zeg niet dat zaken niet beter kunnen maar om nu alle ambtenaren over een kam te scheren omdat een aantal top ambtenaren topambtenaren bij de belastingdienst de zaken totaal verkloot hebben is niet echt fair.

Edit: typo (maar laten staan voor @Heidistein

)

[Reactie gewijzigd door casd18 op 23 juli 2024 12:38]

Chrono Trigger @casd18 • 10 oktober 2022 11:26

Je moet ook wel stellen dat de wanorde komt door een gebrek aan visie, ondernemerschap en ontbrekende bereidwilligheid tot het nemen van risico's.

De kernsystemen van de belastingdienst werken voor een deel op HP-UX en zijn niet meer te onderhouden. De lagen daar bovenop zijn daardoor ook lastig door te ontwikkelen. De hele infrastructuur schreeuwt om een 'overhaul' en daadkrachtige directie, budget en vertrouwen om dit te realiseren.

Niet heel gek aangezien zo'n beetje elke afdeling externe consultants bevat die het budget kaalplukken en er soms nog met een mooie dataset vandoor gaan. Interne auditor wil je daar niet zijn, het is doorgaans om te janken. Dat is geen goede basis om een project op te initiëren wat vele jaren en vele miljarden gaat kosten om te bouwen en in essentie niks nieuws oplevert in een tijd waar we al miljarden spenderen aan het pleisteren van crisissen.

Toch moet er vanuit Den Haag een keer iemand zijn die de ballen heeft om dit te lobbyen tot er succes is, desnoods begin je met draagvlak te creëren vanuit een nieuwe ministerie van digitale zaken o.i.d. De belastingdienst is inmiddels ook een bottleneck voor de samenleving die ons ook vele miljarden kost. Daar ligt de business case volgens mij.

[Reactie gewijzigd door Chrono Trigger op 23 juli 2024 12:38]

RJG-223 @Chrono Trigger • 10 oktober 2022 12:54

Je moet ook wel stellen dat de wanorde komt door een gebrek aan visie, ondernemerschap en ontbrekende bereidwilligheid tot het nemen van risico's.

Meen je dat serieus ? De belastingdienst is een ambtelijke organisatie, met een ambtelijke taak. Ondernemerschap is daar niet op z'n plaats. Er moeten gewoon regels uigevoerd worden. Met deadlines. Er valt niets te ondernemen bij de belastingdienst. En risico's: je wilt juist niet dat er risico's genomen worden. Dat brengt het doel van de organisatie in gevaar. Risico's nemen betekent de kans op succes én kans op falen. De belastingdienst mág juist niet falen. En succes: wie plukt daar dan de vruchten van, en wélke vruchten, als beloning voor het nemen van die risico's ? En wie draagt de last van het falen als het verkeerd uitpakt ?

MSalters

Economie en maatschappij
Politiek en recht

@RJG-223 • 10 oktober 2022 15:07

Kijk, dat is dus weer zo'n reden waarom het fout gaat: het ontkennen van risico's.

Risico's zijn inherent aan elke belangrijke beslissing. Aan de ene kant kun je doen wat jij doet, en wegkijken. Aan de andere kant van het specrum heb je actief risico-management waarbij risico's voortdurend worden ingeschat, bijgewerkt, gequantiseerd, afgewogen en opgeteld. Je ziet dat bijvoorbeeld als Rijswaterstaat het heeft over "eens in de 1000 jaar" risico's. Dat zijn de ingenieurs die weten dat "mag niet falen" een recept is voor falen.

Ook bij zoiets specifieks als "logging binnen de Belastingdienst" kun je een risico-analyse doen. Niet loggen binnen een rekenhulp applicatie? Dat kan zeker een acceptabel risico zijn - het is aannemelijk dat daarin geen persoonlijke data wordt bewaard, maar 100% zeker is dat niet.

RJG-223 @MSalters • 10 oktober 2022 15:38

Aan de ene kant kun je doen wat jij doet, en wegkijken

Ik kijk niet weg. Ik zeg alleen dat een ambtelijke organisatie van nature risico-avers is, en dat is onvermijdelijk, en maar goed ook.

Je verwart risico's nemen met risico's beheersen. Ik had het over het eerste, jij hebt het over het laatste.

Aan de andere kant van het specrum heb je actief risico-management waarbij risico's voortdurend worden ingeschat, bijgewerkt, gequantiseerd, afgewogen en opgeteld

En wie zou er in jouw verhaal bij de belastingdienst dan het risico moeten 'nemen' ? Ik kan je vertellen: niemand die dat wil. Niemand die daar voldoende voor beloond wordt. Wat jij beschrijft is een manier om alle risico's te beheersen en af te dekken, tot het niveau dat niemand feitelijk verantwoordelijk gehouden kan worden, mits ze geen fouten maken. Dat is iets heel anders dan ondernemen, ergens in geloven, en er voor gaan, het risico nemende, wetende dat het mis kan gaan, en dat je dan je huis kwijtraakt. Maar dat je als het goed gaat miljonair kunt worden. Voor dat soort ondernemen en risico's is bij de belastingdienst, en bij ambtelijke organisaties in het algemeen, geen plaats.

Heidistein @casd18 • 10 oktober 2022 11:07

Volledig met je eens. Je maakt echter een (grappig) foutje.
Je hebt het over top ambtenaren, die corrupt zijn. Je bedoelde topambtenaren, die staan aan de top. Het zijn juist geen top ambtenaren (ambtenaren die top/puik/goed werk leveren).

Dauthi @casd18 • 10 oktober 2022 11:46

Nee, niet alleen deze specifieke tak van de rijksoverheid. Vrijwel alle ministeries zijn in wanorde. Bonnetjes verdwijnen, lange termijn besluiten die binnen 5 jaar worden terug gedraaid, door de EU vereiste onderzoeken worden niet uitgevoerd.

De overheid kan zijn rekeningen aan het MKB niet eens tijdig overmaken.
Is niet in staat om lagergeschoold capabel personeel aan te trekken en aan te houden.
De overhead is gigantisch, corruptie wordt in de hand gewerkt, controle door burgers zijn journalistiek wordt tegengewerkt.
Er zijn inmiddels zoveel crises, door ondoordacht visieloos overheidsbeleid, dat ze niet meer op 2 handen te tellen zijn.

Als je mee kan komen in de maatschappij en nauwelijks te maken hebt met de overheid gaat het allemaal prima. Op het moment dat je gedwongen bent te handelen met de overheid blijkt dat het helemaal niet prima is.

Juist, omdat allerhande controle mechanisme niet zijn aanwezig zijn of niet functioneren.

Ik zeg niet dat zaken niet beter kunnen maar om nu alle ambtenaren over een kam te scheren omdat een aantal top ambtenaren topambtenaren bij de belastingdienst de zaken totaal verkloot hebben is niet echt fair.

Ambtenaren worden niet over een kam geschoren.
Ambtenaren genieten bescherming door anoniem op te gaan in het systeem. Dat betekent niet dat kritiek op het systeem automatisch een generalisatie is voor iedere ambtenaar.

Ook dit is inherent aan het systeem dat de overheid bezigt.

[Reactie gewijzigd door Dauthi op 23 juli 2024 12:38]

PolarBear @Dauthi • 10 oktober 2022 14:42

De overheid kan zijn rekeningen aan het MKB niet eens tijdig overmaken.

Ik hoor dit vaak maar mijn ervaring de afgelopen paar jaar is dat de overheid (van rijkswaterstaat tot de gemeente Amsterdam) heel punctueel uitbetaald. Enige lastige kan nog wel eens zijn de juiste routeringcodes (of hoe het dan ook mag heten) te regelen, maar een goede ingediende factuur wordt eigenlijk altijd op tijd uitbetaald en vaak sneller.

vgroenewold @Dauthi • 10 oktober 2022 10:17

Verplicht bent om te geloven ja, dat is het probleem. Er moet een bepaalde controle bestaan op de dienst zelf ook en dat is duidelijk minder het geval.

Silent7 10 oktober 2022 09:47

Meer dan 900 verschillende systemen? Pfffff ongelofelijk

ELD @Silent7 • 10 oktober 2022 09:48

Valt op zich nog mee, veel banken en andere grote bedrijven hebben een veelvoud daarvan, denk aan 4k+.

Creesch @ELD • 10 oktober 2022 09:56

Het hangt er ook vanaf wat men bedoelt met een "systeem". Zijn het alle losse applicaties in een keten of is het de gecombineerde groep van applicaties die één soort functionaliteit/proces bedienen. Als je alle losse applicaties gaat tellen dan loopt het al snel op. Zeker omdat in moderne softwareontwikkeling men vaak weg beweegt van monolieten die alles kunnen en dit opsplitst in beter onderhoudbare losse componenten.

Het niet gekoppeld zijn van systemen is wat dat betreft ook een niets zeggende zin in dit artikel. Systemen die niks te zoeken hebben bij de data van andere systemen zouden ook niet gekoppeld moeten zijn. Ik vermoed dat men bedoelt te zeggen dat authenticatie en het loggen van gebruikershandelingen niet gekoppeld zijn aan een centraal systeem. Dat zou je wel willen en het is bizar als dit niet zo is. Banken zijn daar ronduit paranoïde op en hebben allemaal failsaves op ingebakken in het proces. Dat het bij de belastingdienst niet zo is mag bijzonder worden genoemd.

Tweakert2020 @ELD • 10 oktober 2022 11:22

Nou nee.. dit is echt wel overdreven

n9iels

@Silent7 • 10 oktober 2022 09:58

Dat is niet zo vreemd hoor. Zeker een instituut zo oud als de belastingdienst heeft een enorme hoeveel hoeveelheid openbare en interne applicaties. Veelal zijn dit tools die vanuit historisch perspectief moeten blijven werken. Als je ooit een obscure regeling hebt gehad waar een speciale website voor nodig was moet die website blijven draaien zolang er mensen van die regeling nuttigen.

Daarnaast is het ook de vraag wat een "systeem" is. Hebben we het hier over 900 applicatie servers, virtuele machines, API's of software programma's?

19JM81

10 oktober 2022 09:56

Ik werk bij een grote bank, als je ziet wat wij allemaal moeten vastleggen en bewaren wat medewerkers doen met klantgegevens... is het echt stuitend dat de belastingdienst hier zo makkelijk mee wegkomt...

deniz280 @19JM81 • 10 oktober 2022 10:14

Belastingdienst ook de perfecte afspiegeling van hoe outdated het is vergeleken met onze kabinet

[Reactie gewijzigd door deniz280 op 23 juli 2024 12:38]

vgroenewold @19JM81 • 10 oktober 2022 10:14

Dat is het bij ieder nieuws bericht, maar dat kunnen ze dus gewoon.

Echt verbaasd ben ik allang niet meer. Men staat gewoon enigzins buiten de wet als ambtenaar, dus dan krijg je snel scheef lopende zaken, want het maakt toch niet uit.

[Reactie gewijzigd door vgroenewold op 23 juli 2024 12:38]

sfc1971 @19JM81 • 10 oktober 2022 11:31

Tja maar dat is ook pas geregeld nadat de banken ongelooflijk de fout in zijn gegaan in het verleden tot actief meewerken aan witwassen aan toe.

Darksteel83 @sfc1971 • 10 oktober 2022 11:37

Gezien de kindertoeslagen affaire heeft de belastingdienst het ook niet echt beter gedaan.
Voor een groot deel moest dit wel van de wet. Maar het je echt aan de wet kan soms net zo slecht uitpakken als het je niet aan de wet houden.

TheVivaldi @Darksteel83 • 10 oktober 2022 11:54

Het probleem is natuurlijk ook een kwestie van interpretatie. De ene rechter hanteert een andere of strengere interpretatie dan de ander. Dat zal bij overheidsinstellingen vast niet anders zijn.

BugBoy @19JM81 • 10 oktober 2022 11:50

Het probleem voor de belastingdienst is dat de budgetten erg geknepen worden, vaak wetswijzigingen moetn worden doorgevoerd en dat alles aan-/uitbesteed moet worden. Ik ken mensen die bij de BD werken en die werken kei- en keihard, maar er is gewoon niet tegenop te boksen.

RJG-223 @19JM81 • 10 oktober 2022 12:18

Ik werk bij een grote bank, als je ziet wat wij allemaal moeten vastleggen en bewaren wat medewerkers doen met klantgegevens... is het echt stuitend dat de belastingdienst hier zo makkelijk mee wegkomt...

De belastingdienst heeft zelf helaas geen invloed op z'n inkomsten. Ze kunnen niet hun prijzen verhogen om dit soort zaken te betalen, en ze kunnen ook niet beslissen om bepaalde opdrachten dan maar niet meer aan te nemen, of afscheid te nemen van bepaalde klanten. Daarnaast leven ze in een omgeving waar de klant (regering) continu met nieuwe eisen komt die geïmplementeerd moeten worden. En al die kleine veranderingen vindt de regering ongetwijfeld belangrijker dan de grote zaken die politiek niets opleveren. Het zou me niet verbazen als de belastingdienst al aan z'n max zit wat betreft hun mogelijkheiden om wijzigingen (vanwege veranderende belastingregels) te verwerken, zonder dat ze zich ook nog eens met dit soort zaken hoeven bezig te houden.

Dus als je wilt klagen, moet je niet de belastingdienst hebben, maar de politiek...

SunnieNL

10 oktober 2022 09:52

Mmm, vaststellen van integriteit van documenten kan niet als je alleen weet welke soort documenten iemand toegang tot heeft. Daarvoor moet je op zijn minst weten welke documenten de persoon heeft aangepast. Tenzij de medewerkers alleen leesrechten hebben, want dan kan er geen integriteits probleem zijn.

De fiscus stelt dat er wel 'goed onderzoek' kan worden uitgevoerd bij integriteitsproblemen, omdat de Belastingdienst wel 'kan vaststellen tot welk soort informatie een verdachte medewerker toegang heeft gehad'.

Maar dit is natuurlijk wel een probleem op gebied van IAAA die de belastingdienst zal moeten oplossen, anders zijn problemen waar deze ambtenaar van wordt verdacht, nooit te vinden of op te lossen.
Vraag me af of andere zaken in de IAAA wel goed zijn afgevangen, zoals autorisatie met Need To Know toegang met least privileges. (Al lijken ze dat wel te willen zeggen met hun integriteits mededeling)

[Reactie gewijzigd door SunnieNL op 23 juli 2024 12:38]

bkor @SunnieNL • 10 oktober 2022 10:13

Tenzij de medewerkers alleen leesrechten hebben, want dan kan er geen integriteits probleem zijn.

Bedoelde je dit sarcastisch of niet? Indien niet, leesrechten zijn net zo problematisch. Je kan behoorlijk veel van een persoon leren door naar de gegevens te kijken. Helemaal bij de gegevens die de belastingdienst heeft.

Bij de politie worden enige regelmaat politiemensen ontslagen omdat ze informatie doorverkopen. Bij de belastingdienst heb ik er niet over gehoord. Zo te lezen omdat ze geeneens weten wie wat heeft opgevraagd.

Enige jaren geleden mochten heel veel mensen de belastingdienst verlaten met flink wat geld. Dit omdat ze niet meer nodig zouden zijn vanwege een nieuw en goed IT systeem. De mensen zijn weg, dat nieuwe IT systeem wordt niet meer over gesproken. Schijnbaar is alles oud en niets kan.

The Zep Man

Economie en maatschappij
Politiek en recht

@bkor • 10 oktober 2022 10:15

Bedoelde je dit sarcastisch of niet?

@SunnieNL bedoelde informatie-integriteit, niet persoonsintegriteit. Met alleen-lezen rechten kan je de integriteit van informatie zoals die is opgeslagen niet beïnvloeden (informatie is niet te wijzigen).

Waar jij met name naar refereert is informatievertrouwelijkheid (confidentiality).

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:38]

BrandenRage 10 oktober 2022 09:48

Stiekem heb ik de hoop dat als ik "Belastingdienst" in de titel zie staan dat er iets positiefs voorbijkomt, maar telkens weer is het falen. Als de GGD en Teleperformance dit goed kunnen regelen dan moet zo'n groot orgaan als de Belastingsdienst dit toch gewoon kunnen?!

Dit antwoord ook "De fiscus stelt dat er wel 'goed onderzoek' kan worden uitgevoerd bij integriteitsproblemen, omdat de Belastingdienst wel 'kan vaststellen tot welk soort informatie een verdachte medewerker toegang heeft gehad'." Als er geen alarmbellen gaan rinkelen wanneer medewerkers lukraak data opvragen kun je ook niet achter die integriteitsproblemen komen.

Bender @BrandenRage • 10 oktober 2022 09:53

GGD goed regelen?
Thin again..

Chip. 10 oktober 2022 09:55

Tjah... dit is bij ieder bedrijf toch zo (bij diegene waar ik werk, is het echt niet anders...). Bedrijven gebruiken zoveel third-party software en zoveel eigen gebouwede tools waarin dat soort dingen vaak helemaal niet standaard is ingebouwd. En dan zijn de systemen op bepaalde vlakken wel gekoppeld maar niet in dit opzicht, dus als het dan is ingebouwd is het een helskarwei om het erin op te zoeken. Ook afhankelijk of er een 'handige' user interface is of dat het enkel via de backend is op te vragen.

evilution @Chip. • 10 oktober 2022 10:26

De belastingdienst is niet zomaar een bedrijf. Je mag best verwachten dat dit bij de belastingdienst beter geregeld is.

veltnet 10 oktober 2022 09:59

Je zou toch mogen verwachten dat de overheid compliant is met iso27001 en iso9001, of daar in de buurt probeert te komen. Logging lijkt me ook wel een basisfunctionaliteit voor overheids it-systemen.

Prutsers zijn het.

[Reactie gewijzigd door veltnet op 23 juli 2024 12:38]

phizzie 10 oktober 2022 09:59

Tjonge, dit is wel ongebruikelijk. Eigenlijk overal waar ik bij (Semi-)overheidsinstanties heb gezeten is standaard op medewerkerID en systeemniveau enige uitvraag gelogd. Met een Timestamp kom je dan in de aanpalende systemen of een transactieID dan verder in de keten om informatie aanvragen aan elkaar te rijgen.

Wat ik me wel kan voorstellen is dat bijvoorbeeld niet gelogd wordt, of nog geen voorziening er is, dat een medewerker buiten een doelgroep kan zoeken. Bijvoorbeeld op BSN of BTW nummer die alleen in de poule van jouw klanten of jouw afdeling kan vallen.

Aan de andere kant zou je, ondanks de 900 systemen al lang een sluitende administratie verwachten. Al zou het maar zijn dat je een laagje tussen alle frontend en backend varianten hebt waarmee je raadplegingen logt op personeelsniveau.

gaurdian 10 oktober 2022 10:03

Ik zie dat veel bedrijven worstelen met "did-do" analyses. "Can-do" gaat vaak nog wel, maarja, dan krijg je na 'goed onderzoek' te zien dat een verdachte toegang had tot bijv bijna alle systemen, daar heb je nog niet veel aan.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (248)

Sorteer op:

Weergave: