Staatssecretaris: ontbreken loggegevens Belastingdienst bemoeilijkt onderzoek

Staatssecretaris Marnix van Rij erkent dat door het ontbreken van een logsysteem bij de Belastingdienst, onderzoek naar corrupte medewerkers wordt bemoeilijkt. De systemen leggen niet vast wie welke gegevens opvraagt, waardoor ambtelijke corruptie moeilijk is te achterhalen.

In een brief aan de Tweede Kamer schrijft Van Rij dat "computersystemen van de Belastingdienst niet registreren (loggen) welke informatie medewerkers opvragen omdat deze systemen niet zijn opgezet om dit soort informatie vast te leggen." De staatssecretaris Fiscaliteit en Belastingdienst geeft daarmee antwoord op Kamervragen die werden gesteld naar aanleiding van een artikel in NRC, waaruit naar voren kwam dat corruptie bij de Belastingdienst lastig is te traceren.

Van Rij kan niet zeggen wanneer de Belastingdienst wel in staat zal zijn om te loggen welke informatie medewerkers opvragen. "Deze informatie ontbreekt mede omdat de Belastingdienst met zo’n negenhonderd verschillende systemen werkt, die meestal niet aan elkaar zijn gekoppeld. Ook is in de oude systemen van de Belastingdienst het loggen van raadplegen van informatie niet meegenomen in het ontwerp en is geen rekening gehouden met principes van deze tijd", aldus de staatssecretaris.

Volgens de staatssecretaris hebben 10.000 ambtenaren bij de Belastingdienst toegang tot gegevens van burgers. Eerder dit jaar meldde het Parool dat uit een strafrechtelijk onderzoek bleek dat er 920.000 euro cash gevonden is bij een belastingambtenaar. De ambtenaar wordt ervan verdacht dit geld te hebben verdiend met het doorverkopen van gegevens uit de systemen van de Belastingdienst, maar dat is niet te bewijzen door het ontbreken van loggegevens. De rechtszaak loopt nog.

Het is niet de eerste keer dat de Belastingdienst in opspraak komt voor het niet op orde hebben van logsystemen. Begin dit jaar kreeg de overheidsdienst nog een AVG-boete van 3,7 miljoen euro voor een illegaal toeslagensysteem. Onderdeel van de onderbouwing voor deze boete was het ontbreken van voldoende logging en goede controle op de logsystemen.

Door Robert Zomers

Redacteur

06-12-2022 • 18:14

174 Linkedin

Reacties (174)

174
169
77
9
0
64
Wijzig sortering
Het spijt mij echt heel erg, maar wat is dat voor ballentent daar bij de Belastingdienst? ik zit zelf in de soft en hardware, en logging is gewoon een standaard. Hoezo ontbreken van een logsysteem? Welke frikandel heeft die infrastructuur aangelegd bij de belastingsdienst?

We hebben het hier over zeer delicate gegevens en een staatssecretaris die met zijn knipperende ogen gewoon verteld dat er een logsysteem ontbreekt. Echt, wat is dat voor soep zooitje daar?
De Belastingdienst weet heus wel wat logging is. Splunk wordt daar al jaren ingezet om logging te verzamelen. Ook op het mainframe wordt gelogd. Toen ik daar ruim 20 jaar geleden als inhuur zat bouwden we al speciaal een logmodule in C. Zoiets als log4j nu is.

Het artikel zegt ook niet dat er niet gelogd wordt maar dat het opvragen van informatie niet gelogd wordt.
Normaal log je exceptions/fouten en eventueel mutaties van gegevens. Het opvragen van gegevens loggen is een bewuste keuze die veel geld kost. Splunk is niet gratis en opslag ook niet.

[Reactie gewijzigd door erikdenv op 6 december 2022 20:57]

Ben zelf ook geruime ingehuurd geweest en ik kan buitenlui verzekeren dat er uiterst slimme en betrokken mensen werken die met man een macht proberen de boel in het reine te laten lopen.

Het wordt alleen wat lastig wanneer je halverwege de uitvoering van een inmiddels veranderde wetgeving en (pakket)eisen, een inmiddels 100x bijgesteld ontwerp weer een ander ontstaand gat moet gaan dichtmaken.
Wat ook niet meehelpt dat er steeds weer nijvere lieden aan boord stappen; die het wel FF zullen leiden en na een maand of 3 - ontdaan van alle illusies - lijdelijk hun biezen pakken.
Wat veel mensen - gewend aan een gestelde opdracht uitvoeren - denken en zich niet realiseren dat de belastingdienst niet de dienst uitmaakt, geen controle heeft op wat zij moet doen en de omstandigheden (departementaal elders) voortdurend het verloop van een (sub)project bepalen.

Pak je één systeem van de vele honderden is dat op zichzelf relatief makkelijk uit te voeren. Het wordt allengs lastiger wanneer er geknoopt moet gaan worden tussen systemen en methodieken; en (je) daar dan geen fouten mag en kunt veroorloven omdat iedereen zich meer dan bewust is dat ze met gegevens werken die mensen in hun wezen maken maken en breken.
Dus?

Ik hoor bij de overheid altijd alleen maar excuses waarom iets niet kan, en als buitenstaander (ik heb een half jaartje bij een lokale gemeente meegedraaid) heb je daar toch helemaal niets mee? Waarom is het bij de overheid altijd "kan niet", "te moeilijk", "te complex", "te duur" maar in het normale bedrijfsleven doet men het gewoon? Grote bedrijven zoals Shell/DSM/Siemens enz. hebben soort gelijke complexe problemen, ook zij hebben legacy systemen, ook zij moeten voldoen aan regeltechnische eisen, ook zij hebben talloze sub systemen en toch doet men het gewoon.

De enigste reden die ik kan bedenken dat als het cultuur bij de overheid systematisch anders is dan bij een bedrijf. Dat is iets wat je ook keer op keer terug ziet komen. Maar mag dat een probleem zijn om dit soort problemen niet te tacklen? Sterker nog mogen we van de overheid eigenlijk niet meer verwachten dan van het bedrijfsleven? Dat men corruptie niet goed kan onderzoeken is niet alleen een financiele kwestie, de overheid heeft hier 920.000 euro (zo simpel ligt het waarschijnlijk niet) verloren, maar het is ook een sociaal probleem, immers de overheid is niet te vertrouwen. Corruptie is wijdverspreid en men doet er niets tegen. Zo komt het over bij mij althans, en het helpt dan zeker ook niet mee dat ze enerzijds er niks tegen willen doen (geef mij geen excuses) en anderzijds hoevaak corruptie hoog en laag voorkomt, rapporten die verdwijnen, ambtenaren die niet wilen luisteren enz.

Dus waarom moeten we het maar accepteren dat de overheid niet kan als het in het bedrijfsleven wel kan. Ik snap dat je hier persoonlijk niks tegen kunt sterker nog je toelicht waarom het zo is, maar als buitenstaander vind ik het onacceptabel dat dit geaccepteerd wordt, zo ook hier dat een staatssecretaris dit probleem zelfs durft aan te kaarten. Dit is gewoon weer een zoveelste dieptepunt van de belastingdienst en Nederland.bv betaald daarvoor.
Waarom is het bij de overheid altijd "kan niet", "te moeilijk", "te complex", "te duur"
Simpel: de overheid werkt met hééééél veel data van heel veel verschillende soorten op heel veel verschillende plekken en omstandigheden.

Het is wat meer dan inkoop, verkoop en een klantendatabase.

Het is gewoon moeilijk, complex, en duur. En daardoor kunnen sommige dingen inderdaad ook niet.

Een volledig automatisch ingevulde belastingaangifte ? Dat is technisch niet zo moeilijk. Totdat je na gaat denken over privacy, beveiliging, het voorkomen van fraude en wat de gevolgen zijn als er een fout in de data zit.

[Reactie gewijzigd door T-men op 7 december 2022 10:21]

Dus...?

Er zijn bedrijven met honderdduizenden employees, tientallen zo niet honderden miljoenen klanten die wereldwijd opereren onder tientallen zo niet 100+ verschillende regelgevingen en wederom die hebben niet dit probleem. Bedrijven met budgetten vaak vele malen kleiner dan Nederland.BV.

Daarnaast nogmaals waarom is dit uberhaubt relevant? We hebben het hier niet over een verbetering in gebruikersgemak richting de klant, namelijk ik en jezelf, we hebben het hier over het niet op orde hebben van data registratie om corruptie tegen te gaan. Dit is toch volledig onacceptabel dat zoiets zomaar kan? Wederom hoe kan ik als burger vertrouwen hebben in een overheid die keer op keer faalt in de meest basale dingen, zoals hier criminelen buiten de deur te houden en fatsoenlijk te bestraffen. Dat kan toch gewoon niet?

En buiten dat men gewoon faliekant faalt, hoe komt dat de zoveelse staatssecretaris die ons een verhaal verkoopt waar zijn de gevolgen voor hem, waar zijn de gevolgen voor Directeuren-generaal Belastingdienst (wat een verachtelijke term overigens, dat iemand zich zo durft te noemen). Nogmaals dit is totaal onacceptabel en rammelt gewoon aan alle kanten.

Ik heb twee bedrijven zelf en nee niks komt in de buurt van NederlandBV maar zelfs wij met een paar honderd man staan stil bij dit soort problemen. We hebben third party partijen die ons auditen om in te zien hoe wij data opslaan, of dit conform de lokale regelgeving is en voldoet aan de wensen van mij en wie er verder nog op toeziet. En ik snap dat dit van een totaal ander caliber is, maar het is toch ongehoord dat zoiets basaals bij de belastingdienst mis gaat?

Dit is gewoon wederom schandalig en uiteindelijk... gebeurd er wederom niets. Dieptriest en als ik Marnix zou ik gewoon opstappen. Maar ambtenaren kennende rouleren ze gewoon lekker verder binnen de banen caroussel waar jij en ik voor betalen.
en wederom die hebben niet dit probleem.
Is dat zo ? Check hier eens

Edit: betere bron: Autoriteit Persoonsgegevens

[Reactie gewijzigd door T-men op 7 december 2022 12:04]

Simpel bij een bedrijf neem je -en komt er een ander bedrijf die iets anders doet. Bij overheid is die mogelijkheid er niet.

Overheden en ambtenaren zoals de de BD kunnen (en mogen) geen nee zeggen of hun poot dwars zetten op straffe van obstructie; dan ontstaat inderdaad een fundamenteel andere cultuur waar men binnen de mogelijkheden, het zo goed mogelijk probeert te doen.
Ik heb zelf ook aan walgelijke gedrochten meegebouwd waarbij buitenkijf staat dat we aan het rugzakken waren omdat er geen toestemming (noch tijd en mogelijkheid) was om fundamenteel de "kern" te herzien.

Dat is verder geen excuus, laat staan bewust "slecht" willen doen maar vooral de "opdrachtgever" (dwz Regering en Kamer) binnen haar lijntjes, tevreden houden. In veel gevallen krijgt een ambtenaar een onmogelijk opdracht. Wat soms wel lukt(e) was puur op grond van eigen opgelegde regels w.o. wetegeving en voldoen aan erkende standaarden, een opdracht terug te geven.
Vooral als je dat allemaal weet, zo door blijven gaan. Kan je volgend jaar weer je hoofd stoten.

Ik heb net zo goed voor de overheid en AFM gerelateerde zaken gewerkt (alleen niet ALS overheid, maar VOOR). Dan weet je dat dingen kunnen veranderen. Daarop pas je je organisatie en processen aan. Na weet ik hoeveel jaar steeds met hetzelfde excuus komen wordt ook saai.

Overigens, op de één of andere manier doen we net alsof "in het bedrijfsleven" nooit dingen ad-hoc veranderen. Sterker nog, dat gebeurd misschien wel vaker. Immers in tegenstelling tot de BD dienen bedrijven winstgevend te zijn omdat ze anders failliet gaan. Snel, adequaat, "agile", kunnen reageren is dan net zo belangrijk.

Het is niet de bedoeling om af te geven op die ene engineer bij de BD, maar wel het totaal plaatje en beginnend bij de 'top. Alle oude heertjes in pak die politiek bedrijven voor hun eigen gewin. Met natuurlijk de bescherming (bij wet) dat niemand bij de BD bij wanprestaties verantwoordelijk gehouden kan worden.

Laten we stoppen met dingen goed te praten en gewoon eens accepteren dat het een beerput vanjewelste is.
Ik heb geen reacties gelezen waarin dingen worden goed gepraat. Volgens mij is iedereen het er al decennia over eens dat het 'een beerput van jewelste' is. Helpt dat inzicht?

Ik zie wel reacties waarin wordt uitgelegd hoe het kan dat het zo verkeerd gelopen is.
Overigens, op de één of andere manier doen we net alsof "in het bedrijfsleven" nooit dingen ad-hoc veranderen.
Overigens, op de één of andere manier doen we net alsof "in het bedrijfsleven" nooit dingen mis gaan. Dat lijkt, als ik de commentaren zo lees, alleen bij de overheid te gebeuren.
Of.... is het meer dat de overheid in een glazen huis staat en het bedrijfsleven er in slaagt hun problemen binnenskamers te houden ?
En wat nou als er een modern systeem van de grond af wordt opgebouwd, maar dan open source. Dit lijkt me bij uitstek geschikt omdat je dan vrij bent van de logge grote IT dienstverleners en interne en externe politiek (ok waar mensen samenwerken heb je altijd politiek).
Het zal waarschijnlijk een stuk goedkoper zijn (gratis development uren, efficiënter ingericht), veel flexibeler, transparanter en meer open om op verder te bouwen of aan te koppelen. Bijvoorbeeld een module wat gratis belastingadvies geeft zou mooi nivellerend werken.
Hier moeten toch genoeg slimme mensen voor te porren zijn, want: uitdagend, maatschappelijk relevant en je helpt jezelf er ook nog eens mee.
Is zoiets al eens geprobeerd?
OpenSource is geen synoniem voor goedkoop en flexibel. Veel (samengestelde) software bij de overheid is vaak one-of-a-kind en het is echt lastig daarvoor een belangeloze community te vinden die daar constructief to-the-point aan mee wil (en kan) bouwen.

Wel 's een proefballonnetje gedaan met opensource. Toen bleek dat het ging om een overheidsopdracht, gingen de helft van de community op rood en was een kwart van resterende helft bezig hun politieke aspiraties en andere intenties vorm te geven.
Het is niet best wanneer een medewerker het niet eens is met het beleid en dan een - zonder daarvoor verantwoording te hoeven af/dragen - bewust een soepzooitje maakt als protestbijdrage.

Wat een overheid niet kan toestaan en wel vereist, is dat de medewerker betrokken bij een functie en systeem; er geen eigen paradepaardje van gaat maken.
Je credentials vermelden bij een opgeleverd en overgedragen product - naast dat je hiermee kwetsbaar of zelfs aansprakelijk wordt - is vaak al een stapje te ver.
OpenSource is lijkt mij hier alleen maar nuttig zodat het door een ander inhoudelijk bekeken kan worden op (structuur)fouten. Technisch en softwarematig zul je bij overheden overigens - ook op ontwerpniveau - niet veel van dat soort missers aantreffen; het zijn doorgaans gekwalificeerde, hoogopgeleide en onderlegde vakmensen. Dit laatste is ook weer een nadeel omdat er nauwelijks ruimte is voor een ander visie dan die de seniors als dino's in standhouden.

Wat iemand krijgt is de aloude grap van de opdrachtgever die simpel een "schommel" wilde in alle hoofdsteden en dan stomverbaasd is dat zijn gedachte daaraan totaal niet correspondeerde met de inmiddels 16 gebouwde varianten en reeds in bedrijf gestelde versies.

[Reactie gewijzigd door PtrO op 7 december 2022 22:13]

Het hele idee is dat er geen opdrachtgever is maar een community is die samen mooie features bouwt. Dat er allerlei eisen aan de structuur en kwaliteit verbonden zijn is evident. Maar vergis je niet hoeveel open source software nu al wordt gebruikt in kritische systemen. Linux, Android en Openssl bijv.
Open source is inderdaad niet flexibel en goedkoop, maar het geeft wel de optie. Nu is erg rigide en duur en er zit weinig verbetering in. Laat de burgers dan eens helpen.
Volgens mij niet, maar het is ook de vraag of dat wat gaat worden. Daar lijkt me namelijk niet het probleem te zitten. De regelgeving is zodanig gestapeld dat er bijna niet meer uit te komen valt en open source gaat daar niets in veranderen.

Neem voor de grap je inkomstenbelasting + toeslagen. Het is zelfs voor een tweaker bijna niet in een excel te zetten zodanig dat je weet wat je aan belasting gaat betalen en dat je kunt zien wat het effect van 1 euro extra is. Van inkomstenbelasting lukt dat nog wel. Maar als je het effect van alle toeslagen meeneemt wordt het serieus lastig. En in principe is dat allemaal nog een vrij eenvoudig scenario.

Soms vraag ik me wel eens af of een groot deel van het probleem niet in het gepruts met staffels zit. Dat was in de pre-computertijd misschien handig, maar tegenwoordig lijkt het me veel hanteerbaarder als regelingen als een formule opgesteld worden. En dan graag gewoon een lijn of kromme. En dus geen sprongen.
Nou ja dat is precies het punt. Een Tweaker kan het al bijna in een Excel zetten. Dan moet een groep slimme mensen dat toch prima in een (rule-based) systeem kunnen zetten.
Zo spannend is het nou ook weer niet. De meeste regels willen zo simpel hebben dat ze het op het NOS nieuws in 1 overzichtje kunnen uitleggen (waardoor het vaak hele lompe maatregelen zijn).
Het is zo zonde dat we zoiets als een prijsplafond niet fatsoenlijk kunnen uitvoeren terwijl dat heden ten dage, zeker met alle data die er is, prima op individueel niveau moet kunnen. Hiermee gooien we alleen al komend jaar miljarden over de balk die niet goed terecht komen, en ook nog eens juist de inflatie aanwakkert. Dan heb je natuurlijk nog het beprijzen van CO2, of bijv stikstof of ziekmakende zaken (suiker bijv). En de toeslagen affaire (en vooral ook de afwikkeling), nog zoiets wat met betere IT systemen niet nodig was geweest.
Je zou denken dat het simpel is dat tot mijn schaamte en schande, in de praktijk een stuk ingewikkelder ligt.

Ooit ook meegewerkt bij PTT (voormalig KPN) om (infra)structuur te brengen in de vele uitzonderingen aan bonussen, werktijden, opgebouwde rechten, toeslagen en andere criteria zoals wel of geen fiets met al of niet standaard en trommelremmen die een postbesteller kan (en mocht) verwachten.
In die periode als slagroom op de taart ook nog's in een cultuur waar de Regering om puur politieke redenen de boel wilde uitverkopen naar Groningen en de organisatie - wat ook mensen zijn - 'ambtelijk' de hakken in het zand zetten om vooral in het gezellige Haagse te kunnen blijven.

En het einde van rit bleek dat er voor 40.000 postbodes, er 40.000 regelingen nodig waren en je dan 40.000 spreadheets kon bouwen had om dat in kaart te brengen.

Ook hier is de hoofdoorzaak dat de politiek die hooguit 4 jaar vooruit kijkt, niet kan of wil begrijpen dat zijzelf direct verantwoordelijk zijn voor de puinhoop die dan in 20 jaar ontstaat.
Grappig dat je daarover begint, ik zat hier toevallig zelf ook over na te denken. Ik speel al een tijdje met het idee om een soort adviestool te maken die, op basis van je gegevens, vertelt van welke kortingen je gebruik kan maken. Een soort berekentool als toeslagen.nl die heeft, maar dan veel breder. Vergelijkbaar met alle losse tooltjes op berekenhet.nl, maar dan advies gevend zonder dat je op één specifiek item zoekt.
Als ik daarover fantaseer, zie ik dat ook voor me als een soort open source / community gedreven project waarbij verschillende disciplines (accountants en programmeurs bijvoorbeeld) hun bijdrage kunnen leveren op de inhoud daarvan.

Ik denk ook als je zo'n IT-hervorming open source zou willen doen, dat het ook alleen maar kan beginnen met modules zoals je die omschrijft. Ik zie het niet voor me dat ze hun interne systemen ineens open gaan stellen of externe toelaten voor toegang daarin. Maar wie weet, je zou zeggen dat de belastingdienst als inspecteur toch hetzelfde wil weten als de burger: Hoeveel belasting moet deze persoon betalen en op welke kortingen heeft deze burger recht.
ik kan buitenlui verzekeren dat er uiterst slimme en betrokken mensen werken (...)
Het wordt alleen wat lastig wanneer (...)
Wat ook niet meehelpt dat (...)
Wat veel mensen (...) zich niet realiseren dat (...)
Het wordt allengs lastiger wanneer (...)
Slimme en betrokken mensen die feestelijke terminologie als "afpakjesdag" voor hun praktijken hebben bedacht? Of bedoel je enkel uiterst slimme en betrokken programmeurs? Want je kan echt niet komen uitleggen dat het volkomen logisch is wat er allemaal voor een puinhopen bij de Belastingdienst uitlekken de afgelopen decennia. Kan je nog zo'n goed team programmeurs hebben; er moet een heel scala aan mensen van verschillende disciplines ontbreken om met zo'n rommeltje te eindigen.

Illegale zwarte lijsten die door veel systemen voor uitéénlopende doeleinden gebruikt worden zonder dat ergens is gedocumenteerd wanneer iemand op zo'n lijst zou moeten komen. Illegale discriminatoire algoritmes. Afpakjesdag. ZZP-leenbijstand affaire, toeslagenaffaire, onmogelijkheid om onrecht aan te kaarten, mensen die Nederland ontvluchten of tot zelfmoord gedreven worden, en dus corrupte werknemers kunnen hun gang gaan, wetende dat hun activiteiten niet gelogt worden. Maar als we de BTW op fruit omlaag willen doen, dan pas zegt de Belastingdienst een keer "nee".

We hebben in Nederland een belastingstelsel, en een belastingdienst. Er is kritiek op allebei, niet alleen op dat eerste. Eén van de problemen is dat de Belastingdienst altijd naar het belastingstelsel wijst om haar eigen incompetenties te projecteren op de wetgever. Maar ze kan ook gewoon af en toe nee zeggen. In plaats van "BTW op gezonde producten naar 0%? Nee dat kan niet" kan ze bijvoorbeeld ook zeggen: "Discriminatoire algoritmes? Nee, dat kan echt niet."

Onze ministers zijn echt schrikbarend incompetent, niveautje "Ik zou niet weten hoe je met een kerncentrale een huis moet verwarmen". Dat weten we, en dat is geen verrassing. Dan heb je toch echt wat meer regie nodig vanuit de diensten zelf. Als Rijkswaterstaat zoals de Belastingdienst te werk zou gaan, dan kon de stormvloedkering pas 7 jaar na de voorspelde storm dichtgezet worden en stond Nederland al 20 jaar onder water.

De Belastingdienst heeft geen enkele moeite om - alsof ze een soort God Game speelt - dominant, onverbiddelijk en meedogenloos burgers te beschadigen. Maar naar de wetgever toe is de Belastingdienst compleet beta een deurmat geheel vrij van rationaliteit bij het aannemen en uitvoeren van opdrachten. Het kost moeite om er geen Godwin van te maken. Just following orders is vaak geen geldige verdediging.

Excuses alvast. Ik bedoel dit niet persoonlijk. Als iemand die van dichtbij meemaakt wat de Belastingdienst zoal aanricht echter schiet zo'n reactie die enigszins ruikt naar non sua culpa me in het verkeerde keelgat.

Maar om constructief af te sluiten, ik denk dat de Belastingdienst beter zou functioneren bij een systeem waarin de wetgever slechts één keer per twee of vier jaar op een vast moment een pakket goed doordachte verzoeken aan de Belastingdienst mag doen. Als de BD denkfouten of problemen constateert, dan gaat de opdracht terug, en is er over twee jaar weer een kans om een fatsoenlijk verzoek in te dienen. Zal in het begin even wennen zijn voor de wetgever, maar op een gegeven moment is het net zo logisch als de eerste kamer.

[Reactie gewijzigd door Redsandro op 7 december 2022 00:31]

Sorry hoor maar volgens mij begrijp jij het niet helemaal. De belastingdienst maakt de regels niet, zij zijn de arbieter die erop toeziet dat de regels worden nageleefd. Het zou raar zijn als de belastingdienst zeggenschap krijgt over de regels van het spel, juist dan nodig je uit tot corruptie. Een niet verkozen ambtenaar ergens die gaat bepalen hoe hij zn werk gaat doen, zo werkt het gewoon niet.

De voorgestelde oplossing van eens in de 4 jaar wijzigingen is ook reinste kolder. Dat zou zeggen dat het kabinet niet meer kan inspringen op actualiteiten en het systeem keihard vast zal lopen. Bijvoorbeeld de verlaging van het BTW tarief op energie en brandstof als groente en fruit zou pas in 2026 mogelijk zijn. Is het dan nog relevant?

Het BTW tarief op groente en fruit gaat per 2024 naar 0, dus ik vraag me af waar er nee is gezegd?
Toch ontbreekt nu compleet een feedback loop. Er lijkt voorzichtig een kentering te zijn waarbij ik uitspraken van politici lees waarin 'maatregelen niet eerder dan xyz in te voeren zijn vanwege haalbaarheid van softwareaanpassingen'. Het is lastig te beoordelen of dat oprecht is of gewoon domweg een smoes. Maar het punt blijft staan; lukraak dingen wijzigen en eisen dat de belastingdienst het wel ff regelt kan ook niet.

In theorie zou een systeem waarbij een ruwe capaciteitsplanning gebruikt wordt en politieke voorstellen daarvan consumeren enigszins kunnen helpen omdat daarbij bij maatregelen ook hun kostprijs (figuurlijk) wat betreft automatisering meegenomen wordt. Maar eigenlijk gaat het helemaal niet om IT; het gaat om rekening houden met wat de uitvoering aan resources zal gaan kosten, ongeacht of dat nu mensen of computers zijn.

Helaas botst dit stukje theorie zo hard met de werkelijkheid dat dit nooit wat gaat worden.

edit: weet iemand wat de trigger voor uitspraken dat systemen niet op tijd aangepast kunnen worden is? Ligt het zodanig overhoop dat het echt niet meer te ontkennen valt,of zijn er krachten binnen de BD die stevig tegengas aan het geven zijn?

[Reactie gewijzigd door Yucon op 7 december 2022 10:07]

Toch ontbreekt nu compleet een feedback loop.
'maatregelen niet eerder dan xyz in te voeren zijn vanwege haalbaarheid van softwareaanpassingen'.
Blijkbaar is die feedback loop er wel, want er is duidelijk wel onderzoek gedaan bij de belastingdienst naar haalbaarheid.

Tussen belastingdienst en kamer zijn er alleen maar doorgeefluikjes, geen directe communicatie. Als er een voorstel is dan komt er een commissie die de haalbaarheid onderzoekt. Een smoesje kan het dus niet zijn.
In plaats van "BTW op gezonde producten naar 0%? Nee dat kan niet" kan ze bijvoorbeeld ook zeggen: "Discriminatoire algoritmes? Nee, dat kan echt niet."
Je hebt wat bij betreft gewoon gelijk met bovenstaande.
Het 'alles-of-niets-beleid' was beleid waar de Belastingdienst niets aan kon doen. Maar die 350 gezinnen die vals werden beschuldigd, en het verspreiden van die beschuldigingen, dat deed Belastingdienst zelf. Onder druk van de politiek, want die wilde mensen zien hangen voor 'fraude', dat dan weer wel.
Ik spreek over de mensen die daadwerkelijk technisch sleutelen en kan/wil niets zeggen over de mensen die de zooi deponeren.
Ja we hebben een belastinstelsel en als de uitvoering daarvan tekort schiet, zal vooral moeten worden gekeken naar de beleiders die van alles bedenken zonder te willen denken. De "dienst" die het implementeert dan verantwoordelijk maken voor het opgelegde "stelsel" schiet mij dan in het verkeerde keelgat.

Wel goed om te horen dat je vooral ageert over het stelsel en systeem hoe dat tot stand moet komen.
Ik vraag mij verder af hoe je je voorstelt dat een ambtenaar, wat de belastingdienst is, een opdracht teruggeeft aan de Minister die een besluit de Tweede Kamer moet uitvoeren ?
Ik vraag mij verder af hoe je je voorstelt dat een ambtenaar, wat de belastingdienst is, een opdracht teruggeeft aan de Minister die een besluit de Tweede Kamer moet uitvoeren?
Hypothetisch, als we als beginpunt nu eens nemen dat we allemaal (de burger, de belastingdienst, en de politiek) inmiddels hebben kunnen constateren en het er over eens zijn dat het systeem en de huidige realiteit bij de dienst op allerlei manieren te kort schieten. En dat de huidige ontwikkelmethode helemaal niet werkt. Door de technical debt. Dependency hell. Programmeertalen die niet meer van deze tijd zijn en die niemand meer spreekt. De dingen die jij noemt als het tijdens de ontwikkeling 100x bijstellen van een ontwerp en elke 3 maanden een ander management. Als we dat nu eens met zijn allen kunnen constateren.

Dan is de volgende stap dat we er met zijn allen voor kiezen dat het anders moet. Dat het beter moet. Dat we niet tijdens de ontwikkeling van een systeem 100x het ontwerp kunnen aanpassen. Dat dat gewoon niet werkbaar is. Dan kunnen we er ook met zijn allen voor kiezen om daar dan ook mee te stoppen. Door vast te leggen dat dit gewoon niet kan, en hoe dit dan wel zou moeten gaan.

Ik bedoel, stel nu eens dat referendumpartij D66 (noem het 'de opdracht') namens idealen van D66-stemmers (noem het 'de Tweede Kamer') in oktober 2017 in het kabinet-Rutte III (noem het 'de Belastingdienst') mogen gaan zitten. Vervolgens schaffen ze de referendumwet per coalitie-akkoord af. Dan zijn er vast een aantal D66-stemmers die hun stem aan D66 direct zouden willen intrekken (noem het 'het ontwerp aanpassen'). Helaas pindakaas, D66 kan nog 3 jaar doorgaan. Pas in 2021 hebben de stemmers een kans om het ontwerp opnieuw aan te passen.

Natuurlijk kan dat gewoon. Als we dat willen, dan kunnen we dat met zijn allen afspreken. En uiteraard heb ik geen idee wat de optimale interval is om zowel de politiek als de BD goed te laten functioneren. Misschien kunnen aanpassingen van het ontwerp ook wel elke 6 maanden besproken, getoest, en teruggegeven als het niet haalbaar is worden in plaats van om de 4 jaar. Of een systeem waarbij een gefiatteerd ontwerp niet kan worden aangepast tot het wordt opgeleverd. Ik bedoel, de minister wilde ook de BTW op gezonde producten omlaag, maar dat kan ook pas 7 jaar na de laatste BTW-aanpassing wegens technische beperkingen. Volgens mij kan je dan ook zeggen dat je andere ontwerp-aanpassingen pas 7 jaar na de laatste aanpassing kunt implementeren, en tot die tijd kan de Tweede Kamer zoveel aanpassingen aan de aanpassing doen als ze wil. Als het daardoor allemaal goed gaat lopen, als er daardoor tijd vrij komt om de verouderde systemen te moderniseren, dan is dat volgens mij een gouden overweging waard. Volgens mij is alles - niet letterlijk alles maar veel - beter dan hoe het nu gaat.

Voor wat betreft het 'teruggeven' van een opdracht: Het Europees Parlement mag geen wetsvoorstellen doen, maar wel wetsvoorstellen teruggeven aan de Commissie, die het ontwerp dan moet aanpassen. Blijkbaar, als een systeem te complex wordt, is het nodig om het op zo'n manier aan te pakken. Anders krijg je een onwerkbare chaos, wat erg doet denken aan onze Belastingdienst.

Maar goed, in antwoord op je vraag, zo stel ik het me voor.

[Reactie gewijzigd door Redsandro op 8 december 2022 01:55]

Thx voor je toelichting en vat die samen dat het - goedbedoeld - hypothetisch is en uitvoerende diensten geen opdracht kunnen weigeren.
//--//
Een Regering of Commissie opereren op een andere wijze waarbij die op verzoek van haar Parlement(en) iets kan teruggeven.

Uitvoerende instellingen onder bestuur van een overheid kunnen simpelweg geen ministeriële opdracht weigeren. Ambtenaren proberen de verantwoordelijke minister duidelijk maken dat een plan goed idee is en eventueel onbewijsbaar de voortgang traineren (of met een andere vorm van "stille obstructie" blokkeren)
Ik meegemaakt dat "we" iets moesten opleveren om maar iets op te kunnen leveren, zo een vinkje wegwerkten door aan wettelijke opgelegde verplichtingen te voldoen.
Dat het resultaat geen doel diende of anders uitpakt(e) dan in de hoge boom was bedacht (maar "slinks" ook niet aantoonbaar gesteld), was niet de dienst of haar personeel te verwijten.

Bij bedrijven werkt dat net even anders en hebben de (evt. enig) aandeelhouders, het voor het zeggen. Belanghebbenden die doorgaans snel willen reageren als iets - in hun nadeel dan - uit het spoor gaat lopen. In die gevallen is een onderlegd kattebelletje (naar de juist persoon) dan een prima middel om het schip in de vaargeul te houden.

Blijven over de talloze en doorgaans wirwar van ondoorzichtige Win=Win constructies van één-tweetjes tussen overheden en (aanbestede) bedrijven of instituties met daarin "who's fucked" om de gevolgen te ondervinden.
Uitvoerende instellingen onder bestuur van een overheid kunnen simpelweg geen ministeriële opdracht weigeren.
Ik denk dat je niet helemaal begrijpt wat ik bedoel, of dat ik me verkeerd heb uitgedrukt, waardoor je de Belastingdienst verdedigd terwijl ik in feite politiek geïnitieerde hervormingen hypothetiseer. De politiek zou, wetende dat ze op dit gebied incompetent is gebleken, de Belastingdienst moeten vragen wat ze nodig hebben om beter te functioneren, en jij (en anderen) geven zelf al aan dat één van de grootste problemen het "100x bijstellen" van een ontwerp is.

Je schetst - onbedoeld - een variant van het typisch probleem dat onze politiek én ambtenarij van uitvoerende instanties plaagt; je beschrijft de huidige situatie, waarin iets niet kan, als argument waarom een hervorming waardoor het wel kan niet zou kunnen. Zo komen we natuurlijk nergens. Dat is net zo logisch als onze Minister voor Klimaat en Energie die zegt: "Nederlanders krijgen geen problemen met hun gasvoorziening omdat energieleveranciers verplicht zijn gas te leveren." jackie-chan.jpg Of dat je in de jaren '90 naar de lokale lectuurhandel gaat om een PC Gamer en een red bull te halen maar niet genoeg cash bij je hebt en je zegt: Is het niet eens tijd om een pinapparaat aan te schaffen? En de kassameneer zegt: Nee, je kunt hier niet pinnen.

Ik vind het idee dat de huidige situatie niet beter kan omdat het nu eenmaal gaat zoals het gaat echt niet oké.

[Reactie gewijzigd door Redsandro op 8 december 2022 20:48]

Ik begreep je uitleg denk ik wel en onderstreep dat de hoofdoorzaak door zichzelf afgeroepen, in de politiek zit. Waar we het over eens zijn dat dingen in het eigen web vastzitten.

Waar we ons (ik mij) dan wat laat misleiden is dat door een generieke fout neer te leggen, daarmee de schuld diffuus wordt gemaakt en diensten daarin incompetent zouden zijn.
Terwijl het juist & alleen de opdrachtgever (onze politiek) zelf is die de onmondig gemaakte uitvoerder onredelijke opdrachten gaf en op geen enkel moment (be)vraagt: "mag, gaat of kan dit wel met wat we qua beleid daarmee voor ogen hebben ?"

Ik zou het zelf niet zo vreemd vinden dat we (daar gaan idd weer) een zelfstandige autoriteit hebben die voorgenomen beleid, inhoudelijk voorafgaand toetst op bedoelde uitvoering en gevolgen. Vervolgens dan macht heeft, om het beleid daartoe uit of bij te laten stellen.
Een soort AFM, ACM of AP maar dan voor overheidsdiensten waarin vooral groepen vertegenwoordigd zijn die de implementatie (be)treft of toetst.
Een taak die nu impliciet - reactief - bij een Tweede Kamer wordt gelegd, die daar imo niet goed voor is geëquipeerd. Ik generaliseer maar denk dat van de 150 leden er hooguit 2 of 3 iets - denken te - weten weten van benodigde techniek. Veel ministers doen vooral een soort van learning on & by the job.
Ik denk te lezen dat we het ergens wel in lijnen met elkaar eens zijn. Behalve met de volgende uitspraak:
[Het was] de opdrachtgever (...) die de onmondig gemaakte uitvoerder onredelijke opdrachten gaf en op geen enkel moment (be)vraagt: [kan dit wel?]
Ik kan hier het voorstel doen let's agree to to disagree omdat speculatie over de globale situatie zich in het voorstellingsvermogen begeeft en dat kan niet worden beslecht zolang de feiten nog niet in de geschiedenisboeken staan. Maar als laatste poging om deze voorstelling langs de realiteit te leggen, hebben we natuurlijk wel de parlementaire enquête van 2020 over een specifieke situatie die ik aan kan halen om je stelling te toetsen.

In het rapport "ongekend onrecht" staat heel duidelijk, dat naast de opdrachtgever/overheid, waar we het over eens zijn, óók een duidelijke schuld lag bij zowel de Belastingdienst als de rechterlijke macht. Die laatste heeft vervolgens het boetekleed aangetrokken. In het kader van de Belastingdienst en het besproken onderwerp ging het onder anderen om de episch gebrekkige informatievoorziening vanuit de DB richting de opdrachtgever, waardoor de opdrachtgever helemaal nooit die feedback kreeg om tot de vragen ("kan dit wel?") te komen waarvan jij vind dat ze gesteld hadden moeten worden. De onmondigheid was een keuze die de DB wordt verweten. Ook heeft de BD zelf vanuit haar eigen interpretatie het grondbeginsel van de rechtsstaat, dat bij het uitvoeren van wetten als leidraad had moeten dienen, op grove wijze geschonden. Deze interpretatie was ook een keuze. Ik zal niet het hele rapport hier herhalen, maar er zijn nog meer constateringen uitgekomen waar de BD had gekozen voor systemen en methodes die nergens zo in opdrachten stonden uitgelegd. Het was wel degelijk de vrije interpretatie van de BD, zij het vanuit tijdsdruk, vanuit personeelstekort, of getuige terminologie als afpakjesdag wellicht vanuit sadisme, maar het siert ze niet dat ze niet net als de rechters de hand in eigen boezem steken. Zij hebben volgens het rapport op eigen initiatief in de vrijheid die ze heeft op veel plekken wel degelijk de bal laten vallen, en ik denk dat iemand die blijft wijzen naar de overheid zich daar nog niet helemaal van doordrongen is.

De AIVD verschuilt zich ook niet achter de incompetentie van de overheid en neemt haar taak uiterst serieus. Daarin gaat ze pro-actief te werk en wordt geregeld teruggefloten omdat ze haar werk te goed doet. Onlangs nog bij het moeten vernietigen van datasets. Ondertussen in 8 jaar tijd 5 aanslagen kunnen verijdelen. Dat is haar taak. Weinig landen doen het zo goed qua veiligheid. Ook geeft ze pro-actief adviezen over wetgeving en zegt expliciet waar problemen liggen en wat er nodig is. Zo kan het ook.

[Reactie gewijzigd door Redsandro op 9 december 2022 01:36]

Agree to disagree waarbij ik in een aantal gevallen - die ik verder niet ga toelichten - zelf aan tafel heb gezeten dat een dienst werd "gemotiveerd" om toch (maar) iets (op) te leveren. Dan krijg je soms wanstaltige oplosisngen die heel soms als soort van "waarheid" waar geen herinnering aan is, zo in de geschiedenis boeken komen.

Kern van mijn betoog was ook dat overheidsdiensten niet zijn geëquipeerd om na een besluit, dit anders te doen en vaak (op uitvoeringsniveau) geen zeggenschap - meer - hebben over een implementatie. Niet dat hier sprake is van opzet (iedereen doet z'n best) maar omdat (be)leiders in hun enthousiastme vaak wat losgezongen zijn van een gegronde werkelijkheid. Iedereen "bevragen" kost ook - soms ongewenst - tijd.
Dat is duidelijk de situatie waar we nu zitten. Maar je komt er alleen uit door ook iets te gaan veranderen. Hoe lastig dat ook moge zijn. En ik zo al 4 belangrijke punten om mee te beginnen.

1) Wat er al is ga je alleen nog onderhouden en niet proberen aan te passen
2) Definieer een aantal zaken die voor alle NIEUWE software moeten gaan gelden. Denk dan bijv. aan een uniforme manier van logging of 1 standaard voor het uitwisselen van gegevens tussen systemen. Op die manier duurt het wel 10+ jaar, maar uiteindelijke kom je er wel.
3) Maak de software zodanig dat het geen probleem meer is als de belastingregels wijzigen. Zo mag het geen probleem zijn als er opeens een BTW tarief bij moet o.i.d.
4) Kijk of het mogelijk is om ontwikkeltrajecten op een zodanige manier in stukken te knippen dat je niet wordt ingehaald door wijzigingen in wet- en regelgeving. Zie ook punt 3.
Dat is duidelijk de situatie waar we nu zitten. Maar je komt er alleen uit door ook iets te gaan veranderen. Hoe lastig dat ook moge zijn. En ik zo al 4 belangrijke punten om mee te beginnen.

1) Wat er al is ga je alleen nog onderhouden en niet proberen aan te passen
Precies! Enerzijds is er onvoldoende geld vanuit de regering, maar anderzijds krijg ik ook het idee dat ze bij enige hervormingsplannen alleen maar kijken naar hoe ze het huidige systeem kunnen ombouwen of dat ze denken dat een nieuw systeem gelijk op de plaats van een huidig systeem moet komen. Maar waarom kan het huidige systeem niet door terwijl er DAARNAAST een nieuw systeem wordt gebouwd? Bij andere dingen doen we dat toch ook? Er worden huizen verbouwd, maar er worden ook nieuwe huizen NAAST bestaande gebouwd, soms zelfs met de intentie om de bewoners uit de oude huizen over te plaatsen (dat was in elk geval zo met een bejaardentehuis hier verderop). Als ze dat bij de Belastingdienst nu ook eens zo zouden aanpakken…

[Reactie gewijzigd door TheVivaldi op 7 december 2022 22:16]

"Het opvragen van gegevens loggen is een bewuste keuze die veel geld kost. Splunk is niet gratis en opslag ook niet"
Right.... alsof de Belastingdienst zich zorgen maakt over kosten 8)7

Het is tenen krommend om te lezen, dat bijvoorbeeld compensatie voor de gestegen dagopvang in 2023 niet kan worden verwerkt omdat de Belastingdienst het niet voor elkaar krijgt. Men moet maar wachten tot 2024. WTF!
Ik werk ook in de IT, als developer. Weet dus een klein beetje waar over ik praat.

Als je het jaarlijkse budget van de Belastingdienst bekijkt is het een grote schande waar ze mee weg komen, inclusief de staat van hun IT omgeving. Werkelijk te ridicuul voor woorden.
De Belastingdienst maakt zich zeker zorgen over kosten. Die kinderachtige emoticon voegt niets toe.

Ik werk zelf ook al ruim 25 jaar als developer, voornamelijk bij grote bedrijven, waarvan er 12 jaar bij de Belastingdienst waren.
Ik denk dat je geen idee hebt wat daar allemaal aan informatie verwerkt wordt en hoevaak de politiek de regels wijzigt.

Voor de grote systemen worden planningen maanden vooruit gemaakt, als de politiek iets wil dan betekent niet dat dit gelijk opgepakt kan worden.
Als je dan wel iets ad hoc op gaat pakken blijft er iets anders liggen. De capaciteit is beperkt.
Misschien wordt het eens tijd om niet zo in de verdediging te schieten en gewoon te erkennen dat het gewoon een puinhoop is op een afdeling die het zijn burgers de laatste jaren flink moeilijk heeft gemaakt.

Het is altijd de schuld van een ander en men verschuilt zich graag achter de politiek, maar dat er eens ondernemend wordt gehandeld, ho maar. Het is gewoonweg van de zotte dat er niks gelogd wordt omtrent de personen die in vitale gegevens kunnen rondneuzen. Wie verzint dat? En het voornaamste, waarom?

En dan kan je wel roepen, de politiek verzint van alles, maar dit is een simpel en vooral normaal gegeven dat je logt op hetgeen wat kritisch is en enigszins waarde heeft. Al is het alleen maar om te voldoen aan de AVG wat tenslotte iedereen moet sinds 2018.

Dus hou op ze te verdedigen. Het is niet goed te praten en het zou ze sieren eens het boetekleed aan te trekken ipv zich dictatoriaal op te stellen alsof de regels voor de belastingdienst niet gelden.
Deel is nou eenmaal schuld van de politiek..
Prinsjesdag worden plannen gepresenteerd, dan debatteren, dan rolt er in november een soort maatregel uit die maar half doordacht is en niet goed getoetst is op alle if/then zaken die je kan bedenken en dat moet dan op 1 januari landelijk overal maar werken…
Voorbeeld is het huidige energie plafond… ik snap wel waarom iedereen roept dat dit op 1 januari niet werkend is. Ze zijn er op dit moment zelf nog niet eens uit wat het plafond moet zijn en de helft van de situaties is nog niet eens bedacht.

Dus schuld ligt deels bij politiek en deels bij oudere systemen bij de belastingdienst. Het aanpakken van oudere systemen heeft echter tijd nodig die ze wel moeten krijgen. En die tijd krijgen ze niet als er elke 6 maanden nieuwe regels de wereld in worden geslingerd.
Ik merk hier vooral een @erikdenv die aantoont dat de personen op de werkvloer ook maar orders opvolgen, en waarschijnlijk alles doen wat ze kunnen om een zo goed mogelijk product af te leveren binnen de beschikbare resources. En het niveau waarop de developer werkt is hoogstens, dat je eens een stok in een hok kan gooien om een discussie teweeg te brengen. Maar het is niet de developer die maar kan beslissen om ergens logging in te bouwen als daar de tijd en geld niet voor wordt vrijgemaakt. Je kan dan nog niet tevreden zijn met het pad dat je werkgever heeft gekozen om af te leggen, maar je kan wel tevreden zijn met het resultaat dat je zelf als persoon of al team hebt bereikt van hetgeen dat er moest gemaakt worden

[Reactie gewijzigd door berndvv op 6 december 2022 22:00]

Natuurlijk gaan mensen de medewerkers bij de belastingdienst verdedigen als die op een onredelijke manier aangevallen worden.
Een beetje meedenken met de situatie kan ook geen kwaad natuurlijk, de oplossing ligt veel genuanceerder dan enkele leuzen roepen.
Feit blijft wel dat toen de BTW omhoog moest naar 21% (hetgeen vlak voor het begin van het decemberreces besloten werd--- dat binnen een week of drie voor mekaar was, maar op Kamervragen van onlangs omtrent een mogelijke BTW-verlaging aan werd gegeven dat daar anderhalf tot twee jaar overheen zou gaan.

Laat me niet lachen. Roversbende daar.
Ook dat ligt weer genuanceerder. Die verhoging van de BTW naar 21 % ging alleen om het percentage.
Het verlagen van de accijns op benzine en diesel ging ook snel.
De verlaging waar jij waarschijnlijk op doelt is die van groente en fruit.
Dat ging niet om een tarief dat in zijn geheel omlaag moest maar een bepaalde groep producten.

https://over-ons.belastin...-groente-en-fruit-langer/
Interessant stuk! Slim dat ze hier zelf ook over communiceren.Ik had ook het idee dat het ging om dat de systemen daar te brak voor waren, i.p.v. dat het in een definitie kwestie zit.
Prima achtergrondinformatie, thanks! Ik heb niets tegen nuance. JE zult begrijpoen dat ze de schijn tegen hebben, en dat het zeer waarsachijnlijk is dat er simpelweg gevangen kan worden. Er zijn weinig landen op deze wereld (ontwikkeld dan wel nog ontwikkelend) waar de belastingdruk zo hoog is (hoewel ik me natuurlijk ook wel realiseer dat we een enorme "zorgmaatschappij" hebben; die van mij ook wel wat minder zou mogen, maar da's een andere discussie...)

Ach ja, een afkeer van de Belastingdienst... :P
De moderatie werkt weer lekker; een +2 voor een reactieve mening tegen over een 0 die in lijn met talloze nieuwitems over (semi) overheid van de laatste tig jaar.

De invloed van buiten, wat jij noemt "de politiek" gebeurd bij ieder bedrijf, niet alleen de belastingdienst.
Alles wat de overheid doet wordt door jou en mij betaald dus er mag best wel wat zorgvuldiger mee omgegaan worden.
"als de politiek iets wil dan betekent niet dat dit gelijk opgepakt kan worden."

Eens... maar dat is hoe het werkt.
Ik werk in de energie sector en de overheid wenste/eiste onlangs dat iedere aanbieder in de sector zijn systemen aanpaste om die 190 te kunnen uitkeren. Hadden we een maand de tijd voor.
Normaal gesproken zou dit door de belastingdienst gerelgd moeten worden.

Er is iets zoals 'Agile werken' en technical dept.
Mijn vermoeden is dat dit bij de Belastingdienst een puinhoop is
Waarom zou de belastingdienst dit moeten doen?
De energiebedrijven weten wie hun klanten zijn, de belastingdienst weet niet wie een energiecontract heeft.
"technical dept." daar moet ik wel om lachen, als je dan toch met vaktermen gaat gooien schrijf het dan goed. (Technical Debt).

De meeste ontwikkelteams werken agile, de laag daarboven niet.

Ik vind het erg kinderachtig om steeds maar weer woorden als "puinhoop" te gebruiken.
Het lijkt meer een kreet om te scoren, het draagt niets bij aan je betoog of aan de oplossing.

[Reactie gewijzigd door erikdenv op 8 december 2022 16:33]

Ik vind het erg kinderachtig om steed maar weer woorden als "puinhoop" te gebruiken.
Want het loopt allemaal op rolletjes bij de Belanstingdienst?
Misschien moet je je niet zo persoonlijk aangevallen voelen, teminste dat beeld krijg ik.

Anyway....laten we deze discussie stoppen.
Inderdaad het is wachten op een complete meltdown.
Ik snap niet dat je -1 krijgt eerlijk gezegd. Het is een best terechte opmerking. Ik denk dat ze inderdaad over een heel dun draadje lopen en dat het wachten is tot de bom barst.
we gaan het meemaken, van die -1 ga ik in elk geval niet wakker liggen. Het blijft een feit dat ze zelf niet meer weten hoe ze der nog een toekomstbestendig systeem van kunnen maken. Hoe langer ze daar ook mee gaan wachten hoe lastiger het ook gaat worden. Ben geen ict'er maar dit gaat op voor alles wat niet lekker loopt. Neem een auto, neem een huwelijk. :-)
Logfiletje met timestamp, user en query opslaan. Waarom moet dat veel geld kosten?
Waar staat die logfile? Hoe doe ik dat met applicaties in een multi server omgeving of binnen Docker containers of een K8S omgeving?
Hoe zorg ik ervoor dat al die informatie uit die logfiles doorzoekbaar is?
Hoe regel ik de backups van al die gegevens?
Wat mag ik eigenlijk loggen? Mag ik een bsn loggen of is dat een persoonsgegeven dat ik niet mag loggen?
Ik heb geen idee in wat voor omgevingen je zelf gewerkt hebt maar bij een grote organisatie heb je echt behoefte aan een goede logging stack.
Docker? K8S? Bij de belastingdienst draait alles nog op een mainframe! Ze zijn heel voorzichtig met docker aan het spelen nu om te kijken hoe dat toegepast kan worden binnen hun grote bende IBM en in-house gebouwde tooling die uiteraard nergens mee samen kan werken. Een aantal diensten is nu aan het overstappen van RHEL 6 naar 7 (uit 2014) en het lijkt alsof de overstap van Java 8 naar 11 eindelijk gaat gebeuren omdat sommige tooling (sonarqube) ophoud met de ondersteuning voor Java 8. Een flinke ramp want er draait nog veel op SOAP services (ook recent gebouwde systemen). De collega die Kotlin wilde introduceren heeft een functie elders gekregen wat dat was te lastig.

De developercommunity bij de belastingdienst bestaat uit bijna-pensionado's die niks nieuws meer willen leren, trainees die nog geen ervaring hebben, incompetente mediors die nergens anders aan de slag kunnen en externe inhuur die meestal binnen een korte tijd weer schreeuwend wegrennen. Alles daarboven zijn ambtenaren (oud-douaniers) die de architectuurkant opgeschoven zijn met 0 technische kennis.
Omdat je de usergegevens ook moet kunnen verwijderen wanneer een medewerker uit dienst gaat. Ook moet privacy gevoelige informatie goed afgeschermt worden.
Omdat je de usergegevens ook moet kunnen verwijderen wanneer een medewerker uit dienst gaat.
Lol, we weten toch allemaal dat de overheid gegevens altijd bewaard en nooit weggooit? Waarom zou dit dan opeens een probleem zijn? Het is legitieme data. Dus je mag het hebben, alleen voor een beperkte periode. (En ach ja, overheid hè.)
Ook moet privacy gevoelige informatie goed afgeschermt worden.
Dat is helemaal een lachertje. Ze hebben meerdere van de grootste privacyschendingen op hun naam staan en nu is het opeens een probleem? Je logt geen persoonlijke gegevens, je logt puur de parameters.

-Dus wat
-deed deze persoon
-wanneer en
in welk systeem?

Welke datavelden zijn daarbij opgevraagd?
Dus omdat ze bekend staan om hun problemen moeten ze maar net zo door gaan omdat hun reputatie toch al kut is?

Hetzelfde kan je dan zeggen voor logging, ja we staan er toch om bekend dat we dat kut doen dus wat maakt dat uit? Wat een pessimistische klote gedachte als je er zo naar kijkt eerlijk gezegd.

De Belastingdienst is een draak van een systeem met honderden zo niet duizenden regeltjes aan welke ze moeten voldoen welke continu veranderen. Toch draait ons complete land eromheen.
Je vergeet dat het systeem hier ook moet nagaan of ik wel die ‘wie’ ben.
Dat het gaat om 100den systemen zorgt er ook nog voor dat ergens moet staan wie wie is in welk systeem om de data te aggregeren. Dan moeten de systemen nog in staat zijn om daadwerkelijk wel op te slaan wat wie in ziet.
En al bovenstaande punten zijn zoals ik de nieuwsberichten lees, niet goed geregeld.

Dus je moet eerst de basis goed hebben staan voor audits überhaupt zin hebben.
De AVG is geen zwart-wit regeling waar privacy over álles heerst in álle gevallen. Er zijn allerhande uitzonderingen in de wetgeving hierover opgenomen. De AVG dient het algemeen belang van alle burgers, niet het exclusieve belang van één burger.

In dit specifieke geval zou er 'gerechtvaardigd belang' gelden om de gegevens alsnog te bewaren, zeker omdat het een gevoelige overheidsfunctie betreft - Een medewerker bij de belastingdienst die inzage heeft in dusdanig veel persoonsgegevens van burgers kan geen directe aanspraak maken op het recht om vergeten te worden. Er hoeven dus niet direct medewerkersgegevens verwijderd te worden als iemand bij de belastingdienst uit dienst gaat.

Het is niet uitgesloten dat zulke loggegevens in dit specifieke geval onbeperkt bewaard zouden mogen worden. Hiervoor kan best een goede case gemaakt worden bij een rechter, mocht het ooit zover komen.

[Reactie gewijzigd door Khrome op 6 december 2022 23:32]

Eh. Een user ID is geen persoonsgegeven dus dat zie ik ff niet.
Wel als die bestaat uit bijv. voornaam.achternaam, want dan is dit te herleiden tot een persoon.

Maar dat maakt verder niet uit, want er is een te rechtvaardigen belang om deze gegevens (tijdelijk) op te slaan voor bijv. een audit of controle
User id is voor mij een nummer, gekoppeld aan een account. Maar dat account is niet perse in dezelfde database beschikbaar...
Juist niet. Die gegevens behoren pas verwijderd te worden nadat het misdrijf verjaard is. Anders zou een medewerker de persoonsgegevens kunnen stelen en verkopen en vervolgens ontslag nemen en al het bewijs wordt vernietigd.
Gegevens behoren worden gecategoriseerd te worden. Per record klasse kan je met verschillende bewaar termijnen te maken krijgen. Hierbij geldt de regel dat je de gegevens niet langer mag bewaren dan strikt noodzakelijk.

Het systeem en de (database) backups die je gebruikt om de gegevens langdurig te bewaren, zal dus geregeld bijgewerkt moeten worden zodra de bewaartermijn van bepaalde record verstrijkt.

Dat is wat het allemaal erg complex maakt, er komt veel meer bij kijken dan het verzamelen van logs en doorzoekbaar maken van die logs.
Omdat het om heel veel user acties op heel veel bestanden gaat.
Verspreid over 900 systemen. Waarvan een deel geschreven in programmeertalen die zelfs mijn opa als legacy zou bestempelen. Tja, zo gebeurd natuurlijk!
Splunk is geen auditing tool, het is een threat hunting tool. Goed om allerlei soorten logs in te knallen en door te grasduinen op zoek naar sporen van aanvallen die afwijken op technisch gebied maar niet geschikt om snel en makkelijk in te zien wie welke data heeft in lopen zien via de legitieme tools.

Splunk is veel te flexibel daarvoor, en te gespecialiseerd op het gebied van security. Dit soort info moet je juist inzichtelijk maken aan elke people manager. Want een manager weet waar zijn/haar medewerkers aan moeten werken, en die kan goed in de gaten houden of de info die ze gebruiken hierbij hoort of afwijkt. Splunk is veel te technisch voor zo iemand.

Het probleem is met insider threat dat mensen legitieme toegang hebben tot gegevens maar deze te breed toepassen op zaken waar ze niets mee te maken hebben. Dat is juist iets waar je de context voor mist die je als security medewerker (met toegang to Splunk) nodig hebt. Het is veel meer iets om te zoeken naar aanvallers en technieken die je nog niet op de radar hebt.

Bovendien is Splunk doordat het zo enorm veel data logt (het idee is dat je alles wat je kan krijgen erin stopt!) ook gewoon niet gebouwd om dit soort data langdurig te bewaren.

[Reactie gewijzigd door GekkePrutser op 6 december 2022 19:43]

Splunk is geen auditing tool, het is een threat hunting tool. Goed om allerlei soorten logs in te knallen en door te grasduinen op zoek naar sporen van aanvallen die afwijken op technisch gebied maar niet geschikt om snel en makkelijk in te zien wie welke data heeft in lopen zien via de legitieme tools.

Splunk is veel te flexibel daarvoor, en te gespecialiseerd op het gebied van security. Dit soort info moet je juist inzichtelijk maken aan elke people manager. Want een manager weet waar zijn/haar medewerkers aan moeten werken, en die kan goed in de gaten houden of de info die ze gebruiken hierbij hoort of afwijkt. Splunk is veel te technisch voor zo iemand.

Het probleem is met insider threat dat mensen legitieme toegang hebben tot gegevens maar deze te breed toepassen op zaken waar ze niets mee te maken hebben. Dat is juist iets waar je de context voor mist die je als security medewerker (met toegang to Splunk) nodig hebt. Het is veel meer iets om te zoeken naar aanvallers en technieken die je nog niet op de radar hebt.

Bovendien is Splunk doordat het zo enorm veel data logt (het idee is dat je alles wat je kan krijgen erin stopt!) ook gewoon niet gebouwd om dit soort data langdurig te bewaren.
Daar kan je in Splunk volgens mij prima dashboards voor bouwen die ook door “niet-technische” mensen te gebruiken zijn.

En langdurig data opslaan is juist goed mogelijk bij Splunk: daar is het product oa voor gebouwd (en verdienen ze goed geld mee).

Anders zijn er altijd nog alternatieven zoals Elastic en consorten die dit wel goed kunnen.

Als je als organisatie al aangeeft aan je medewerkers dat je al dit soort transacties opslaat en extern wegschrijft, voorkom je mogelijk al een gedeelte van het ons der threat stuk. Mensen zijn dan minder happig om aan dat soort activiteiten te beginnen als de pakkans groter word. Is het waterdicht? Zeker niet. Het is wel beter dan helemaal niets loggen.
Daar kan je in Splunk volgens mij prima dashboards voor bouwen die ook door “niet-technische” mensen te gebruiken zijn.
Ja en hoe regel je dan de toegang daartoe en de auditing daarvan? Dat moet dan allemaal apart bijgehouden worden, en gebruikers moeten er tijd aan besteden er speciaal op in te loggen. Bovendien is een Splunk licentie megaduur. Logisch voor het type tool dat het is (in een bedrijf met honderdduizenden werknemers heb je doorgaans maar een handjevol threat hunters!), maar het is niet iets dat je aan elke manager gaat geven. En je moet dan apart permissies bijhouden, dingen die je allemaal gewoon mee kan nemen in het applicatie RBAC model als je auditing gewoon eersteklas burger maakt in je applicatie ontwikkeling.
En langdurig data opslaan is juist goed mogelijk bij Splunk: daar is het product oa voor gebouwd (en verdienen ze goed geld mee).
Juist dat dure maakt dat het een probleem is. Wordt snel op bezuinigd. Wij hebben ook maar een paar weken toegang tot de volledige threat data en daarna wordt het al flink gepruned. En ik werk voor een bedrijf met bijna 200.000 werknemers :) Security staat echt wel op de radar.

Als je alleen audit data logt dan is de hoeveelheid data zo weinig dat je het decennialang kan bewaren voor bijna niks. Maar bij een tool als Splunk log je alles, en dan mix je een hoop data die nooit meer interessant gaat zijn, met cruciale data die je jaren wil bewaren.
Als je als organisatie al aangeeft aan je medewerkers dat je al dit soort transacties opslaat en extern wegschrijft, voorkom je mogelijk al een gedeelte van het ons der threat stuk. Mensen zijn dan minder happig om aan dat soort activiteiten te beginnen als de pakkans groter word. Is het waterdicht? Zeker niet. Het is wel beter dan helemaal niets loggen.
Ik ben het met je eens dat pakkans cruciaal is bij insider threat. Maar alleen maar roepen dat je het logt helpt niet zoveel. Wat helpt is een collega die wordt afgevoerd in handboeien.

Met splunk gaat zoiets gewoon niet werken. Het is gewoon de 'wrong tool for the job'. Het is net als een hele database applicatie bouwen in Excel: Het kan wel maar je bent verkeerd bezig. Auditing moet in de applicatie ingebouwd zitten of in een speciale auditing applicatie.

[Reactie gewijzigd door GekkePrutser op 6 december 2022 20:33]

Wij zijn zelf een Elastic-shop. Ik herken de pijnpunten die je noemt met Splunk. Dat is de reden dat we zijn geswitched.

Er is echt veel mogelijk met de juiste tuning en data-pruning. Een taak op zich maar het zou hier wel hebben geholpen om iets gelogd te hebben.

Over toegang tot de dashboards: who watches the watchers. Meestal gaan dat soort data naar een aparte instance waar bijv. alleen het security team (oa) toegang tot heeft.
Bij de Belastingdienst heerst de mentaliteit dat als je duur betaalt voor een tool dat je die dan overal moet toepassen (if all you got is a hammer...).
Als ik kijk bij mijn eigen werkgever stellen de kosten voor de opslag van data niks voor een TB meer of minder aan opslag maakt niks uit.

Er zijn zelfs bedrijven die helemaal niks aan data verwijderden, omdat het vanaf 0 opbouwen langer duurt dan de data te bewaren.
Dan heb jij nog niet een serieuze storage omgeving opgezet, waar de business case er wel toe doet. Een relatief eenvoudig Elastic Stack omgeving binnen een midden grote gemeente of een waterwinbedrijf (om maar iets te noemen) gaat over het miljoen heen. En dan wordt niet eens alles gelogd (lees: je moet filteren en keuzes maken in retentie). Voor een NetApp storage omgeving met 100TB ben je zo €250k verder. En dan heb ik nog geen licentie betaald voor Elastic. Je vergist je denk ik hoeveel GB log per dag een enkele firewall of AD per dag genereerd.
Je hebt geen idee waar ik werk en wat voor werk ik doe, dus bepaal niet als buitenstaander over de hoe en wat van mijn werkzaamheden zijn en wat de kosten zijn. Het gaat over miljoenen bij het bedrijf waar ik werk en dan zijn het alleen nog maar licentiekosten. De hele infrastructuur heb ik het nog niet eens over....
Als je met zo'n grote omgeving werkt, waarom zeg je dan dat de kosten van opslag van data niet zoveel voorstelt? Alleen al de kosten van storage voor het bijhouden van alle CICS transacties zijn gigantisch bij een organisatie als de belastingdienst.
Voor een NetApp storage omgeving met 100TB ben je zo €250k verder.
En om die reden moet je dat dus ook niet kiezen. Ik heb gewerkt met petabytes aan opslag die tientallen jaren bewaard moesten blijven en dan bouw je het echt zelf hoor, als je tenminste de kosten enigszins binnen de perken wil houden. Als je dat niet kunt heb je de verkeerde IT-ers in dienst. En dat is denk ik precies de kern van het hele probleem bij onze Belastingdienst. Verkeerde mensen op de verkeerde plek. Te beginnen met de systeem architecten die waarschijnlijk al extern zijn. Zou graag eens een vlieg op de muur willen zijn bij wat van de vergaderingen over een nieuw systeem daar…
Ik heb gewerkt met petabytes aan opslag die tientallen jaren bewaard moesten blijven en dan bouw je het echt zelf hoor, als je tenminste de kosten enigszins binnen de perken wil houden. Als je dat niet kunt heb je de verkeerde IT-ers in dienst.
Tot het moment dat een van de mensen die het neergezet hebben ergens anders gaat werken, de ander onder de tram komt, een derde met pensioen gaat en de vierde alleen heeft meegekeken naar dit zelfbouwsel.
Als er dan iets mis gaat met je storage systeem heb je ineens die kennis niet meer in huis en je hebt ook geen ondersteuning van een leverancier, want het is zelfbouw.
Ik heb geen idee hoe je die storage geregeld hebt, maar alle enterprise omgevingen waar ik heb gewerkt, willen toch erg graag support van de leverancier erbij hebben.

Zelfbouw == fix your own shit en dat kan soms veel duurder uitpakken dan een NetApp/EMC storage oplossing.
Wel eens van documentatie gehoord? Ik werk overigens alleen met opdrachtgevers die de moed hebben om hun eigen broek op te houden. Dat is vandaag de dag niet erg gebruikelijk meer met het motto van veel managers: "No one ever got fired for hiring IBM". Maar ok praat dan meestal ook met de directie en niet de managers daaronder. Ik selecteer mijn opdrachtgevers hierop. Ze komen bij me met de vraag: "hoe kan dit of dat tegen aanvaardbare kosten?" Ik geef ze een oplossing en als ze dan daar niet voor durven gaan dan even goede vrienden maar dan begin ik er niet aan. Ook niet aan een sub-optimale oplossing. En voor de volledigheid: Ik heb nog nooit gehad dat het tegenviel (qua kosten en qua betrouwbaarheid/prestatie) als ze het wel deden.

En als je wil weten hoe ik zo'n storage inricht dan mag je me altijd inhuren ;-)
Het artikel zegt ook niet dat er niet gelogd wordt maar dat het opvragen van informatie niet gelogd wordt.
Het lijkt me toch standaard bij dit soort systemen dat er audit logs zijn ? Dat is toch geen nieuw idee ?

Niet alleen hoor je logs te hebben van wie bij welke data heeft gezeten, er moet ook een process zijn dat deze logs met grote regelmaat bekeken worden om te zien of er geen onregelmatigheden in zitten.

Wordt de belastingdienst zelf niet regelmatig ge-audit om te kijken of ze security en privacy management op orde hebben ? Ik kan me niet voorstellen dat je door b.v. een ISO 27701 audit heen komt als je geen logging + reviews hebt van toegang tot persoonsgegevens.
Systemen worden jaarlijks ge-audit en reken maar dat daar de nodige opmerkingen en vragen zijn.

Verder geef ik het je te doen om loggegevens uit honderden verschillende systemen te uniformeren, te aggregeren en inzichtelijk te maken. Ben zelf ook wel's maanden bezig geweest met spitten om een speld in een hooiberg te vinden. Weet je wat je precies waar(om) moet (op)zoeken, is niets moeilijk.
Het wordt pas lastig wat een cryptische log voor relatie heeft met een nog vagere zoekactie als onduidelijke opdracht. Definieer maar 's wat onomstotelijke onregelmatigheden zouden zijn ?
Kortom de log & data is er - vaak - wel maar die is niet eenvoudig inzichtelijk te maken op het niveau wie wat wanneer; en laat staan waarom met welke reden iets is bekeken.

Los daarvan is deep-throat logging ook weer een afweging tussen doel vs nut en is loggen van 2MB aan ad-random tekst, disproportioneel om zeg een mailtje van 11KB te versturen.
Het opvragen van gegevens loggen is een bewuste keuze die veel geld kost.
Lol, nee?

Mijn eerste baan was een toko die gemeentesoftware bouwde, het loggen van welke medewerkers welke persoonsgegevens opvragen was iets dat ik als junior op een weekje zelf gebouwd had, dat is ECHT niet moeilijk.

[Reactie gewijzigd door kiang op 6 december 2022 20:53]

Solliciteer anders even. Met een beetje geluk sta je over een paar weken in een tweakers artikel. "Junior fixt alle logging problemen belastingdienst"
Het gaat ws. om de systemen die in de jaren 70 of 80 gebouwd zijn en nog steeds gebruikt worden en niet meer aan te passen zijn. Ik vind het ongelooflijk dat ze nu of steeds geen vervanging gemaakt hebben de afgelopen 10 jaar. Lijkt me echt niet onmogelijk.
Het grootste probleem van de belastingdienst is ons belastingsysteem in combinatie hoe onze politiek werkt.

Ons systeem is een opeenstapelingvan ellende en je blijft politici hebben die elk jaar van alles beloven. Terwijl de belastingdienst op het punt is gekomen dat ze het niet meer aankunnen (al een flink aantal jaar)

Wat er volgens mij zou moeten gebeuren is een nieuw systeem bouwen. De uitdaging is dat dit systeem direct een complexe baseline moet bevatten en gedurende de ontwikkeling (zeg maar 4 jaar) continue worden aangepast in lijn met het oude systeem. Een ander belasting systeem zou ook een oplossing zijn (minder subsidies, kortingen en vergoedingen maar ja... wat dan?)

Beide niet echt populaire onderwerpen voor een politicus om onderhanden te nemen. Ergens ook wel logisch want hoe goed je het ook doet... er is altijd wel een gedupeerde

[Reactie gewijzigd door Mellow Jack op 6 december 2022 18:47]

Dat politiek vaak veranderende wensen heeft waardoor er nieuwe en andere systemen moeten komen wil niet zeggen dat je basiszaken als logging dus maar niet hoeft of kan implementeren. Anders zou het betekenen dat logging steeds geen eis is, of opzettelijk buiten de eisen blijft. Dan zal een goede overheid naar de regering toch echt duidelijk moeten zijn dat logging daarmee geen prioriteit heeft. Dat lijkt kennelijk niet gedaan? Dan ligt het dus niet perse aan de politiek, maar ook aan onprofessioneel ontwerp en implementatie.
De aanname is dat het hier om een relatief nieuw systeem gaat? Dat nieuwe system logging hebben of kunnen krijgen geloof ik wel.

Zoals in het artikel aangegeven gaat het ook om oude systemen waarbij gewoon nooit rekening mee is gehouden dat deze logging nodig zou zijn. Dit later toevoegen is gewoon lastig. Denk aan redenen zoals geen mensen, geen kennis van het systeem (functioneel en technisch), geen beschikbare ontwikkel omgevingen. Niet te vergeten prioriteit, want we weten allemaal deze keuze vrij makkelijk gemaakt wordt als er gekozen met worden tussen een nieuwe wetswijziging implementeren of logging.
Dit later toevoegen is gewoon lastig. Denk aan redenen zoals geen mensen, geen kennis van het systeem (functioneel en technisch), geen beschikbare ontwikkel omgevingen.
Dat zijn geen redenen of oorzaken, dat is kamikaze-beleid en dansen-op-de-vulkaan mentaliteit.

En dan wil de politiek met droge ogen kerncentrales gaan exploiteren...
Dit heeft werkelijkheid niets met beleid te maken. De ontwikkeling van een systeem is op een gegeven moment gewoon klaar. Het systeem wordt enkel nog overhouden en wellicht af en toe een kleine wijziging. Daarbij verdwijnen de mensen met kennis van het systeem. Daar doe je niks aan. Bakken documentatie zijn ook waardeloos. Die leest niemand en als ze al gelezen worden onthoud niemand alles wat er in staat. Misschien nuttig om bekend met het systeem te raken maar je word er zeker geen expert door. Als de documentatie al klopt.

Wat betreft ontwikkel omgevingen, jaren geleden was een otap (ontwikkel, test, acceptatie, productie) niet de standaard. Zelf wat code kloppen op je werkstation en door naar productie. Daarnaast kunnen specifieke antieke machines overlijden zonder dat er een vangend exemplaar beschikbaar is.

Dan nog de mensen, sommige taken en technieken zijn aan het uitsterven of zijn uitstoven. Hetzelfde geld voor de mensen met deze vaardigheden, letterlijk als figuurlijk.
Dit heeft werkelijkheid niets met beleid te maken. De ontwikkeling van een systeem is op een gegeven moment gewoon klaar.
Als je generatoren hebt draaien in een stuwdam en niemand weet hoe ze werken of onderhoud moeten plegen zit je op een tijdbom en ik verwacht dat de systemen van de belastingdienst vele malen complexer in elkaar zitten; dat systeem is nooit klaar want regels veranderen en dit weet je van te voren.

De redenen die je schetst zijn geen technische redenen maar excuses voor verkeerd beleid (laat ik in het midden wat de oorzaak daarvan is). Onderdeel van beleid is continuïteit waarborgen door op het juiste moment uit te faseren en te vervangen; de redenen die jij noemt is onverantwoord kicking-the-can-down-the-road beleid.
Dit staat volledig los van beleid. Het is echt kortzichtig als je niet verder kan kijken of meedenken met de situatie dan deze stelling.
Beleidsregels bepalen anders juist de procurement processen van de overheid en in mijn 20+ jaar IT ervaring is het juist door beleid dat veel overheidsprojecten falen. Omdat in het begin het beleid voorkwam dat ze goed geïnformeerd konden worden.

Als je op een tender reageert en alleen vragenlijsten mag invullen die totaal niet geschikt zijn om de juiste info te verkrijgen om daar een beslissing op te baseren, kan dan geen juiste keuze worden gemaakt.

En daarna moet het IT project nog beginnen. Die is dus bij voorbaat gedoemd te mislukken.

Vervolgens begint het riedeltje gewoon opnieuw.

Op gemeentelijk niveau is dit net zo bizar: afgelopen 20 jaar moeten gemeentes elk individueel steeds meer zelf doen. Zelfs zelf een HR systeem aanschaffen. En weer volgens het beleid een procurement proces starten.
Zo zie je dat elke gemeente simpelweg wordt opgezet om te falen. Stuk voor stuk.

Als je meer onderbouwing wil, ga de GIBIT maar eens opzoeken en lezen.

[Reactie gewijzigd door Jazco2nd op 7 december 2022 10:15]

Mijn argument is dat logging al heel lang gebruikelijk is als beveiligingsmiddel. Zelfs in oude systemen uit de jaren 80 zou het verwacht mogen worden. Zeker in de financiële wereld, waarin accountability al gewoon was toen de meeste tweakers nog niet geboren waren. Laat de belastingdienst en regering dus maar aantonen sinds wanneer ze het zelf al verplichting zijn gaan hanteren. Ouderdom is dus niet zomaar een excuus, daarom stelde ik dat ook juist niet.
Een nieuw systeem bouwen is een recept voor weer een gefaald miljardenproject. Code roest niet. Als de code 20 jaar geleden werkte dan doet die in principe nu nog steeds hetzelfde. Opnieuw bouwen is echt een no-go wat mij betreft. Stukken code in antieke niet meer courante programmeertalen daargelaten, maar ook daar zou ik starten met een bijna 1-op-1 port naar een wel courante programmeertaal.

Je kunt dit beter aanpakken door een ontwerprichting te kiezen met diverse principes, protocollen en richtlijnen hoe een en ander zou moeten werken en dan alles geleidelijk aan ombouwen om daaraan te voldoen. Je houdt continue een werkend systeem en vermijdt ontzettend veel kinderziektes. Bovendien groeien de gebruikers van het systeem dan mee met de ontwikkeling in plaats van dat ze na jarenlang ontwikkelen uiteindelijk van de ene op de andere dag een compleet nieuw systeem op hun bord krijgen waar ze niet mee kunnen of willen werken en wat waarschijnlijk niet aan hun eisen voldoet.

En als klap op de vuurpijl heb je na 30% van het project ook al ruwweg 30% van de waarde, in plaats van dat bij afronding van het project (of gebrek daaraan) blijkt dat al het werk & geld feitelijk door de toiletpot gespoeld is.

[Reactie gewijzigd door MadEgg op 6 december 2022 20:37]

Inderdaad, complete nieuwbouw en big-bang vervanging van een complex bestaand systeem is iets wat je als ontwikkelaar één keer probeert
Je kent het verhaaltje van: You can have good/fast/cheap, choose two. De overheid koos elke keer voor goedkoop en 'snel', want de politiek heeft die belasting belofte al gemaakt voor volgend jaar... Dus zoals je al aangeeft jaren lang hetzelfde liedje en dan krijg je niet alleen een slecht product, maar een super slecht product!

De overheid werkt met een laagste bieder systeem en als het niet in de specificatie staat voor de bieding, dan gaat een leverancier dat ook niet gratis produceren...
Als je bedoelt "Een nieuw belastingsysteem bouwen" dan ben ik het met je eens. Een nieuw IT systeem voor het huidige sttelsel is een kansloze missie. Als er ergens een Great Reset nodig is, dan wel in het belastingstelsel.

De overheid moet terug naar de tekentafel en een nieuw stelsel opstellen waarbij ze moet stoppen met de illusie dat ieder subgroepje gecompenseerd moet worden voor elke beleidswijziging. Stop met de zoveelste uitzondering en het zoveelste speciaaltje op het zoveelste toeslag- of subsidiecircus. Maak een simpel, plat en transparant belastingstelsel met een minimum aan uitzonderingen, toeslagen en aftrekposten. Het IT systeem om dat te ondersteunen komt daarna pas.
de mainframe systemen hebben de (technische)logging op orde, maar al die wildgroei met copieen in excel, sharepoint systemen etc is het grote probleem
Waarbij dan de vraag rijst: Waarom vinden medewerkers het nodig om die kopietjes overal van te maken? Waarom kan het mainframe niet als 'single source of truth' gebruikt worden? Shadow-IT ontstaat uit behoefte.
omdat in het jaarlijkse budgettencircus alleen aandacht is voor de wetsaanpassingen en andere functionaliteiten op de lange baan gaan. hierdoor onstaan workarounds met geknutsel op de werkplek
De vervangende systemen die nu gebouwd worden, worden gebouwd op bijna 10 jaar oude systemen/technieken/talen/frameworks. Dat is moderner dan wat ze vervangen maar alles wat nieuwer is word al snel eng gevonden.
Mogelijk zijn de gebruikte systemen al dermate op leeftijd dat het allemaal nog niet zo standaard was?
Een systeem voor een belastingdienst is niet iets wat je kant en klaar koopt, dat is maatwerk wat vaak duur is en dus lang mee gaat. Als in de aanbesteding destijds geen eis was over logging, dan is dat er dus kennelijk nooit in gemaakt, ook niet achteraf.

Helaas hoe veel overheden werken.
Juist bij maatwerk hoort logging.
Anno 2022 wel ja. Maar in de jaren ‘90? Jaren ‘00?
Ik mag hopen dat ze niet de code draaien zoals in in de jaren 90 geschreven is. Er zal vast een en ander over zijn, maar er is zo veel veranderd. Qua wetgeving, maar ook op het gebied van software, hardware, infrastructuur, technische mogelijkheden, AVG en wat al niet meer.

Dat er in de jaren 90 geen logging geïmplementeerd is, dat is nog aanvaardbaar. Dat dat anno 2022 nog steeds niet gebeurd is? Dat is zéér nalatig.
Er is genoeg code wat nog veel ouder is. De dienst bied niet voor niks COBOL traineeships aan. :) Die code werkt prima op de nieuwste mainframes.

[Reactie gewijzigd door Zenix op 7 december 2022 00:20]

Tegenwoordig wel ja
Ook bij standaard programmatuur.
Ze zijn redelijk oud indd.
Praktijk is wat complexer dan hard en software waar je in kunt zitten.
De login acties op Windows zullen wel gelogd worden.
Van alle self made applicaties is dat een ander verhaal. Het is niet goed te praten, maar denk er ook niet te makkelijk over. Er zijn genoeg redenen waarom het vergeten/uitgesteld/verkeerd geprioriteerd etc kan worden in software development. Bijvoorbeeld omdat de politiek op het laatste moment dingen verzint waar de belastingdienst dan nog een mouw aan moet passen.
Wat mij verbaasd is dat ze niet om hun oren krijgen van de AP... of een andere instantie...
Voor zorggegevens heb je NEN7510/7512/7513 en daar staat in dat je toegang moet loggen... en je moet toegang tot je log loggen.
Deze NEN standaarden zijn gebaseerd op de Code voor informatiebeveiliging, en je kunt daar op geaudit worden.
Misschien dat de belastingdienst daar uitzondering op heeft, of dat de soep kwa auditing en gevolgen niet zo heet gegeten wordt. Maar ik vind het apart dat er geen consequenties hangen aan het gepruts.
Je zou bijna denken dat het opzettelijk zo is ingericht.

-- edit --
Voor alle mensen die mijn comment downvoten, laten we de situatie eens logischerwijs beredeneren;

De Belastingdienst heeft de taak om alle belastingen te innen waar belastingplicht geldt. Dit is een belangrijke taak want een overheid streeft ernaar om publieke voorzieningen te leveren zodat de samenleving kan functioneren zoals wij die met zijn allen democratisch hebben ingestemd.

Deze taak is zelfs zo belangrijk dat de Belastingdienst hier speciale bevoegdheden voor heeft; Zie hier voor meer informatie hierover.

Wanneer een entiteit deze belangrijke taak correct dient uit te voeren kunnen we aannemen dat nagedacht wordt over fouten en complicaties die kunnen / zullen ontstaan tijdens het uitvoeren van deze taak. In dit geval zijn er twee scenario's:

A - "Het is verstandig om het verloop van onze processen vast te leggen zodat wanneer er iets fout gaat we makkelijk(er) kunnen achterhalen wat er precies gebeurd en wanneer. Op deze manier kunnen we complicaties sneller en efficiënter oplossen."
B - "We leggen ons procesverloop niet vast."

Laten we aannemen dat er voor optie A wordt gekozen. We gaan er namelijk vanuit dat deze entiteit zijn taak serieus neemt en inziet dat er bij fouten desastreuze gevolgen kunnen ontstaan (toeslagen affaire). We weten hier waarschijnlijk allemaal dat het opzetten van logging voor een gecompliceerd systeem als die van de Belastingdienst geen makkelijke taak is, maar het lijkt mij ook dat wij inzien dat logging een essentieel onderdeel is van het beheren van ditzelfde systeem.

Dus waarom heeft de Belastingdienst geen logging ingericht voor hun systeem?
A - Niet capabel (weten niet hoe / komen er niet aan toe / te omvatrijk)
B - De keuze gemaakt het niet te implementeren, of om het huidige systeem niet te updaten.

Onder optie B geldt dus ook dat wanneer er in het verleden wellicht geen focus lag op logging in de gehele industrie, dit geen excuus is om het in de huidige tijd met alle kennis van nu dit niet te implementeren.

In beide gevallen vertelt het mij dat er niet genoeg energie en moeite wordt gestoken om het functioneren van het systeem en de geloofwaardigheid ervan te waarborgen. Dat is mijn ogen een bewuste keuze, niet een situatie van overmacht.

[Reactie gewijzigd door Havermelk op 6 december 2022 19:34]

Je zou bijna denken dat het opzettelijk zo is ingericht.
Dus de mensen die 15 jaar geleden de system eisen gemaakt hebben het systeem ingericht hebben op de mogelijke fraude van nu?
Het kan bewust niet ingebouwd zijn om maar geen verantwoording te hoeven afleggen.
Dat zullen we dus nooit te weten komen.

Zelfs 15jr geleden was loggen ingeburgerd.
Hoezo nu? De problemen zijn structureel en juist heel oud. Komt de laatste jaren alleen meer aan het licht en vooral meer media aandacht.
Hanlon's scheermes: neem nooit aan dat er kwade opzet in het spel is wanneer incompetentie zaken ook kan verklaren.
Laten we aannemen dat er voor optie A wordt gekozen. We gaan er namelijk vanuit dat deze entiteit zijn taak serieus neemt en inziet dat er bij fouten desastreuze gevolgen kunnen ontstaan (toeslagen affaire).
Incompetentie houdt ook in dat de verantwoordelijke personen zich helemaal niet gerealiseerd zouden hebben dat het opzetten van gedegen en breed uitgevoerde access logging en audit trails zo belangrijk zouden kunnen zijn. In zo'n geval komen ze niet eens aan de overweging "maar we gaan het lekker niet doen; want dan kunnen we met stiekeme dingen toekomen" toe en slaat je tweede juxtapositie tussen incompetentie en kwade opzet (wat overigens al een heel foute wit-zwart verdeling is) gewoon helemaal nergens op.

Wil je ergens boos over zijn?
Wees dan boos over het feit dat deze incompetentie bij herhaling niet opgemerkt wordt; en er niets aan gedaan wordt. Dat is het werkelijke probleem.

[Reactie gewijzigd door R4gnax op 6 december 2022 20:37]

Incompetentie word wel degelijk opgemerkt, maar gewoonweg verdoezeld.
Dat is de banencarousel in bij de hoge ambtenaren om "talent" niet verloren te laten gaan.
En helaas is heeft de belastingdienst en iedereen die daar werkt immuniteit. Dus ter verantwoording roepen gaat ook niet.

https://www.nu.nl/binnenl...r-toeslagenschandaal.html
Je ziet dat er overal mooi weer gespeeld word naar boven toe. Als je een half jaar lang aangeeft dat bepaalde zaken niet op orde zijn komt het nog niet door 3 lagen bestuur heen naar de juiste mensen.
Je krijgt wel allemaal 0 en -1, maar ik denk dat je wel een gevoelige snaar raakt daar.
Deels ja en ook weer nee.
Ja; Wat dacht je ervan dat dat niet loggen, ze ook zeer goed van pas komt voor hun eigen zaakjes (die niet op orde zijn, of het daglicht niet kunnen verdragen). Deze week in het nieuws dat er nog meer kinderen uit huis zijn geplaatst met de toeslagenaffaire, dan men had gedacht :F
Nee; onwetendheid en/of elke 4 jaar voor hun uit schuiven naar het volgende " slachtoffer" van een nieuwe minister.
Want er kunnen miljarden subsidie naar bedrijven, die het totaal niet nodig hebben, dan kan deze politiek, dit ook snel regelen, want het kost wel wat, maar geen miljarden als die subsidies.

[Reactie gewijzigd door GameNympho op 6 december 2022 18:40]

Ik heb vier jaar terug een wat hogere belasting functionaris gesproken en zij zei dat er Commissarissen zijn die zelf acties en de database activiteiten ondernemen die vallen onder “ daglicht niet kunnen verdragen”.

Ik snap nog steeds niet hoe zij zoveel invloed hebben op de corruptie bij de dienst EN beschermd worden zowel rechtswege en door de politiek. Het bleek dus dat de vorige minister geen voet aan de grond kreeg.

[Reactie gewijzigd door Lord Anubis op 6 december 2022 23:28]

Het is daar echt een zooitje.

Ik krijg ten onrechte huurtoeslag over 2021. Ik moest 3 keer bellen, voordat hun door hadden dat ze een fout maakte.

Toen kon dat volgens de medewerker van de belastingdienst niet terug gedraaid worden omdat ze een nieuw (computer) systeem hadden.

Ik ben dus al het hele jaar via een automatische overschrijving het geld aan het terug boeken. :(
Dat krijg je als je bedrijven inhuurt. Dergelijke dienstverleners doen vaak alleen wat gevraagd wordt vanwege prijsafspraken, dat ze dan ook nog meedenken en voorstellen indienen is er dan niet bij.
Zelfde bedrijven worden ook ingehuurd om advies te geven over de aanbestedingseisen.
Ik weet vrijwel zeker dat de ingehuurde bedrijven het gebrek aan logging aangekaart hebben.
De reden is simpel, het is extra werk dus extra inkomsten voor die bedrijven.
Super minimaal inschrijven en daarna indien mogelijk een eindeloze hoeveelheid extra werk lospeuteren.
Er wordt gezegd dat de loging systemen ontbreken naar de media maar iets zeggen wil niet betekenen dat het waarheid is!

Dit heeft alles weg van een beerput die de politieke macht niet wil dat deze openbaar wordt.

Deze overheid dienen wij als burger dus te vertrouwen!?
Ik vind het ineens niet raar meer dat er zoveel kinderen uut huis geplaatst zijn als gevolg van de toeslagen affaire, dit gaat niet meer goedkomen mede tweakers, de grens is bereikt.

0,0 vertrouwen, het ene na het andere schandaal volgt elkaar op en het volk weet het ook allemaal niet meer.
Dat ik nog mee zou maken dat we als ontwikkeld land in zo'n grote puinzooi terecht zouden komen.
wat is dat voor soep zooitje daar?
Het is de overheid: een instantie die een monopolie positie bezit, altijd meer geld kan spenderen door de belastingtarieven voor burgers te verhogen en nooit hoeft te concurreren met andere bedrijven die betere dienstverlenging tegen lagere kosten leveren door efficiënter te werken.

Als overheid een efficiënte oplossing was om diensten en producten te produceren dan was het communisme een doorslaand succes geworden.
Die overheid waarop extra veel bespaard wordt omdat politici daarmee kunnen scoren bij hun kiezers, zodat er geen deftige verloning overblijft en veel goede krachten vertrekken. Daarna worden dan consultancy dozen ingehuurd, verplicht de goedkoopste wegens alle regelgeving over aanbestedingen, maar minstens 5 keer duurder dan in-house, dus krijg je overpriced rommelconsultants die proberen alles zo lang mogelijk te rekken om meer uren te kunnen factureren.

Die politici willen ook elke maand hun nieuwe uitzonderingspakketje aan de wetgeving toevoegen, dus weer wat extra regeltjes bovenop al bestaande uitzonderingen en overgangsregelingen, zodat hun lobbygroep van de dag toch wat voordelen krijgt. Komt zo'n politieker af met wat totaal nieuwe parameters zoals "je vergoeding gaat afhangen van de gemiddelde zonne-inschijn in je woning en het aantal kubieke cm huisdier dat je had op 1 januari."

Het businessmodel in de privé is natuurlijk leuker, een zak durfkapitaal aantrekken en dan na een paar jaar eens goed failliet gaan. Hoef je ook niemand meer terug te betalen.
Die overheid waarop extra veel bespaard wordt
De overheid is de laatste 12 jaar alleen maar meer geld gaan uitgeven, gegeven de hogere procentuele belastingdruk die Nederlanders betalen voor de 'service' van de overheid. Incompetente politici zijn daar ook debet aan, maar vergeet de ambtenaren zelf niet die de toeslagen affaire mede veroorzaakt hebben.
Het businessmodel in de privé is natuurlijk leuker, een zak durfkapitaal aantrekken en dan na een paar jaar eens goed failliet gaan. Hoef je ook niemand meer terug te betalen.
Helaas zo werken businessmodellen niet, investeerders willen hun geld terug zien met rendement, inclusief 'durfkapitaal'. Failliet gaan is nooit een doelstelling: pijnlijk voor de mensen die hun geïnvesteerde geld kwijt zijn en pijnlijk voor degene die verantwoordelijk is voor het faillissement: daar willen veel investeerders en banken dan niets meer mee te maken hebben.
Hi Yzord, de oude applicaties zijn ook echt heel oud hoor, schrik niet van 40/50 jaar, of nog ouder. Bij meer recente applicaties zit natuurlijk wel een log module. Maar bij invoering van bepaalde wetten, bijvoorbeeld de wet op de vennootschapsbelasting 1969 waren de software standaarden anders dan nu :)
Ik kan mij voorstellen dat er “destijds” geen rekening is gehouden met het opzetten van log-structuren voor authenticatie en gebruik binnen applicaties (geen idee hoe oud de oude applicaties zijn).

Is er geen slimme programmatuur die dit kan oplossen? Lijkt mij dat dit soort problemen ook bij andere sectoren spelen (oer-oude bank applicaties? Mainframe toestanden bij KLM?). Er zou toch wel iets beschikbaar zijn die dit voor je kan oplossen.
Mainframe systemen kunnen prima loggen. Dat is het probleem niet. Het probleem zit m in dat de applicaties 40 of 50 jaar oud zijn en dat logging toen niet "by design" was
Prima. :) Ben ik nog steeds benieuwd of hier geen handige oplossing voor is ;)
Wat ik nu wel eens zie bij klanten is dat je alleen tijdelijk mag inloggen op dit soort servers en dat zo'n sessie dan wordt opgenomen. CyberArk biedt bijvoorbeeld deze functionaliteit (https://docs.cyberark.com...g-Privileged-Sessions.htm). Mocht je een vermoeden hebben dat rond een bepaalde datum fraude is gepleegd dan kan je dus de videos afspelen van die periode.

[Reactie gewijzigd door BaseLine op 6 december 2022 19:23]

Alle toegang tot bestanden, databases en transacties op een mainframe wordt gelogd. Met de juiste software is dat prima voor auditing te gebruiken. Maar ik vermoed dat het probleem niet primair op het mainframe speelt maar juist buiten het mainframe. Dat is in ieder geval wat ik bij andere organisaties zie, zoals banken en verzekeraars.
Het is ook van toepassing bij dat soort bedrijven, alleen die brengen het niet naar buiten, want het zijn geen publieke instanties. Bij die oude commerciële bedrijven is het qua programmatuur niet veel beter.
Zolang er politiek bedreven wordt met belasting blijft dit probleem. In ruil voor steun aan een of ander wetsvoorstel komt er weer een toeslag of uitzondering op iets. Daarvoor moet de software aangepast worden. Komt bij dat er minstens iedere 4 jaar een nieuwe regering komt, met nieuwe mensen en nieuwe wensen. En iedere ambtenaar of minister wil scoren. Dus wordt er iets veranderd zodat de dienstdoende kan zeggen 'kijk, heb ik gedaan bij de belastingdienst '. Oftewel, nieuwe voorstellen gaan voor oude problemen.
Tel daarbij de schier onuitputtelijke zak geld die de overheid heeft en waar software leveranciers op azen. Geen prikkel om iets volgens specificatie op te leveren, maar een vrijbrief voor 'meerwerk'.
Kunnen we niet gewoon met zijn allen een stop zetten op nieuwe features? En dus ook nieuwe belastingwetgeving?

Eerst “ff” opruimen en technical debt wegwerken. En “ja maar externe partijen dan?” Het UWV heeft ook koppelingen met de belastingdienst (en veel bedrijfsboekhoudingkantoren ook) die gewoon niet goed werken. Systemen waar validaties zijn uitgezet enzo.


Volgens mij moeten we bij de belastingdienst “gewoon” opnieuw beginnen ofzo. Het is iedere keer weer een nieuwe beerput opentrekken.

Ik maak me er ook al niet meer kwaad om ofzo dus dat is niet goed.
We zijn een paradijs voor grote multinationals, we hebben schandalen over toeslagen, nu weer corruptie onderzoek wat niet kan worden uitgevoerd door ontbrekende zaken (die gewoon op orde hadden moeten zijn)

En zelf MOET je 7 jaar je administratie op orde hebben en oh wee als het niet klopt. Als particulier wordt je BSN op straat geflikkerd met een verplicht BTW nummer (wat ook voor nieuwe ondernemers nog steeds hetzelfde gezeur is met twee verschillende nummers) en als je ook maar iets net niet helemaal goed hebt omdat je niet aan de standaard voldoet dan pats boem klaar de fik erin.
Als ik de krantenartikelen en posts van mensen die bij de Belastingdienst hebben gewerkt zo doorlees, dan ontstaat de indruk dat de Belastingdienst al tientallen jaren te maken heeft met extreme vormen van technical debt, waardoor de kosten voor relatief kleine aanpassingen enorm zijn. Veel onderdelen in verschillende talen. Jaar na jaar kiezen voor een snellere gelimiteerde oplossing nu in plaats van een correcte oplossing die wat meer voeten aan de grond heeft. Dat is precies waarom we met van die voor de buitenstaander onbegrijpelijke problemen als "btw op gezonde producten omlaag kan niet" of "corruptie in honderden applicaties loggen kan niet" zitten.

Als je dan hoort dat in 2021 de Belastingdienst 4,1 miljard aan onkosten heeft gemaakt om 900 miljoen terug te betalen aan benadeelde ouders, als je dat soort bedragen hoort, dan denkt iedere simpele geest net als ik waarschijnlijk wel een keer: Kunnen we niet gewoon 5 miljard uittrekken om een compleet nieuw belastingsysteem in één taal te bouwen parallel aan het de huidige spaghetti applicaties?

Is dat nu een dom en onhaalbaar idee, of zit er wat in? Waarom doen we dat niet? Doen we dat bijvoorbeeld niet omdat die initiële zichtbare kosten veel te hoog zijn en de coalitie daar niet verantwoordelijk voor wil zijn, terwijl we waarschijnlijk een veelvoud aan onzichtbare kosten maken om het huidige systeem in de lucht te houden? Of is het gewoon goedkoper om het huidige systeem in volle glorie te laten blijven bestaan?

[Reactie gewijzigd door Redsandro op 7 december 2022 00:52]

de Belastingdienst met zo’n negenhonderd verschillende systemen werkt, die meestal niet aan elkaar zijn gekoppeld
Je zou toch zeggen dat het anno 2022 mogelijk moet zijn dat er één centrale database is waar vanuit dan alle informatie gehaald kan worden. Sta er echt van te kijken dat er dus 900 verschillende systemen zijn die geeneens met mekaar samenwerken. Dan kan ik mij voorstellen dat het dan ook bijna onmogelijk is te gaan loggen via een centraal systeem.

Maar het is toch eigenlijk van de gekke als je dit leest terwijl als een 'gewone burger' iets verzwijgt bij de belastingdienst dat je meteen als fraudeur gezien word. Te bedenken dat de belastingdienst zelf hun zaakjes verre van op orde heeft als ik dit zo lees. En ja, ik vraag mij ook wel vaak genoeg af of zo'n belastingstelsel wel zin heeft met al die toeslagen en gedoe. Enerzijds betaal je je dan blauw om van de andere kant dan weer aangevuld te worden met toeslagen. Dat is toch zo'n gigantische onhandige omweg dat je je kan afvragen van schaf gewoon bepaalde zaken af.

[Reactie gewijzigd door Roel1966 op 6 december 2022 18:59]

Ik denk dat je de complexiteit onderschat van het maken van een systeem met één centrale database. Ik denk ook dat je onderschat hoeveel verschillende systemen je al snel hebt, zelfs in een MKB situatie, laat staan in een hele grote organisatie waar het soms lastig is om over afdelingen heen tot de juiste samenwerking te komen. Dat is al lastig in veel kleinere organisaties.
Ik denk dat je de complexiteit onderschat van het maken van een systeem met één centrale database.
Dat onderschat ik zeker niet en is ook niet iets wat eventjes snel in elkaar gezet kan worden, maar je bent het hopelijk wel met mij eens dat dit al helemaal hopeloos is bij 900 verschillende systemen. Waarbij misschien ook nog eens sterk verouderde systemen gebruikt worden met alle gevaren van dien.
ook dat je onderschat hoeveel verschillende systemen je al snel hebt, zelfs in een MKB situatie
Vergeet niet dat we hier spreken van een landelijke organisatie de belastingdienst. Bij het MKB spreek je van tig verschillende bedrijven met elk hun eigen tak.
in een hele grote organisatie waar het soms lastig is om over afdelingen heen tot de juiste samenwerking te komen
Maar dat is dan ook juist een steeds groter wordend probleem dat afdelingen onderling geeneens meer weten wat ze doen. Steeds vaker word je als consument van het kastje naar de muur gestuurd doordat niemand meer samenwerkt.
Vergeet niet dat we hier spreken van een landelijke organisatie de belastingdienst. Bij het MKB spreek je van tig verschillende bedrijven met elk hun eigen tak.
Ik was niet helemaal duidelijk. Ik bedoelde binnen één bedrijf binnen het MKB. Een systeem is niet altijd iets groots. Het kan ook een home grown tool zijn gebaseerd op Excel of Excel + een kleine database. De vraag bij die 900 systemen is of dat allemaal grote systemen zijn, of dat dit het totale complete overzicht is, inclusief alle kleine systeempjes.

Als ik het voor het zeggen had dan zou ik beginnen met de auditing goed regelen voor een paar hele grote systemen.
Ik bedoelde binnen één bedrijf binnen het MKB
Ik snap het !
Als ik het voor het zeggen had dan zou ik beginnen met de auditing goed regelen voor een paar hele grote systemen.
Beste zou naar mijn mening zijn dat al die systemen in elk geval benaderbaar zijn via b.v. 1 tool.
Beste zou naar mijn mening zijn dat al die systemen in elk geval benaderbaar zijn via b.v. 1 tool.
Ik vraag mij af of dat haalbaar is. Wil je b.v. de salarisadministratie benaderbaar via dezelfde tool als de informatie van belastingplichtige personen? Hoe creëer je een tool die handig is voor zowel de zakelijke belastingaangiften als de persoonlijke belastingaangiften? Ik ken applicaties waarin geprobeerd is om doelen die net zo ver van elkaar afstaan bij elkaar te brengen. Ik ken er nog geeneen die bruikbaar is.
Zeker, maar het zou dan toch al een hele voorruitgang zijn als het beperkt zou worden tot dan b.v. een database voor salarisadministratie, een voor consument en een voor de zakelijke wereld.
Alles in één database lijkt mij een gewaagd en uitdagend experiment. Bij mijn weten is er geen enkele organisatie van zelfs kleinere omvang die dat voor elkaar heeft gekregen.
Het grootste probleem daarbij is vooral de commercie in de zin van softwarehuizen dit tegenhouden omdat een ieder zijn product naar voren schuift. Technisch gezien moet dit in elk geval wel volgens mij mogelijk zijn en dit veel zou vereenvoudigen. Evenzogoed kan je dan wel met diverse tools werken om bepaalde info weg te filteren b.v.
Ik denk daar anders over. Volgens mij is het technisch onmogelijk om alles in één database te hebben bij een organisatie op deze schaal. Volgens mij is er geen enkel database systeem dat dat aankan.

Ik denk dan ook niet dat we het eens gaan worden.

[Reactie gewijzigd door jmvdkolk op 9 december 2022 19:17]

Volgens mij is het technisch onmogelijk om alles in één database te hebben bij een organisatie op deze schaal.
Des te meer dan een uitdaging voor programmeurs en techneuten om te bewijzen dat het wel kan. Maar kijk ik ben mij er ook wel van bewust dat dit een gigantische uitdaging is. Ook niet iets wat zomaar van vandaag op morgen gerealiseerd zou kunnen worden. Alleen al de hele transitie van 900 systemen zou al een gigantisch werk zijn.
Paar jaar geleden op een belastingkantoor om wat te regelen. De beste man achter de computer verontschuldigde zich dat het even ging duren, opende een Windows terminal, zocht op in een map hoe de zoekopdracht te formuleren, tikte wat regels in op de terminal, noteerde de data op een papiertje, sloot de terminal en ging met de gevonden data in een ander systeem verder zoeken.. Dus ja ik geloof gelijk dat daar honderden systemen draaien die amper met elkaar overweg kunnen en ook dat dit systemen zijn van verschillende tijdperken.

Eigenlijk is er maar 1 uitweg, alles compleet nieuw optuigen en dan de belastingdienst een week onbereikbaar voor een volledige migratie naar iets wat wel werkt en wat wel van deze tijd is. Kost helaas een vermogen en gaat nog jaren duren (als ze het al aandurven)
Ik heb inmiddels een paar van dit soort megalomane bewegingen mogen meemaken (nee, niet bij de belastingdienst). Als iemand denkt: "Het oude is ruk, we gaan iets nieuws bouwen", zie je eigenlijk altijd dat het nieuwe ook ruk is. Waarom? Omdat het oude inmiddels zoveel kon - ook niet gedocumenteerd - dat het nieuwe daar nooit aan kan voldoen. En het introduceert allerhande nieuwe ellende waar je achter moet komen.

Mijn geloof zit inmiddels meer in het organisch wijzigen. Niet een volledig nieuwe stack proberen te bouwen, maar compartimenteren en delen vernieuwen conform een gekozen concept. Je denkt dat dat kostbaarder is, maar de complexiteit van zo'n big bang is dermate groot, dat het in the end altijd weer duurder blijkt. Maar goed, als het simpel was, had iemand dat vast al eens gefixed voor ons.
Tel daarbij op dat in veel organisaties 30-35 jaar geleden door de eerste IT goden is begonnen met het bouwen aan landschappen en dat die generatie overal aan het vertrekken of al vertrokken is. Ik zie het zelf gebeuren en de drain aan kennis is echt gigantisch.
Tja, dan vind ik het niet gek dat er daardoor veel fouten gemaakt worden, geeneens dan door onkunde van het personeel. En dat er dan altijd mensen tussen zullen zitten die weer dankbaar gebruik maken om een extra centje bij te verdienen.
Wat... dit is echt weer z'n WTF momentje.

Maar ik snap zelf ook niet waarom er 900+ systemen zijn(ik ga er van uit dat ze software bedoelen). Maar dan is het ook weer zo dat de belastingdienst champion gefaalde ict projecten is
900+ is zo'n aantal waar je niks mee kan. Maar hoe zoiets komt is niet zo gek. Je begint in de jaren 80/90 met een verzameling van systemen. Elk jaar heb je politici die gave dingen beloven (belasting technisch). Daarnaast heb je hypes die, vanuit de politiek, gevolgd moeten worden (websites, apps, api's). Ook heb je een veranderende wereld (sinds 2008 steeds meer focus op security en audits). En als laatste heb je eens per zoveel jaar een politiek die vind dat ict binnen het rijk Centraal gehost moeten worden, dus bijv bij de belastingdienst gehost worden. Daarna moet het ineens weer decentraal (bij de gemeentes) en later weer andersom.

Elke keer is het de overweging, heb je al iets met deze gewenste functionaliteit, kan je het aanpassen? Moet je iets nieuws kopen? En als je iets nieuws koopt, neem je dan iets kleins wat 1feature toevoegt of iets grotere wat in potentie veel meer kan vervangen?

Pff ik ben blij dat ik daar niet werk
Jaren 60 is het zelfs begonnen :) In die tijd was de Belastingdienst een vooruitstrevende organisatie qua ICT. Ze hadden de modernste apparatuur en programmatuur. Maar daar zit dus ook een nadeel aan, als je dan iets te lang blijft hangen bij het oude, dan is het allemaal legacy en kan je moeilijk terug of migreren. En dat gaat dan jaren door, systeem op systeem.
software én hardware.
Volgens mij gebruiken ze meerdere I-series, P-series, Z-series, Windows, Linux en ook meerdere database systemen
why am I not surprised? :X
Hoeveel bedrijven ken je waar alle security gerelateerde gegevens een jaar worden bewaard, of nog langer zoals bij de BD noodzakelijke lijkt?
Telkens als je denkt dat het niet erger kan bij de belastingdienst..
Leuker kunnen we het niet maken, wel logger. Oh wacht…

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee