Inkoper MinVWS: “Onderzoek functionele wensen en kijk naar opensource-oplossing”

“Onderzoek de functionele wensen en kijk of er een opensource-oplossing is”

Hans van Straten kwam in coronatijd bij het ministerie van VWS. Hij werkte voor het programma dat digitale ondersteuning realiseerde voor de afdelingen die met corona bezig waren. “Denk aan de apps coronamelder en coronacheck en een tool voor het GGD-contactonderzoek. Dat wat toen binnen het programma werd ontwikkeld, was open source. We voelen ons heel nauw verwant met de opensourcecommunity. De corona-applicaties hebben we zelf ontwikkeld, in eigen beheer. Maar we hebben de sourcecodes allemaal beschikbaar gesteld voor anderen. Op dit moment zijn we samen met de community een tool aan het ontwikkelen: OpenKAT [openkat.nl]. Dit is een Kwetsbaarheden Analyse Tool, die informatiesystemen kan scannen en analyseren.”

‘Open, tenzij’ is het uitgangspunt

“Ik ben bezig met allerlei inkooptrajecten, maar bij opensourceproducten is natuurlijk geen sprake van kopen. Je betaalt in principe niet voor de software die door de opensourcecommunity gedeeld wordt. We zouden die community best willen ondersteunen met een bijdrage, maar de vraag is of dat kan zonder de inkoopregels te overtreden.”

Van Straten vertelt dat het vaak voorkomt dat inkoop de vraag krijgt om een specifiek softwarepakket aan te schaffen. ”Als inkoper moet je dan goed onderzoeken wat nou eigenlijk de functionele wensen zijn. Van daaruit kun je kijken of er een opensource-oplossing is die aan de wensen voldoet. We moeten als inkopers altijd functioneel uitvragen in de markt, maar daarop krijgen we vrijwel nooit open source aangeboden. Het zou misschien wel een goed idee zijn om bij een uitvraag expliciet te noemen dat de Nederlandse overheid ‘Open, tenzij’ als uitgangspunt heeft.”

Werkwijze inkoop belemmering voor gebruik open source

De rijksoverheid werkt met raamcontracten. Er worden dan contracten afgesloten met een beperkt aantal leveranciers. Van Straten vindt deze werkwijze soms een belemmering voor de aanschaf van opensourceproducten. “De leveranciers voor deze contracten zijn niet zo happig op het sluiten van contracten voor aanschaf en beheer van opensourcesoftware. Het is te ongrijpbaar wie eraan werkt en wanneer. En er is niet één persoon die ze kunnen aanspreken als er iets niet goed gaat. Volgens mij is dat de belangrijkste reden waarom er nooit open source wordt aangeschaft. Ik weet trouwens niet of er in de raamovereenkomsten staat dat open source aangeboden mag worden.”

Inkoop servicecontracten is een uitdaging bij open source

“Als je als organisatie zelf niet aangehaakt bent bij de ontwikkelingen van een opensource-toepassing, kan het zomaar zijn dat je werkt met een verouderde versie. Met allerlei risico’s,” vertelt Van Straten. “De verouderde software kan bijvoorbeeld beveiligingsproblemen opleveren. Of gewoon niet meer functioneren omdat updates niet zijn verwerkt. Het is dus echt belangrijk om zelf te zorgen voor het installeren van updates. Of om een goed onderhoudscontract te sluiten. Opensource-pakketten vinden is niet zo moeilijk. De opgave is om het beheer en onderhoud in te kopen, via servicecontracten. Passend binnen de regels voor inkoop en aanbesteding.”

Er komt een beweging op gang

Soms is het feitelijk onmogelijk om opensource-alternatieven te gebruiken. “Wij gebruiken bijvoorbeeld Signal in plaats van Whatsapp, omdat Signal veiliger is. Maar je mag dat niet zomaar installeren op apparatuur van het ministerie. Dat is wel raar, zeker als je kijkt naar het beleidsuitgangspunt Open, tenzij. En niet alleen is het onmogelijk om het zelf te installeren, het zit ook niet in het pakket van SSC-ICT. En ondanks dat is er een beweging op gang gekomen! Open source is niet meer weg te denken.”