Ja, en nu?

Ik heb zomaar het idee dat de verantwoordelijken niet ontslagen worden. En waarschijnlijk nog een bonus op de koop toe krijgen. Het gaat tenslotte maar om burgers. Je weet wel, de mensen die de belasting betalen. Dus het is allemaal geen probleem.
Zodra DIE iets overtreden, ja, DAN breekt de hel los. Maar als ambtenaar heb je niks te vrezen.

Glas, plas en alles bleef zoals het was. Welkom in Nederland.

In de antwoorden op de kamervragen staat dat:

- het gaat om Mijn Belastingdienst, waar je dus ingelogd bent met DigiD;
- de standaarddienst voor websiteanalytics wordt afgenomen bij IBM, die Adobe weer als onderleverancier heeft;
- het daarbij helemaal niet de bedoeling is dat ook persoonsgegevens worden verwerkt, waardoor er een standaardcontract en geen verwerkersovereenkomst is afgesloten;
- het gaat om het meten van gebruik, navigatie en prestaties van de digitale dienstverlening, met als doel die te verbeteren;
- gegevens worden verzonden naar adobe-analytics-dc.belastingdienst.nl, dat doorverwijst naar Adobe-infrastructuur (de IP-adressen waar het naar verwijst zijn van Adobe).

Het gaat dus om een webapplicatie, die draait op een webserver die al het nodige logt, en logs kan je analyseren, daar bestonden in de jaren '90 al handige tools voor. Omdat het bij gepersonaliseerde informatie om een webapplicatie gaat, niet enkel om statische inhoud, waarvoor toch al server-side geprogrammeerd wordt is en de niet-generieke requests ook nergens onderweg gecachet kunnen worden, is het een fluitje van een cent om dingen die je wilt loggen voor de genoemde doelen, als die niet al in de standaardlog van de webserver staan of via configuratie daaraan toegevoegd kunnen worden, zelf vanuit die applicatie te loggen op eigen servers, zonder daar een externe dienst voor nodig te hebben. En als het helemaal niet de bedoeling was dat er gegevens naar de dienstverlener gaan, waarom was dat subdomein op de eigen site die naar een server van Adobe verwijst dan aangemaakt?

Ik heb in de jaren rond de eeuwwisseling, niet recent dus, aan webapplicaties mee-ontwikkeld en ik heb in die tijd mensen die de neiging hadden om de toen beschikbare externe analytics-diensten te gebruiken behoorlijk weten te verbazen door binnen een paar minuten, waar ze bij stonden, een Perl-scriptje te schrijven dat precies waar zij razend enthousiast van werden uit de server-logs te produceren. Niet dat ik het dan net zo gelikt kon presenteren als zo'n dienst, ik spuugde gewoon de cijfers uit, maar wel dezelfde cijfers, zo makkelijk waren die beschikbaar.

Wat kan je niet uit je eigen gegevens halen? Hoe vaak statische inhoud wordt gebruikt die buiten je eigen infrastructuur gecacht wordt, al zal dat vaak prima af te leiden zijn uit inhoud die niet gecacht kan worden, en een vergelijking tussen hoe jij het doet en hoe andere organisaties het doen, want de gegevens over die anderen heb je niet. En verder is voor zover ik overzie het verschil niet meer dan de bling-bling van gelikte grafiekjes en dat soort werk, maar geen inhoudelijk verschil.

Ze beschikken in mijn ogen dus al over de informatie waar ze zo'n dienst voor inschakelen. Dan moet je, als je site privacygevoelig is of om andere redenen vertrouwelijk gehouden moet worden, niet eens aan zo'n dienst beginnen en zelf de gegevens die je zoekt verzamelen en verwerken. Een instellingsfoutje zit immers in een klein hoekje, wat zo'n dienst gebruiken is eindeloos veel minder robuust maakt dan het zelf doen. Voor een grafische presentatie bestaan tools die je kan inzetten zonder dat daar weer gegevens voor de deur uit moeten, dat kan helemaal intern. En als het dan niet zo gelikt gepresenteerd wordt als Adobe doet (maar wel kloppend, volledig en duidelijk) ga dan maar niet voor de maximale bling-bling. Je bent met werk bezig, niet met een theatervoorstelling.

Zie ik iets over het hoofd of zien zij iets over het hoofd? Ik ben mensen tegengekomen die serieuze websites exploiteerden die werkelijk geen idee bleken te hebben dat een webserver zelf requests logt en dat je daar wat mee kan. In managementvergaderingen waar over dit soort dingen wordt besloten kan domweg het besef ontbreken dat er iets wordt ingekocht dat men eigenlijk al heeft. En onder degenen die het uiteindelijk in de site inbouwen zijn er helaas zat die niet vragen waar zo'n keuze eigenlijk op slaat, zeker niet als het over veel schijven loopt en mogelijk zelfs in heel andere organisaties wordt uitgevoerd dan waar het besloten wordt. Ik denk dat er heel fundamentele dingen makkelijk over het hoofd worden gezien zo. Met dit soort blunders als gevolg.

Het is niet alleen onkunde, het is ook onwil bij de belastingdienst. Welke *randdebiel* (ja, professionele kwalificatie) dacht dat dit een goed idee was, verdient gewoon vervolgd te worden wegens laakbaar - en mogelijk opzetting in strijd met de wet - handelen; elke Nedelander is immers 'verplicht' klant bij de Belastingdienst...