Een DDoS (Distributed Denial of Service) aanval genereert een grote hoeveelheid internetverkeer in korte tijd met als doel servers of websites van bedrijven stil te leggen. Van verschillende kanten klonk opeens de roep richting de overheid. Die moest maar eens ingrijpen, vond onder meer Detailhandel Nederland.

Daar moest ik eigenlijk even om lachen. Mijn ervaringen met de grote softwarebedrijven zijn niet vaak positief, om het voorzichtig te zeggen, maar de kans dat de overheid in staat is iets te beginnen tegen dit soort misbruik van het internet lijkt mij bijna nul. Of eigenlijk: nul.

Op IT-gebied blijkt de overheid vooral goed in het treffen van zinloze maatregelen en het niet treffen van juist wel zinvolle maatregelen. Daarbij maakt het eigenlijk niet uit of "Brussel" ze bedenkt, of een landelijke overheid of overheidsinstelling. Ik geef een paar praktijkvoorbeelden, en begin met de laatste maatregel waar ik uren extra werk aan had.

Subsidie-aanvraag

Voor mijn bedrijf ontwikkelen wij een e-mail programma dat als innovatieproject is erkend. Hierdoor mag voor ieder uur dat personeel aan het project werkt, voor de meeste werkzaamheden, een bepaalde aftrek op de te betalen loonbelasting, worden toegepast. De namen van de uitvoerende instelling en de subsidie zelf veranderen iedere paar jaar, momenteel heten deze respectievelijk rvo (.nl) en wbso.

Het eerste staat voor Rijksdienst voor Ondernemend Nederland (de N lijkt mij een beetje vergeten in het bedenken van de afkorting) en WBSO staat voor Wet Bevordering Speur- en Ontwikkelingswerk. Er gaat serieus geld in om: voor 2018 wordt meer dan een miljard aan subsidie verstrekt (1163 miljoen om precies te zijn).

eHerkenning

Tot vorig jaar kon je voor de aanvraag een Windows programma downloaden, per jaar. Het zag er niet echt modern uit maar het werkte prima. Oorspronkelijk moest je de aanvraag printen en posten, samen met een diskette. Logisch dat dit werd vervangen door de mogelijkheid de aanvraag online in te dienen. En dat werkte prima, eerlijk is eerlijk.

Je kon per jaar de data van het vorige jaar inlezen en planningen en omschrijvingen aanpassen aan wat je het komend jaar van plan was. Een nieuwe aanvraag kan zo in een half uur ingediend zijn. Tot er iemand bedacht dat dit allemaal maar eens moest worden beveiligd.

En daar was iets voor. In 2009 heeft het Ministerie van Economische Zaken met 18 commerciële partijen een soort van DigiD voor bedrijven uitgewerkt: eHerkenning. En laat nu net de uitvoerende instantie van deze subsidies, die in dat jaar Agentschap NL heette, de eerste gebruiker hiervan worden.

Eerst viel het nog wel mee. Er waren verschillende lagen eHerkenning en voor het digitaal posten van je aanvraag was de eenvoudigste laag al voldoende. Een handvol bedrijven biedt de meeste lagen aan en de eenvoudigste laag was bij sommige bedrijven gratis. Je registreerde je bij zo'n bedrijf en kreeg een wachtwoord bij je e-mail adres. Dus eigenlijk kreeg je alleen een andere inlog.

Het duurde echter niet lang of de overheid vond dat je een hoger niveau van eHerkenning moest hebben voor die simpele handeling: het digitaal versturen van een aanvraag. Het verkrijgen van die hogere niveaus kost wel geld bij de uitgevende bedrijven (vanaf een enkel tientje per jaar), maar ik ontdekte dat het off line programma een aangename bug bevatte: ondanks de verplichting dat je dat hogere niveau nodig had, waar het programma net voor de verzending ook voor waarschuwde, bleek de aanvraag toch te worden verzonden -de bevestiging per e-mail kwam netjes binnen.

Eenvoudiger?

In de loop van 2017 juichte de website van rvo: "WBSO aanvragen wordt eenvoudiger" Dat beloofde niet veel goeds, want die extra eenvoud werd als volgt beschreven:

• Er komt geen nieuwe downloadversie beschikbaar. U kunt dus geen WBSO meer aanvragen via het offline aanvraagprogramma.

• U kunt straks op twee manieren nieuwe projecten toevoegen aan uw aanvraag:

1. u beantwoordt de projectvragen direct in het online WBSO-aanvraagprogramma of;

2. u beantwoordt de projectvragen eerst in een nieuw projectformulier (pdf). De overige vragen vult u online in en de antwoorden in de pdf kunt u eenvoudig laten inlezen.

Dus: je kunt eerst de vragen off line gaan invullen in een PDF. Dat kan alleen met Adobe Acrobat en niet meer een van de vele alternatieve lezers, die stuk voor stuk beter zijn dan het origineel, en daardoor vaak gebruikt worden. Hadden we niet al iets veel eenvoudigers? Oh ja, het offline programma. Maar eerst een PDF met Acrobat invullen en de overige vragen online invullen is dus eenvoudiger, in de ogen van de overheid.

Het aanvragen van de eHerkenning was ook nog een heel gedoe. Eerst moest ik eHerkenning 2 aanvragen en betalen. Hiervoor moest ik steeds weer iets opsturen, zoals een oprichtingsakte en helaas, daar stond weer een regeltje in, vele jaren geleden als standaard door mijn accountant er in gezet, wat de uitgifte van mijn "eHerkenningsmiddel" in de weg stond.

Op dat moment bevond ik mij aan de andere kant van de wereld en dat maakte het toch wel lastig om te regelen hoe ik dat volgende bureaucratische monster het beste kon bestrijden. Gelukkig kon ik zonder notarissen een amendement indienen op de akte waardoor de beperking werd weggenomen en kreeg ik eHerkenning 2. In een uitleg van 9 stappen stond hoe ik via 'Machtigingenbeheer' Diensten kon toevoegen. Pas daarna kon ik de eHerkenning 2+ aanvragen die voor die subsidieaanvraag nodig was. Dat leverde ook nog een complicatie op. Toen ik eindelijk de aanvraag kon indienen kreeg ik deze mededeling:

Wel was de bij een hoger beveiligingsniveau horende sms verzonden waarvan ik de code moest invullen. Dus waarom werkte het niet? Het kostte veel moeite om daar achter te komen, want de opgetelde telefonische wachttijden bij de eHerkenningsmiddel-leverancier waren een uur voordat de uitleg kwam dat ik eerst de EH2 herkenningen moest weghalen en de EH2+ herkenningen moest toekennen. Die lange wachttijd kwam ongetwijfeld omdat meer ondernemers waren vastgelopen in de "eenvoudigere" aanvragen.

De subsidie online aanvragen was ook al niet eenvoudiger. Te zien is dat het programma diverse missende velden rapporteerde die ik echter niet kon wijzigen; de enige wijzigopties waren via de knoppen "Wijzigen Bezoekadres" en "Wijzigen Correspondentieadres" bereikbaar en daar vielen de meest gerapporteerde missende velden niet onder.

Bij toeval ontdekte ik dat deze bij de keuze "Bewaren" allemaal werden ingevuld; ze waren natuurlijk ook bekend uit de geïmporteerde aanvraag. Het koste me nog de nodige moeite om uit te vinden hoe ik een aantal van de overige velden bereikte -het offline programma verliep meer als een wizard waar je vanzelf in het volgende scherm belandde. Maar uiteindelijk is het gelukt.

Waarom vind ik nu dat de overheid met de verhoogde eHerkennings-eis zinloos bezig is? Omdat ik niets anders doe dan een aanvraag posten. Stel je voor dat je ik een brief wil posten in de hier en daar nog steeds bestaande Post NL-brievenbussen en ik hiervoor eerst moet worden gescreend, dan toestemming krijg en dan van alles moet doen voor ik die brief tussen de tandjes van de brievenbus te laten glijden. Idioot toch? Maar digitaal kan dat kennelijk wel gevraagd worden.

Oh ja, ik begrijp best dat subsidieaanvragen concurrentiegevoelige informatie kunnen bevatten. En je kunt met de inlog ook een ingediende aanvraag bekijken. Maar ik kan me nu werkelijk geen enkel nieuwsbericht herinneren van het grootscheeps hacken van subsidieaanvragen, met een miljoenenschade, waardoor dit soort maatregelen gerechtvaardigd zijn. En ik wil alleen die aanvraag posten.

Vooruit, nog enkele voorbeelden.

Mijn overheid

Hierop krijg je een mail als er iets in je Mijn Overheid box zit:

Er is een nieuw bericht in uw Berichtenbox op MijnOverheid. Ga naar MijnOverheid om dit te lezen.

Vroeger bracht de postbode je een brief en die kon je van je deurmat oprapen en lezen. De overheid die zou besluiten 10-20 keer per jaar een aankondiging te sturen dat er een brief voor je klaar lag op het postkantoor zou voor gek worden verklaard, maar dat is dus precies wat er nu gebeurt.

Er staat helemaal niets in de mailtjes waar je uit kan afleiden of het belangrijk is of niet wat er in die berichtenbox staat. Als ik straks voor ieder bericht dat ik krijg ergens anders moet gaan inloggen om het te bekijken ben ik de hele dag met mijn mail bezig. Hier moet iets aan gedaan worden - we moeten in opstand komen tegen een overheid die alleen zinloze maatregelen uitvoert.

Cookies

De cookiewetgeving. Terwijl aan alle kanten aan onze privacy geknaagd wordt heeft de EG ons toch maar mooi beschermd tegen... tegen wat eigenlijk? Tegen cookies op je browsers. Of liever gezegd, de cookies, die de meeste websites nodig hebben om te kunnen functioneren, moeten aangekondigd worden. Dus zit heel Europa de hele dag zinloos 'Ja, ik accepteer cookies' te klikken om normaal te kunnen browsen. Dat helpt zeg!

Ik heb daarom weinig vertrouwen in de overheid als bestrijder van de DDoS-aanvallen. Ingrijpen betekent waarschijnlijk dat we helemaal niet meer kunnen browsen. Misschien moeten we wel eerst inloggen met een eHerkenning 2+ of onze DigiD via gedistribueerde inlogsites en dan een via SMS verkregen code invullen voordat we een banksite kunnen bezoeken, of die van de discus, zodat DDoS-aanvallen wegens te tijdrovende voorbereiding van het bezoek niet meer lukken. Of breng ik de overheid nu op een idee?