Belastingdienst wijzigt overeenkomst met FAST Enterprises

Risico’s te groot – deal wordt grondig aangepakt

De NRC had donderdag als eerste door dat de Belastingdienst een eerder aangekondigde en omstreden uitbesteding aan een Amerikaanse IT dienstverlener grondig aanpast. In een brief van 11 pagina’s is aan de Tweede Kamer uitgelegd waarom men dit doet en voor welke oplossing is gekozen.

belastingdienstDie brief is lang maar ook zeer verhelderend. Een aanrader voor wie betrokken is bij uitbestedingsprojecten of opdrachten voor een overheid verricht. Wie iets meer wil weten over het IT landschap van de Belastingdienst komt ook aan trekken. De brief noemt expliciet de Mainframe omgeving, de wens meer eigen software te ontwikkelen, omarmen van open source, plannen over datacenters en nog meer. Er wordt ook verwezen naar de Europese ontwikkelingen rond digitale soevereiniteit

Het belangrijkste deel van de brief gaat echter over het aanpassen van een aanbesteding. In februari van dit jaar werd bekend dat de fiscus een Amerikaans softwarebedrijf FAST Enterprises de opdracht had gegeven voor de vernieuwing van de btw-verwerking.

Dit bedrijf heeft schijnbaar kant en klare software liggen om btw te innen. Nu is in elk land het btw systeem iets anders. Er moesten dus aanpassingen komen, kant en klaar werd meer maatwerk.

Maatwerk is het punt niet, wel dat notabene op het moment dat de ophef over de Solvinity – Kyndryl al hoog was de fiscus voor een Amerikaanse partij koos. Niet handig en behoorlijk riskant waren nog de milde reacties. Elders werd op luide toon getwijfeld aan het verstandelijke vermogen van de top van de Belastingdienst, met Ministerie van Financiën en de tweede bewindslieden zelf.

De brede maatschappelijke kritiek en verhaal rond Solvinity hebben gevolgen gehad voor die maatwerkklus inclusief uitbesteding. Op pagina 4 van de Kamerbrief staat:

De keuzes in deze moderniseringstrajecten zijn mede het resultaat van keuzes die jaren geleden, in een andere geopolitieke context, zijn gemaakt. Dat kan leiden tot uitkomsten die in de huidige context niet meer wenselijk zijn. Dat betekent dat er opnieuw naar de risico’s wordt gekeken en dat er waar nodig en mogelijk wordt bijgestuurd door de Belastingdienst.

Vervolgens wordt ingegaan op de migratie naar M365. Dat proces gaat weliswaar door, maar het Ministerie scherpt de voorwaarden verder aan en uit de context van de rest van de brief van te halen dat het een tussenoplossing is.

Het echte vuurwerk

Er is een risicoanalyse uitgevoerd conform de Information Risk Assessment Methodology (IRAM) en parallel verkende of de Belastingdienst het beheer en onderhoud van de infrastructuur kan overnemen van de leverancier, het zogenoemde hosting-scenario. De uitkomst valt in de categorie vuurwerk.

De risicoanalyse is afgerond en wijst uit dat de risico’s rondom de vertrouwelijkheid van gegevens en de continuïteit van de dienstverlening in het housing-scenario, waarbij Fast Enterprises het beheer en onderhoud van de infrastructuur verzorgt, niet afdoende gemitigeerd kunnen worden in de huidige geopolitieke context. Daarom heeft de Belastingdienst besloten om voor ingebruikname van het nieuwe systeem over te gaan op het zogenoemde hosting-scenario. Met de overgang naar het hosting-scenario kunnen, in combinatie met de eerder aangekondigde beheersmaatregelen, de risico’s voor de continuïteit van de dienstverlening en de vertrouwelijkheid van gegevens afdoende worden gemitigeerd.

Daarmee hebben we voor de tweede keer zwart op wit dat voor opdrachten waar het gaat om data en processen die de kern van de overheidstaken raken of faciliteren Amerikaanse partijen niet langer in aanmerking komen. Dat is wat bedoeld wordt met “de huidige geopolitieke context.”

De oplossing van de fiscus staat ook in de brief beschreven en ook dat is een reden de hele brief te lezen.

Natuurlijk zal ook nu weer de Amerikaanse ambassade kunnen gaan sputteren, maar dat zal weinig effect hebben. Meer effect zal krijgen dat nog meer overheidsdiensten (als dat al niet gebeurde) de contracten gaan doorspitten. In het verlengde daarvan zullen ook bedrijven en organisaties aan het denken gezet worden.

Gerelateerde berichten

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Vorige week schreef Golem, een Duitse techsite dat M365 voor het Zwitserse leger onacceptabel was. De site gebruikte als bron een artikel uit een Duitse krant. Daar had iemand zitten...

Veel IT-bedrijven ontwerpen hun architectuur zorgvuldig, maar worstelen met de uitvoering: te weinig handen voor implementatie, onderhoud en support op locatie. Easy Services uit Lelystad springt in dat gat. Als...

Lezers van ITchannelPRO zien regelmatig berichten over het optreden van de Europese Commissie tegen Amerikaanse big tech. Ten onrechte zou daardoor de indruk kunnen ontstaan dat men alleen naar de...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein