Digitale overheid | HART Partijpunt 27

Kernprincipe

De overheid werkt voor de burger. Niet andersom. België bezit een digitale identiteitsinfrastructuur van wereldklasse: de eID was de eerste in Europa met verplichte uitrol voor alle burgers, itsme bereikt meer dan 7 miljoen gebruikers, en MyMinfin werkt. Maar achter deze façade schuilt een gefragmenteerd landschap van 6 regeringen, 10 provincies en 581 gemeenten die elk hun eigen systemen bouwen, hun eigen data verzamelen, en hun eigen IT-consultants betalen. Zonder gemeenschappelijke architectuur, zonder bindende interoperabiliteitsnormen, en zonder afdwingbaar once-only-principe over alle bestuursniveaus heen. Het resultaat: België scoort 56e op de VN E-Government Development Index (2024), terwijl Denemarken 1e staat, Estland 2e en Singapore 3e. Estland. Een land met 1,3 miljoen inwoners en geen oliefonds. Levert 100% van zijn overheidsdiensten digitaal. Denemarken bespaart €296 miljoen per jaar door digitale communicatie verplicht te maken. België, met 11,5 miljoen inwoners en een BBP van meer dan €500 miljard, geeft meer uit en levert minder. HART kiest voor het Estse en Deense model: een bindende digitale architectuur die alle overheidsniveaus verbindt, once-only als wet, digitaal als standaard, en eigen technisch talent in plaats van structurele afhankelijkheid van dure consultants. Wie niet digitaal mee kan, krijgt een wettelijk gegarandeerd fysiek alternatief. Geen uitsluiting, maar evenmin een excuus om digitalisering te vertragen.

Feiten en cijfers

Feit	Cijfer	Bron
België VN E-Government Index (EGDI) 2024	56e (~0,81), ver achter Denemarken (1e), Estland (2e), Singapore (3e)	VN EGDI 2024
EU eGovernment Benchmark 2023	15e van 35 Europese landen (77 punten); Malta 96, Estland 92	Europese Commissie
DESI-ranking België	16e in EU (2022), met zwakste pijler = digitale overheidsdiensten	DESI 2022 / Europese Commissie
Belgische eID	Eerste in Europa met verplichte uitrol voor alle burgers 12+ (pilot 2003, landelijk 2004), 28+ mln kaarten uitgegeven	KU Leuven / Thales
itsme® gebruikers	7+ miljoen, 473 miljoen identiteitsacties in 2024 (~1,3 mln/dag)	itsme® jaarverslag 2024
Gebruik e-overheid door burgers	88% gebruikt online overheidsdiensten (EU-gemiddelde ~70%)	Statbel / Eurostat
Digitaal kwetsbare Belgen	40% van 16–74-jarigen digitaal kwetsbaar (8% geen internet, 32% lage vaardigheden)	Koning Boudewijnstichting 2024
Open Data Maturity België	Categorie "Follower" (74–80%), onder EU-27 gemiddelde (83%); Frankrijk 100%	EU Open Data Maturity 2024
i-Police IT-project	€299 mln contract met Sopra Steria; beëindigd dec 2025 na €75,8 mln uitgaven, geen enkel volledig operationeel systeem opgeleverd	Belga / Rekenhof
Belgische IT-outsourcingmarkt	$3,45 miljard (2024), groeiend naar $5,12 mrd tegen 2028	Statista
IT-consultant dagprijs overheid	€500–1.200/dag (€100.000–250.000+/jaar), 2–3x kosten vaste medewerker	Sectorrapporten
Tekort IT-werkers België	~21.000 tegen 2026	Digital Skills & Jobs Platform
Belgische Only Once-wet	Federale wet 5 mei 2014; geldt alleen federaal, niet bindend voor gewesten/gemeenten	Belgisch Staatsblad
Estland X-Road	929 instellingen, 1.887 systemen, ~295 mln verzoeken/maand, open source (MIT)	e-Estonia / NIIS
Estland digitale besparing	~1.345 werkjaren/jaar bespaard via X-Road; digitale handtekeningen besparen 5 werkdagen/burger/jaar	e-Estonia
Estland belastingaangifte	Gemiddeld 3 minuten; 98% elektronisch	e-Estonia
Denemarken Digital Post	94% van de 15+-bevolking; 251,5 mln berichten (2024); brieven -90% sinds 2000	Deense overheid
Denemarken MitID	5,5 mln geregistreerde gebruikers, ~20 mln transacties/week	Digitaliseringsstyrelsen
Denemarken jaarlijkse besparing	€296 mln/jaar; 30% reductie verwerkingstijd	Deense overheid
Singapore Singpass	5 mln gebruikers (97% van 15+), 41 mln+ transacties/maand	GovTech Singapore
Singapore GovTech personeel	~4.000 in-house technologen	GovTech Singapore
VK GOV.UK	1.882 websites vervangen door één platform; ~23.000 digitale ambtenaren (DDaT)	UK GDS
VK besparingen	£353 mln bespaard in 2018/19 door spend controls	UK GDS
Ransomware Antwerpen (dec 2022)	PLAY-groep: 557 GB data gestolen, systemen wekenlang offline, 18 woonzorgcentra getroffen	Bleeping Computer / The Record
Belnet DDoS (mei 2021)	Grootste DDoS-aanval in Belgische geschiedenis: 200 instellingen offline	The Record
VSSE-hack (2021–2023)	Chinese hackers onderschepten 5–10% van extern e-mailverkeer via Barracuda zero-day	Belgische media / Cyberlands
Stad Antwerpen totale schade	~€95 miljoen totaal (€11 mln direct herstel + €84 mln omgeleid digitaliseringsbudget voor cybersecurity): een van de duurste ransomware-aanvallen op een Europese stad	Belgische media / Digipolis / Sirris
België NCSI-score	94,17/100 (5e wereldwijd); maar operationeel kwetsbaar	NCSI/ega.ee
Smals (semi-publiek IT-bedrijf)	€574 mln omzet/jaar; aandeel externen steeg van 18% naar 36%; ~1.800 medewerkers	Smals jaarverslag
Le Forem IT-consultancy	€265 mln vastgelegd aan IT-consultancy in 6 jaar (2019–2024); één contract (NRB/Uptime/NSI) €47,9 mln. Meer dan alle 23 andere Waalse entiteiten samen	Rekenhof / Parlement
Gefaalde IT-projecten (totaal)	€350+ mln aan aantoonbaar mislukte projecten: i-Police €75 mln, JustCase €40 mln, Phenix €28 mln, Persona €16 mln, plus honderden miljoenen aan consultancy zonder resultaat	Diverse bronnen (Rekenhof, Belga)
Dienstenintegratoren België	6 parallelle integratoren: FSB (BOSA), KSZ, MAGDA (Digitaal Vlaanderen), BCED (eWBS), Fidus (CIRB/Paradigm), eHealth. Elk met eigen platform, standaarden en governance	Belgif / BOSA
NIS2-omzetting België	Wet 26 april 2024, van toepassing 18 oktober 2024; CyberFundamentals framework	CCB
Nederlandse toeslagenaffaire	26.000–35.000 ouders onterecht beschuldigd door algoritme; kabinet-Rutte viel (jan 2021)	Diverse bronnen
EU AI Act	Verordening 2024/1689, volledig van toepassing aug 2026; overheids-AI = hoog-risico	EU
EU AI Act regulatory sandbox	Artikelen 57-58: elke lidstaat verplicht minstens 1 sandbox tegen aug 2026. Spanje (AESIA) operationeel sinds 2022, Nederland sinds 2023. België: geen sandbox opgericht (april 2026)	EU AI Act / AESIA
Portugal Simplex	1.000+ vereenvoudigingsmaatregelen sinds 2006; van 11e naar 3e op OESO DGI (2023→2025)	OESO / Portugese overheid
Kosten fysiek vs digitaal loket	Fysiek: £8,62/transactie vs digitaal: £0,15. Verhouding 57:1	UK onderzoek

Standpunt 1: Once-only als bindende wet voor alle overheidsniveaus

Feiten

België heeft sinds 2014 een federale Only Once-wet die overheidsdiensten verplicht om data uit authentieke bronnen te hergebruiken in plaats van burgers dezelfde informatie opnieuw te vragen. Maar deze wet geldt uitsluitend voor federale diensten. Gewesten, gemeenschappen en gemeenten opereren onder afzonderlijke kaders. Een samenwerkingsakkoord uit 2006 dat alle niveaus verbindt tot gemeenschappelijke standaarden wordt bijna twee decennia later nog steeds geïmplementeerd. Het resultaat: burgers geven hun adres, gezinssamenstelling en inkomen herhaaldelijk aan verschillende instanties. Federaal, regionaal en gemeentelijk.

Estland verbiedt bij wet het aanleggen van parallelle databanken voor dezelfde gegevens. Geen enkele overheidsinstelling mag informatie opvragen die al in een ander register staat. De Belgische basisregisters. Rijksregister (1983), KBO (2003), Kruispuntbank Sociale Zekerheid (1990): zijn individueel sterk maar collectief gefragmenteerd. Vlaanderen heeft MAGDA (190 agentschappen), Brussel heeft Fidus, Wallonië heeft BCED. Elk een eiland. Er bestaat geen uniforme adressenregistratie die volledig interoperabel is over alle niveaus.

Een EU-studie uit 2014 schatte dat once-only over de hele EU €5 miljard per jaar zou besparen. Bedrijven verstrekken omzet- en personeelsgegevens gemiddeld 10 tot 15 keer aan overheidsdiensten. De EU Single Digital Gateway Regulation (2018) verplicht lidstaten tot 21+ volledig digitale procedures en een Once-Only Technical System (OOTS): maar eind 2024 hadden slechts 12 lidstaten productiegereedheid bereikt. België was daar niet bij.

Wat we gaan doen

Bindende cross-level Once-Only-wet: geen vrijblijvend samenwerkingsakkoord maar een wet die alle 6 regeringen, 10 provincies en 581 gemeenten verplicht tot eenmalige gegevensinzameling. Naar Ests model: het is verboden een databank aan te leggen voor gegevens die al in een authentieke bron bestaan.
Eén uniek identificatienummer per burger en per onderneming als sleutel voor alle overheidsdiensten. Het Rijksregisternummer en KBO-nummer zijn er al, maar hun gebruik moet wettelijk verplicht worden over alle bestuursniveaus.
Kafka-meldpunt versterken: kafka.be bestaat al maar heeft geen tanden. Overtredingen van het once-only-principe krijgen een sanctiemechanisme. Overheidsdiensten die dubbel opvragen worden publiek gerapporteerd en verplicht tot correctie binnen 6 maanden.
EU OOTS-deadline halen: België implementeert het Once-Only Technical System volledig en op tijd.

Bewezen in: Estland (once-only wettelijk verplicht sinds 2007; verbod op parallelle databanken; gemiddelde belastingaangifte duurt 3 minuten), Denemarken (digitale communicatie wettelijk verplicht sinds 2014; 94% adoptie). Belgisch probleem: federale Only Once-wet (2014) geldt niet voor gewesten en gemeenten; samenwerkingsakkoord 2006 nog steeds niet volledig geïmplementeerd na bijna 20 jaar.

Standpunt 2: Eén digitale architectuur: de Belgische X-Road

Feiten

Estland's X-Road is in essentie het KSZ-model opgeschaald naar alle overheidsdiensten. Geen centrale databank, maar een beveiligde, versleutelde, tijdgestempelde data-uitwisselingslaag tussen onafhankelijke informatiesystemen. Data blijft bij de bron-instelling; het platform routeert verzoeken, net zoals de KSZ dat al 35 jaar doet voor de sociale zekerheid. Meer dan 929 instellingen en 1.887 systemen zijn verbonden, met ~295 miljoen verzoeken per maand. X-Road is open source (MIT-licentie), beheerd door het Nordic Institute for Interoperability Solutions (NIIS), en geadopteerd in meer dan 20 landen waaronder Finland, Japan en Brazilië.

België heeft de bouwstenen, maar ze zijn niet verbonden. BOSA beheert de federale service-integrator (FSB) en CSAM. De Kruispuntbank Sociale Zekerheid (KSZ) verbindt 3.000+ actoren in de sociale sector via één protocol. Al meer dan 35 jaar. Vlaanderen heeft MAGDA (Digitaal Vlaanderen), Brussel heeft Fidus (CIRB/Paradigm), Wallonië heeft BCED (eWBS), en eHealth verbindt de gezondheidszorgsector. Zes integratoren in totaal. Elk met eigen platform, eigen standaarden, eigen governance. Ze praten niet met elkaar. Er is geen uniforme interoperabiliteitslaag.

De Interoperable Europe Act (Verordening 2024/903, van toepassing juli 2024) maakt interoperabiliteitsbeoordelingen verplicht vóór de implementatie van nieuwe overheids-IT-systemen. Het eerste bindende EU-kader. België heeft BELGIF (Belgian Government Interoperability Framework) dat EIF-principes onderschrijft en REST API-richtlijnen publiceert op GitHub, maar de monitoring uit 2019 toonde lacunes in juridische interoperabiliteit en extern delen van informatie.

Oostenrijk. Een vergelijkbaar federaal land. Biedt een relevant model: vroege wetgeving (eGovernment Act 2004), een Federal ICT Board die alle niveaus coördineert, de ID Austria digitale identiteit, en formele governanceplatformen. Zwitserland richtte in 2022 Digital Public Services Switzerland op als gezamenlijke Confederatie-kantonorganisatie met het I14Y-interoperabiliteitsplatform.

Wat we gaan doen

Belgische X-Road. Van 6 naar 0 dienstenintegratoren: de zes bestaande integratoren (FSB/BOSA, KSZ, MAGDA/Digitaal Vlaanderen, BCED/eWBS, Fidus/CIRB, eHealth) worden in 6 jaar geabsorbeerd in één nationale X-Road. De Belgische X-Road is het KSZ-model opgeschaald: data blijft bij de bron-instelling, het platform routeert beveiligde verzoeken tussen systemen. Niet verbinden bovenop zes silo's, maar één gemeenschappelijke data-uitwisselingslaag die de integratoren overbodig maakt. De KSZ bewijst al 35 jaar dat deze architectuur in België werkt: 3.000+ actoren in de sociale zekerheid communiceren via één protocol, zonder dat elke instelling zijn eigen integratielaag bouwt. Wat de KSZ doet voor sociale zekerheid, doet X-Road voor álles.
Gefaseerde implementatie (6 jaar):
- Jaar 1–2: X-Road-kern operationeel, open-source, beheerd door een nieuwe onafhankelijke operator. Alle nieuwe overheidssystemen verplicht via X-Road. KSZ-architectuur als blauwdruk.
- Jaar 3–4: bestaande koppelingen migreren. KSZ-koppelingen als eerste (bewezen architectuur). Geen nieuwe investeringen meer in de zes bestaande integratieplatformen.
- Jaar 5–6: volledige migratie. De zes integratoren worden afgebouwd. Technisch personeel stroomt door naar het GovTech-agentschap (standpunt 4) en de X-Road-operator. Geen ontslagen, maar herschikking.
API-first architectuur als standaard: elke overheidstoepassing biedt een open API aan. Nieuwe systemen die niet interoperabel zijn, worden niet goedgekeurd (conform Interoperable Europe Act).
Open source als default: nieuwe overheids-IT wordt standaard als open source ontwikkeld en gepubliceerd. Naar Ests model. Geen vendor lock-in, geen afhankelijkheid van één leverancier.
Eén crisisplatform: bij rampen, pandemieën of noodsituaties moeten alle overheidsdiensten onmiddellijk data kunnen delen. De Belnet DDoS-aanval van 2021 (200 instellingen offline) bewees dat dit vandaag niet kan.

Bewezen in: Estland (X-Road: 929 instellingen, 1.887 systemen, ~295 mln verzoeken/maand, open source, geadopteerd in 20+ landen), België zelf (KSZ: 3.000+ actoren in de sociale sector via één protocol sinds 1990. Het bewijs dat een nationale interoperabiliteitslaag in België werkt). Belgisch probleem: 6 parallelle integratoren (FSB/BOSA, KSZ, MAGDA, BCED, Fidus, eHealth) die elk hun eigen platform, standaarden en governance hebben. Terwijl de KSZ al 35 jaar bewijst dat het anders kan.

Standpunt 3: Digitaal als standaard, met wettelijke inclusiegarantie

Feiten

Denemarken maakte digitale overheidscommunicatie wettelijk verplicht in 2012 (wetten L 159 en L 160). Sinds 1 november 2014 zijn alle burgers vanaf 15 jaar verplicht Digital Post te gebruiken. Digitale berichten hebben dezelfde juridische kracht als fysieke brieven. Vandaag gebruikt 94% van de Deense 15+-bevolking Digital Post; het briefverkeer daalde met meer dan 90% sinds 2000. De besparing: €296 miljoen per jaar en 30% reductie in verwerkingstijd.

Tegelijk bouwde Denemarken robuuste inclusie in de wet: burgers met cognitieve of fysieke beperkingen, zonder internet, daklozen, taalproblemen of gevangenschap kunnen vrijstelling aanvragen bij hun lokale Borgerservice-centrum. Slechts ~5% van de Denen heeft zich afgemeld. Sinds juni 2023 zijn burgers die vrijgesteld zijn van Digital Post automatisch vrijgesteld van verplichte digitale zelfdienstverlening. Een Netwerk voor Digitale Inclusie met ~95 organisaties ondersteunt kwetsbare groepen.

In België is 40% van de 16–74-jarigen digitaal kwetsbaar. Slechts 39% van gepensioneerden en 38% van inactieven heeft basisdigitale vaardigheden. Een aanzienlijk deel van lage-inkomensgezinnen heeft geen of beperkte internettoegang thuis. Fysieke overheidstransacties kosten 57 keer meer dan digitale (£8,62 vs £0,15 per transactie in het VK). België heeft geen wettelijke verplichting tot digitale communicatie, maar evenmin een wettelijke garantie op een fysiek alternatief.

Wat we gaan doen

Digitale communicatie als standaard: alle overheidscommunicatie verloopt digitaal via My eBox/eBox Enterprise, met dezelfde juridische kracht als een aangetekende brief. Naar Deens model: digitaal is de norm, niet de optie.
Wettelijk gegarandeerd fysiek alternatief: wie niet digitaal kan, heeft recht op een volwaardig analoog loket. Dit is geen gunst maar een wettelijk recht. Ingeschreven in dezelfde wet die digitaal als standaard verplicht. Vrijstelling via een eenvoudige procedure bij het gemeentehuis.
Proactieve overheid: de overheid informeert burgers over rechten waarop ze aanspraak maken. Niet de burger die moet zoeken. Automatische toekenning van sociale rechten (zoals de KSZ al doet voor bepaalde bijstandsuitkeringen) wordt de norm voor alle overheidsdiensten.
Digitale inclusiecoalitie versterken: DigitAll (100+ organisaties) krijgt structurele financiering. OCMW's in alle 581 gemeenten fungeren als digitale hulpverleners. Bibliotheken bieden gratis digitale bijstand.
Eén overheidsportaal: alle overheidsdiensten zijn volledig beschikbaar via één login en één dashboard. MijnOverheid/MonBelgique uitbreiden tot een echt universeel platform naar model van Denemarken's borger.dk (111 miljoen bezoekers in 2024, 92% tevredenheid).

Bewezen in: Denemarken (digitale communicatie wettelijk verplicht sinds 2014; 94% adoptie; ~5% vrijgesteld; €296 mln/jaar besparing; Borgerservice-centra in alle 98 gemeenten; 95-ledennetwerk digitale inclusie), Singapore (Singpass: 97% adoptie bij 15+; LifeSG-app bundelt 70+ diensten). Waarschuwing: België (40% digitaal kwetsbaar; geen wettelijke verplichting én geen wettelijke garantie op alternatief).

Standpunt 4: GovTech-agentschap: eigen technisch talent in plaats van consultants

Feiten

De Belgische overheid is structureel afhankelijk van externe IT-consultants. Dagprijzen lopen van €500 tot €1.200. Twee tot drie keer de kosten van een vaste medewerker met dezelfde kwalificaties. De totale Belgische IT-outsourcingmarkt bereikte $3,45 miljard in 2024. Het i-Police-project illustreert het falen van dit model: een contract van €299 miljoen met Sopra Steria werd in december 2025 beëindigd na €75,8 mln uitgaven zonder ook maar één volledig opgeleverd project.

De internationale koplopers bouwen bewust interne capaciteit. Singapore's GovTech telt ~4.000 in-house technologen met salarissen aangepast aan de private sector, een Smart Nation Fellowship voor mid-career experts, en een Smart Nation Scholarship voor toptalent. Het VK's DDaT-raamwerk beheert ~23.000 digitale ambtenaren met een specifiek beloningskader dat toeslagen biedt voor moeilijk vervulbare rollen. Het resultaat: het VK bespaarde £353 miljoen in één jaar door spend controls op IT-contracten.

Estland's model is hybride: overheidsorganisaties werken nauw samen met een ecosysteem van lokale bedrijven (Nortal implementeerde 40% van Estland's digitale transformatie, Cybernetica ontwikkelde X-Road). Dit creëert een vloeiende talentuitwisseling tussen overheid en bedrijfsleven. België heeft Smals (~1.800 medewerkers) als semi-intern IT-bedrijf voor sociale zekerheid en gezondheidszorg. Een gedeeltelijk succesvol model, maar onvoldoende voor de hele overheid.

België kampt met een tekort van ~21.000 IT-werkers tegen 2026. Rigide ambtenarenbarema's kunnen niet concurreren met cloudarchitecten, data-engineers of cybersecurityspecialisten in de private sector.

Wat we gaan doen

Belgisch GovTech-agentschap oprichten: een centraal agentschap met minstens 1.000 in-house ingenieurs, data-specialisten en cybersecurity-experts. Marktconforme lonen met een specifiek IT-beloningskader. Naar UK DDaT-model. De technische medewerkers van de zes af te bouwen dienstenintegratoren (standpunt 2) vormen de startbasis: geen ontslagen, maar herschikking van bestaand talent naar één slagkrachtige organisatie.
Consultantafhankelijkheid halveren in 5 jaar: concrete reductiedoelstelling voor externe IT-uitgaven. Elke overheidsdienst rapporteert jaarlijks het aandeel intern vs extern IT-personeel.
Samenwerking met Belgische universiteiten en techsector: geen exclusieve outsourcing naar grote buitenlandse consultancybureaus. GovTech-fellowships voor mid-career technologen (naar Singaporees model), stages bij het agentschap, en gezamenlijke R&D-projecten.
Spend controls op IT-contracten: geen overheids-IT-project boven €10 miljoen zonder onafhankelijke architectuurreview en verplichte mijlpaalevaluatie. Het i-Police-debacle (€75,8 mln zonder operationeel systeem) mag nooit meer gebeuren.
Open source community: België bouwt een ecosysteem van lokale bedrijven die overheids-IT ontwikkelen en onderhouden. Naar Ests model. Kennis blijft in België, niet bij internationale consultancybureaus.

Bewezen in: Singapore (GovTech: ~4.000 in-house technologen, Smart Nation Fellowship, salarissen marktconform), VK (DDaT: ~23.000 digitale ambtenaren, spend controls bespaarden £353 mln/jaar), Estland (hybride model: overheid + lokale bedrijven zoals Nortal en Cybernetica). Waarschuwing uit: België (i-Police: €75,8 mln uitgegeven, geen operationeel systeem opgeleverd; structurele consultantafhankelijkheid kost 2–3x een vaste medewerker).

Standpunt 5: Cybersecurity als kritieke infrastructuur

Feiten

België scoort 94,17/100 op de National Cyber Security Index (5e wereldwijd) en was een van de eerste EU-landen die NIS2 omzette (wet 26 april 2024). Het Centre for Cybersecurity Belgium (CCB), opgericht in 2014 onder de Eerste Minister, coördineert nationale cybersecurity met het CyberFundamentals-raamwerk.

Maar de operationele realiteit is alarmerend. In december 2022 versleutelde de PLAY-ransomwaregroep essentiële systemen van de Stad Antwerpen via Digipolis en stal 557 GB data. Paspoorten, financiële documenten. Windows-applicaties, e-mail, telefoon en IT-systemen gingen offline. Achttien woonzorgcentra verloren hun medicatietracking. Herstel duurde maanden. In mei 2021 legde de grootste DDoS-aanval in de Belgische geschiedenis het Belnet-netwerk plat. 200 verbonden instellingen offline, waaronder het Parlement, MyMinfin, vaccinatieportalen en politie. Chinese staatshackers onderschepten 5–10% van het externe e-mailverkeer van de Staatsveiligheid (VSSE) via een Barracuda zero-day. Alleen de externe mailserver was getroffen, niet de geclassificeerde interne systemen. Het Belgische Ministerie van Defensie werd getroffen door Log4Shell. Het eerste bevestigde NAVO-defensieministerie dat door Log4j werd gehackt.

Estland's reactie op de cyberaanvallen van 2007. 22 dagen DDoS op overheid, banken en media. Biedt een model. Estland creëerde het NATO CCDCOE in Tallinn (2008, inmiddels 39 deelnemende naties), implementeerde Keyless Signature Infrastructure (blockchain) voor data-integriteit, ontwikkelde het data-embassy-concept, en bouwde cybersecurity in de nationale identiteit in.

Wat we gaan doen

Zero trust architectuur als standaard voor alle overheidssystemen: vertrouw niets, verifieer alles. Naar het model van US Executive Order 14028 (2021) die alle federale agentschappen verplichtte tot zero trust.
Verplichte jaarlijkse security audits voor alle overheidsplatformen. Federaal, regionaal en gemeentelijk. Geen uitzonderingen voor kleine gemeenten; gedeelde diensten via het GovTech-agentschap.
Gemeentelijke cybersecurity bundelen: de 581 gemeenten beschermen individueel hun IT-systemen. Een onmogelijke taak voor de meeste. Gedeelde Security Operations Centers (SOC's) voor clusters van gemeenten, gecoördineerd door het CCB.
Cyberreserve oprichten: een pool van gespecialiseerde cybersecurity-experts die bij grote incidenten kunnen worden ingezet. Naar Ests Cyber Defence Unit-model.
Data-embassy-concept evalueren: Estland's data-embassy in Luxemburg (operationeel sinds 2018) slaat kritieke overheidsdata op onder Estse juridische jurisdictie in een buitenlands datacenter. België onderzoekt een vergelijkbaar concept voor digitale continuïteit bij ernstige dreigingen.

Bewezen in: Estland (na 2007 cyberaanvallen: NATO CCDCOE in Tallinn met 39 deelnemende naties, blockchain voor data-integriteit, data-embassy in Luxemburg, cybersecurity als nationale identiteit), VS (Executive Order 14028: verplichte zero trust voor alle federale agentschappen). Waarschuwing uit: België (Antwerpen: 557 GB gestolen, ~€95 mln totale schade; Belnet: 200 instellingen plat; VSSE: 5–10% extern e-mail onderschept door Chinese hackers; Defensie: eerste NAVO-ministerie gehackt via Log4j).

Standpunt 6: Open data als standaard

Feiten

België classificeert als "Follower" (74–80%) op de European Open Data Maturity Index 2024. Onder het EU-27 gemiddelde van 83% en ver achter Frankrijk (100%, Trendsetter), Polen (98%), Estland (~95%) en Spanje (~94%). Het federale portaal data.gov.be bevat meer dan 10.000 datasets, maar de impactmonitoring. Het meten van daadwerkelijk hergebruik. Is de zwakste dimensie. Regionale portalen voor Vlaanderen, Wallonië en Brussel opereren onafhankelijk met inconsistente standaarden en metadatakwaliteit.

De economische waarde van open data is substantieel. De EU schat de open-datamarkt op €184–334 miljard. Open data zou jaarlijks 1.425 levens kunnen redden in Europa (5,5% minder verkeersdoden) en 629 miljoen uur aan onnodige wachttijd op de weg kunnen besparen. McKinsey schat dat open data wereldwijd $3–5 biljoen per jaar kan ontsluiten over zeven sectoren.

Wat we gaan doen

Open data als wettelijke standaard: alle niet-privacygevoelige overheidsdata is openbaar en gratis beschikbaar, tenzij er een expliciete reden is om dat niet te doen (omgekeerde bewijslast). Geen overheidsdienst mag data achter een betaalmuur plaatsen (zoals het KMI nu doet).
Eén federaal open-data-portaal dat alle datasets van alle overheidsniveaus bundelt. Met uniforme standaarden, metadata en kwaliteitseisen. Geen vier parallelle portalen meer.
Impactmonitoring: België meet systematisch het hergebruik van open data en publiceert jaarlijks een impactrapport.
Overheidsopdrachten, vergunningen en budgetten: openbaar en doorzoekbaar elke euro belastinggeld is traceerbaar. Naar model van Portugals Simplex-programma en in lijn met het corruptiebestrijdingshoofdstuk (H.23).
API-toegang voor ontwikkelaars: alle open datasets zijn beschikbaar via standaard-API's, niet alleen als downloadbare bestanden. De private sector en onderzoekers kunnen er direct mee bouwen.

Bewezen in: Frankrijk (100% op EU Open Data Maturity, Trendsetter), Estland (~95%), Portugal (Simplex: vereenvoudig eerst, digitaliseer dan), EU (geschatte open-data-marktwaarde €184–334 mrd). Belgisch probleem: score 74–80% ("Follower"), onder EU-gemiddelde, 4 parallelle portalen, zwakste punt = impactmonitoring.

Standpunt 7: AI in de overheid: transparant, auditeerbaar, menselijk gecontroleerd

Feiten

Overheden wereldwijd zetten AI in met meetbare resultaten. Oostenrijk's PACC analyseerde 6,5 miljoen belastingdossiers in 2023 en detecteerde €185 miljoen extra inkomsten. Malta rapporteerde €650 miljoen aan AI-gestuurde btw-fraudepreventie. 29 van 38 OESO-landen gebruiken AI in belastingadministratie. Griekenland's mAigov-chatbot beantwoordde 1,6 miljoen vragen in 25 talen. Singapore's Ask Jamie halveerde het callcentervolume.

Maar de risico's zijn existentieel. De Nederlandse toeslagenaffaire is het ultieme waarschuwingsverhaal: tussen 2005 en 2019 gebruikte de Belastingdienst een zelflerende algoritme dat nationaliteit als risicofactor hanteerde voor kinderopvangtoeslagfraude. Circa 26.000–35.000 ouders werden onterecht beschuldigd, gedwongen tot terugbetaling van tienduizenden euro's, en in zware schulden gestort. Meer dan 2.000 kinderen werden uit huis geplaatst. Het kabinet-Rutte viel in januari 2021. Nederland erkende formeel "institutioneel racisme" in mei 2022. Dit schandaal beïnvloedde direct de EU AI Act-onderhandelingen.

De EU AI Act (Verordening 2024/1689, volledig van toepassing augustus 2026) classificeert overheids-AI-toepassingen als "hoog risico": migratiebehandeling, wetshandhavingsprofilering, sociale uitkeringen, juridische beslissingsondersteuning. Publieke inzettende partijen moeten grondrechtelijke impactbeoordelingen uitvoeren. Nederland heeft inmiddels een algoritmeregister met 1.000+ inschrijvingen. Het VK maakte de Algorithmic Transparency Recording Standard (ATRS) verplicht voor alle centrale overheidsdepartmenten in 2024. België heeft geen equivalent kader.

Wat we gaan doen

AI inzetten voor efficiëntie: fraudedetectie in belastingen en sociale zekerheid, geautomatiseerde dossierverwerking, chatbots voor burgerservice. Concrete pilootprojecten binnen 2 jaar.
Menselijke beslissing verplicht bij ingrijpende keuzes: geen algoritme dat autonoom beslist over uitkeringen, vergunningen, boetes of vrijheidsbeperkingen. AI ondersteunt de ambtenaar, vervangt hem niet.
Verplicht algoritmeregister: alle overheidsalgoritmen die beslissingen beïnvloeden zijn publiek geregistreerd met een leesbare uitleg van werking, databronnen en risico's. Naar Nederlands en VK-model.
Verplichte impactbeoordeling: elke overheids-AI-toepassing ondergaat een grondrechtelijke impactbeoordeling vóór inzet. Conform EU AI Act, maar ook voor toepassingen die de Act niet expliciet dekt.
Geen profilering op nationaliteit, etniciteit of afkomst: het Nederlandse toeslagenschandaal mag zich nooit in België herhalen. Wettelijk verbod op het gebruik van beschermde kenmerken als risicofactor in overheidsalgoritmen.
Publieke auditeerbaarheid: onafhankelijke audits van overheidsalgoritmen, minstens jaarlijks, met publieke rapportage. Geen black boxes die beslissen over het leven van burgers.

Bewezen in: Oostenrijk (PACC: 6,5 mln belastingdossiers, €185 mln extra inkomsten), Singapore (Ask Jamie halveerde callcentervolume), Nederland (algoritmeregister: 1.000+ inschrijvingen; ATRS verplicht in VK). Waarschuwing uit: Nederland (toeslagenaffaire: 26.000–35.000 ouders onterecht beschuldigd, 2.000+ kinderen uit huis geplaatst, kabinet gevallen. Door algoritmisch racisme zonder menselijke controle).

Standpunt 8: Regulatory sandbox voor overheids-AI

Feiten

De EU AI Act (Verordening 2024/1689, artikelen 57-58) verplicht elke lidstaat om uiterlijk augustus 2026 minstens één AI regulatory sandbox op te richten. Een sandbox is een afgebakende testomgeving waar overheidsdiensten AI-toepassingen mogen ontwikkelen en testen onder versoepelde regels, maar met toezicht van een bevoegde autoriteit. Het doel: innovatie mogelijk maken zonder de volledige conformiteitslast vooraf te dragen, maar met bescherming van burgerrechten.

Spanje richtte in 2022 als eerste EU-lidstaat een nationale AI-sandbox op via AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). In de eerste ronde werden 8 van 26 aanvragen geselecteerd, waaronder toepassingen in de gezondheidszorg, financiële sector en openbaar bestuur. Nederland lanceerde in 2023 een regulatoire sandbox voor algoritmische systemen bij de overheid. Frankrijk en Duitsland bereiden hun sandboxes voor.

België heeft in april 2026 nog geen sandbox opgericht en dreigt de EU-deadline te missen. Zonder sandbox is het juridisch risico voor overheidsdiensten te hoog om AI te testen met echte data. Het gevolg: de overheid experimenteert niet, terwijl de private sector en buurlanden vooruitlopen. Tegelijk toont de Nederlandse toeslagenaffaire dat ongecontroleerde AI-inzet catastrofale gevolgen kan hebben. De sandbox biedt precies het midden: experimenteren onder toezicht.

Wat we gaan doen

Belgische AI-sandbox oprichten voor augustus 2026: conform de EU AI Act-verplichting. Beheerd door een onafhankelijke autoriteit (logische kandidaat: het GovTech-agentschap in samenwerking met het CCB en de Gegevensbeschermingsautoriteit).
Prioriteit voor overheids-AI: de sandbox richt zich in de eerste fase specifiek op overheidstoepassingen. Fraudedetectie, dossierverwerking, burgerservice-chatbots, risicoclassificatie. Precies de toepassingen die de EU AI Act als "hoog risico" classificeert.
Gecontroleerd testen met echte data: deelnemende overheidsdiensten mogen in de sandbox testen met geanonimiseerde of gesynthetiseerde data, en in latere fases met echte data onder strikte privacyvoorwaarden. Geen AI-beleid gebaseerd op theoretische modellen.
Verplichte evaluatie voor uitrol: elke AI-toepassing die de sandbox verlaat, ondergaat een onafhankelijke beoordeling op nauwkeurigheid, bias, grondrechtenimpact en uitlegbaarheid voordat ze in productie mag.
Publieke rapportage: resultaten van sandbox-experimenten worden openbaar gepubliceerd. Wat werkt, wat niet, en waarom. Transparantie als standaard.

Bewezen in: Spanje (AESIA: eerste EU AI-sandbox, 8 projecten geselecteerd in eerste ronde, operationeel sinds 2022), Nederland (algoritmische sandbox voor overheidstoepassingen sinds 2023). EU-verplichting: AI Act artikelen 57-58 verplichten elke lidstaat tot minstens één sandbox tegen augustus 2026. Belgisch probleem: geen sandbox opgericht, EU-deadline dreigt gemist te worden, overheidsdiensten durven niet te experimenteren.

Standpunt 9: Digitale burgerparticipatie en bindende digitale referenda

Feiten

De kloof tussen burger en overheid groeit, maar de instrumenten om die te dichten zijn in België vrijwel onbestaand. Er is geen wettelijk kader voor bindende burgerinitiatieven op federaal niveau. Artikel 33 van de Grondwet bepaalt dat alle machten worden uitgeoefend "op de wijze bij de Grondwet bepaald", wat het Grondwettelijk Hof tot nu toe interpreteert als een verbod op bindende federale referenda. Tegelijk toont internationaal onderzoek dat burgers niet minder vertegenwoordiging willen, maar een andere manier van werken. Niet minder democratie, maar meer directe betrokkenheid bij de besluiten die hen raken.

Estland bouwde het meest geavanceerde digitale democratieplatform ter wereld. Rahvaalgatus (rahvaalgatus.ee) laat burgers wetsvoorstellen indienen die bij 1.000 digitale handtekeningen rechtstreeks naar het parlement gaan. 51% van de Esten stemde in 2023 online bij de parlementsverkiezingen, via een systeem dat sinds 2005 operationeel is en 19 verkiezingen heeft doorlopen zonder bewezen fraude. De technische basis is i-Voting: verificatie via eID-chip of Mobile-ID, dubbele enveloppe-encryptie, en de mogelijkheid om je stem te wijzigen tot de stembus sluit (wat dwang onmogelijk maakt). Geen blockchain, maar bewezen cryptografie.

Zwitserland houdt gemiddeld vier keer per jaar bindende federale referenda. Burgers kunnen via een volksinitiatief (100.000 handtekeningen in 18 maanden) een grondwetswijziging afdwingen, of via een facultatief referendum (50.000 handtekeningen in 100 dagen) elke wet blokkeren. De opkomst schommelt tussen 40% en 60%, afhankelijk van het onderwerp. Dit is geen anomalie; het is een systeem dat sinds 1848 functioneert en routinematig ingrijpende beslissingen aan de burger voorlegt.

Taiwan ontwikkelde met het Join-platform (join.gov.tw) een systeem waar beleidsvoorstellen met 5.000 steunbetuigingen een officieel antwoord van de overheid vereisen. Het platform werd gebruikt voor meer dan 300 beleidsinitiatieven en genereert een gestructureerde dialoog tussen burger en overheid vóór de beslissing, niet achteraf.

De Duitstalige Gemeenschap van België richtte in 2019 een permanent Bürgerrat op: een geloot burgerpanel dat beleidsthema's selecteert en aanbevelingen doet aan het parlement. Het Ostbelgisch model wordt internationaal erkend als pionierswerk in deliberatieve democratie en bewijst dat participatieve mechanismen in België juridisch en praktisch haalbaar zijn.

Wat we gaan doen

Verplichte digitale burgerconsultatie vóór elk besluit van het Intergouvernementeel Overlegorgaan (IGO) dat deelstaatbevoegdheden raakt. Naar Taiwanees model: een digitaal platform waar burgers standpunten, argumenten en alternatieven kunnen indienen. Het IGO is verplicht een gemotiveerd antwoord te publiceren op de meest ondersteunde voorstellen. Dit adresseert het transparantie-risico dat academici signaleren bij puur executieve overlegorganen: burgers zien niet alleen wat er beslist is, maar kunnen vóór de beslissing input geven. (Zie ook: HART-voorstel Intergouvernementeel Overlegorgaan.)
Bindend digitaal burgerinitiatief op federaal en deelstaatniveau. Een burgerinitiatief met 50.000 geverifieerde digitale handtekeningen (via eID of itsme) op federaal niveau, of 25.000 op deelstaatniveau, verplicht het bevoegde parlement tot behandeling en stemming binnen 6 maanden. Naar Estlands Rahvaalgatus-model, maar met hogere drempel en behandelingsplicht. De technische infrastructuur bestaat al: itsme bereikt meer dan 7 miljoen gebruikers en verwerkt 1,3 miljoen identiteitsacties per dag.
Bindend digitaal referendum bij grondwetswijzigingen en grote institutionele hervormingen. Naar Zwitsers model, maar volledig digitaal. Elke grondwetswijziging die door de Kamer wordt goedgekeurd, wordt voorgelegd aan de bevolking via een bindend digitaal referendum. Technisch gebaseerd op het Estse i-Voting-systeem: verificatie via eID/itsme, dubbele encryptie, mogelijkheid om je stem te wijzigen tot de stembus sluit, publiek verifieerbare telresultaten. Geen blockchain, geen fysieke stembussen. De minimale opkomstdrempel is 25% van de stemgerechtigden; onder die drempel is het resultaat niet-bindend. Dit vereist een herziening van artikel 33 van de Grondwet, dat momenteel wordt geïnterpreteerd als een verbod op bindende federale referenda. De herzieningsverklaring van mei 2024 opent de mogelijkheid om dit pad te bewandelen.
Digitaal participatieplatform als publieke infrastructuur: één centraal, open-source platform voor alle vormen van digitale burgerparticipatie, consultatie, burgerinitiatief en referendum. Geïntegreerd met de Belgische X-Road (zie Standpunt 2) en de eID/itsme-infrastructuur. Geen apart platform per bestuursniveau, maar één systeem dat werkt van gemeentelijk tot federaal.
Verplichte wetenschappelijke en stakeholder-impactanalyse bij elk IGO-besluit met budgettaire of maatschappelijke impact. Het versterkte Planbureau/Belgisch CPB (zie HART-hoofdstuk Overheid) levert vooraf een onafhankelijke analyse. De relevante adviesorganen (NAR, CRB, Hoge Gezondheidsraad, etc.) krijgen formeel adviesrecht met behandelplicht: het IGO moet elk advies gemotiveerd beantwoorden en publiceren. Naar Zweeds "remiss"-model, waar elke wetswijziging verplicht wordt voorgelegd aan wetenschappelijke instellingen en stakeholders. Wat verandert: vandaag zijn adviesraden vrijblijvend en worden ze routinematig genegeerd. In het IGO-model worden ze structureel ingebed in de besluitvormingsfase, niet in de implementatiefase.

Bewezen in: Estland (51% stemde online in 2023; i-Voting operationeel sinds 2005, 19 verkiezingen zonder bewezen fraude; Rahvaalgatus: burgerinitiatieven met 1.000 handtekeningen gaan naar het parlement), Zwitserland (gemiddeld 4 bindende federale referenda per jaar sinds 1848; burgers stemden over EU-toetreding, immigratie, kernenergie, minimumloon), Taiwan (Join-platform: 5.000 steunbetuigingen verplichten officieel overheidsantwoord; meer dan 300 beleidsinitiatieven), Duitstalige Gemeenschap België (permanent Bürgerrat sinds 2019, internationaal erkend pionierswerk in deliberatieve democratie). Belgisch probleem: artikel 33 GW wordt geïnterpreteerd als verbod op bindende federale referenda; geen wettelijk kader voor digitale burgerinitiatieven; digitale identiteitsinfrastructuur van wereldklasse (eID, itsme) wordt uitsluitend gebruikt voor administratieve doeleinden, niet voor democratische participatie.

Samenvatting

HART's programma voor de digitale overheid vertrekt vanuit één onverdedigbaar feit: België staat 56e op de VN E-Government Index terwijl Denemarken 1e staat, Estland 2e en Singapore 3e. Dit is geen technisch probleem. België heeft een eID van wereldklasse, itsme met 7 miljoen gebruikers, en de Kruispuntbank Sociale Zekerheid als internationaal erkend pionierswerk. Het probleem is structureel: 6 regeringen bouwen elk hun eigen systemen zonder gemeenschappelijke architectuur, zonder afdwingbare once-only-verplichting, en zonder de politieke wil om te centraliseren wat gecentraliseerd moet worden.

Het eerste standpunt maakt once-only bindend voor alle overheidsniveaus. Niet als vrijblijvend samenwerkingsakkoord maar als wet, naar Ests model waar het verboden is parallelle databanken aan te leggen. Het kafka-meldpunt krijgt tanden. Het tweede standpunt bouwt een Belgische X-Road die de zes bestaande integratoren (FSB/BOSA, KSZ, MAGDA, BCED, Fidus, eHealth) in 6 jaar vervangt door één nationale data-uitwisselingslaag. Niet verbinden bovenop zes silo's, maar de silo's zelf overbodig maken. De KSZ bewijst al 35 jaar dat dit in België kan: 3.000+ actoren via één protocol. Estland's X-Road verbindt 929 instellingen en bespaart ~1.345 werkjaren per jaar. Voor een land met 1,3 miljoen inwoners.

Het derde standpunt maakt digitaal de standaard voor alle overheidscommunicatie, met wettelijke garantie op een fysiek alternatief voor wie niet mee kan. Denemarken bereikte 94% adoptie van Digital Post onder de 15+-bevolking met slechts 5% vrijstellingen. Het vierde standpunt doorbreekt de consultantverslaving: een Belgisch GovTech-agentschap met minstens 1.000 in-house technologen, marktconforme lonen, en een concrete doelstelling om externe IT-afhankelijkheid te halveren. De technische medewerkers van de zes af te bouwen integratoren vormen de startbasis. Geen ontslagen, maar herschikking. Het i-Police-debacle. €75,8 miljoen uitgegeven aan Sopra Steria zonder één operationeel systeem. Illustreert waarom dit urgent is.

Het vijfde standpunt behandelt cybersecurity als kritieke infrastructuur. Belgiës NCSI-score van 94/100 verbergt een operationele realiteit van ransomware op Antwerpen (~€95 mln totale schade), DDoS op het Parlement, Chinese spionage bij de Staatsveiligheid, en een gehackt Defensieministerie. Zero trust architectuur, verplichte audits, en gebundelde gemeentelijke cybersecurity zijn het antwoord. Het zesde standpunt maakt open data de wettelijke standaard. België scoort onder het EU-gemiddelde op open-datamaturiteit terwijl de EU-markt €184–334 miljard aan waarde vertegenwoordigt.

Het zevende standpunt zet AI in voor efficiëntie. Fraudedetectie, documentenverwerking, chatbots. Maar met harde waarborgen: een verplicht algoritmeregister, menselijke beslissing bij ingrijpende keuzes, en een wettelijk verbod op profilering op nationaliteit of etniciteit. De Nederlandse toeslagenaffaire. 26.000+ ouders onterecht beschuldigd, kabinet gevallen. Is het waarschuwingsverhaal dat België moet onthouden.

Het achtste standpunt richt een Belgische AI regulatory sandbox op, conform de EU AI Act-verplichting (artikelen 57-58, deadline augustus 2026). Overheidsdiensten kunnen AI-toepassingen testen met echte data onder toezicht, in plaats van óf niet te experimenteren (te voorzichtig) óf ongecontroleerd uit te rollen (toeslagenaffaire). Spanje en Nederland hebben hun sandboxes al operationeel. België dreigt de EU-deadline te missen.

Het negende standpunt bouwt digitale burgerparticipatie en bindende digitale referenda als democratisch tegenwicht bij de efficiëntiewinsten van de digitale overheid. Verplichte digitale consultatie vóór IGO-besluiten, een bindend digitaal burgerinitiatief (50.000 handtekeningen via eID/itsme), en een bindend digitaal referendum bij grondwetswijzigingen. Puur digitaal, naar Estlands technisch model. De bestaande identiteitsinfrastructuur (eID, itsme, meer dan 7 miljoen gebruikers) wordt eindelijk ook ingezet voor democratische participatie, niet alleen voor administratieve processen. Zwitserland houdt vier keer per jaar bindend referendum. Estland liet 51% van de kiezers online stemmen in 2023. De Duitstalige Gemeenschap van België heeft sinds 2019 een permanent Bürgerrat. De instrumenten bestaan. België gebruikt ze niet.

De overheid werkt voor de burger. Niet andersom. Estland bouwde een digitale staat met een fractie van het Belgische budget. Denemarken bespaart €296 miljoen per jaar. Singapore verwerkt 41 miljoen digitale transacties per maand. België geeft meer uit en levert minder, omdat het fragmentatie tolereert waar eenheid nodig is. De technische oplossingen bestaan. Het internationale bewijs is overweldigend. Wat rest is de politieke beslissing om te handelen.