De appathon: een leerzame ervaring die een volgende keer veel beter moet
Als digitale sector denken we graag mee en dragen we een scala aan oplossingen bij die het leven makkelijker maken in deze tijd. We zijn ook blij dat er wordt gewerkt aan innovatieve ideeën, met een open proces. Zorgvuldigheid is hierbij essentieel en haalbare eisen zijn daarvoor nodig. Maar wat er de afgelopen twee weken gebeurde met de Corona-app bleek één stap vooruit en drie stappen terug.
Stap vooruit: open proces voor innovatieve ideeën
We beginnen graag positief. De openheid van het proces om deel te nemen aan de ontwikkeling van de app was zeer prijzenswaardig. De wijze waarop iedereen mee kon kijken en vragen kon stellen was een zeer waardevolle ervaring wat ons betreft. De verscheidenheid aan deelnemers gaf ook het beeld dat concurrentie van ideeën gewaardeerd werd.
Stap terug: snelheid boven zorgvuldigheid
Helaas is er op het proces minstens zoveel aan te merken. Een applicatie die met extreem gevoelige persoonsgegevens om moet gaan vraagt een scherpe doelstelling. Het vereist ook dat er maximaal nagedacht wordt over databeveiliging en dataminimalisatie. Niet voor niets hebben wij vijf voorwaarden voor de app geformuleerd. Het ministerie heeft echter snelheid boven zorgvuldigheid gesteld en gaf mogelijke deelnemers aan de tender slechts het Paasweekend de tijd om voorstellen te doen. Een periode die ruimte geeft om een proof-of-concept te brainstormen, maar geen tijd geeft om enige uitgebreide afweging en ontwerpfase te doorlopen. Het was ook onduidelijk op welke basis het ministerie hun selectie maakte van de zeven finalisten in de appathon.
De snelheid maakte het ook onmogelijk om gebruik te maken van het aanbod van Apple en Google. De leveranciers van de belangrijkste besturingssystemen hebben zelf de handschoen opgepakt om tot een technische oplossing te komen die potentiële apps zou ondersteunen op het niveau waarop dit het meeste kans had op een goede werking, maar het ministerie negeerde hen. Dit alles roept ook de vraag op waarom voor een tender is gekozen. Een openbare marktconsultatie was veel passender geweest.
Stap terug: geen haalbare eisen
Alhoewel het proces enige ruimte gaf voor innovatieve ideeën, perkte het deze net zo hard in. De tender vereisde dat de apps “reeds bestaan, uitontwikkeld zijn en werken in een productie-omgeving”. Aan deze eis moest eveneens voldaan zijn voor het Paasweekend goed en wel ten einde was. In die tijd kan geen innovatieve oplossing verzonnen worden; dit laat slechts ruimte voor het kopiëren van bestaande ideeën. Dat was dan ook de zeer voorspelbare en enige haalbare uitkomst.
Vervolgens moesten de apps ook voldoen aan stringente eisen. Dit is zeer terecht gezien de gevoeligheid van de data waarmee gewerkt wordt. Maar aan deze eisen moest voldaan zijn binnen twee weken inclusief ontwerp en ontwikkeltijd. Het kan niemand verrast hebben dat geen ontwikkelaar met dergelijke absurde deadlines kon voldoen aan de zeer terechte eisen. De Autoriteit Persoonsgegevens, de KPMG-veiligheidstest en de landsadvocaat hadden ook niet tot andere conclusies kunnen komen. De veiligheidsdiensten hebben het ministerie hier dan ook al vooraf voor gewaarschuwd.
Stap terug: geen onderbouwde doelstelling
We sluiten af met het grootste probleem. De tracing-app-techniek is niet vooraf onderbouwd. Nog voor het einde van het weekend kwam een collectief van wetenschappers naar buiten met een simulatieonderzoek dat liet zien dat deze techniek geen zinvolle bijdrage zou leveren. Het had het ministerie niet misstaan als ze dit eerst goed onderbouwd en uitgezocht zouden hebben voordat ze de markt vroegen te investeren in deze snelkookpan.
Het laatste nieuws
Beveiliging, hacks en verzekeringen: lessen uit de praktijk
NLdigital stuurt inbreng digitale sector aan informateurs
NLdigital en overheid starten dialoog over soevereine cloud voor Nederland
ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie
