Innovatie & Strategie

Carriere
Thijs Niks

IT-held in coronatijden: certificatencontrole, maar dan anders

Ontwarren van certificaten voor medisch materiaal, plus fraude daarbij.

Thijs Niks © Thijs Niks
15 april 2020

Ontwarren van certificaten voor medisch materiaal, plus fraude daarbij.

Werknemers zijn massaal gaan thuiswerken na de overheidsmaatregelen tegen de verspreiding van het coronavirus Covid-19. AG Connect spreekt in deze periode met IT’ers die extra of bijzondere inspanning leveren om IT draaiende te houdende of om de coronacrisis te weerstaan. Thijs Niks, senior product manager bij Uber, heeft zich op certificaten gestort. Niet voor beveiligde verbindingen, maar voor veilige medische middelen.

Wat ben je nu aan het doen met betrekking tot de coronacrisis?

“Met een groep vrijwilligers proberen we te helpen om meer medisch materiaal beschikbaar te maken voor het zorgpersoneel in Nederland. We hebben bedrijven om hulp gevraagd, geld verzameld en leveranciers van mondmaskers en ander medisch materiaal gezocht. Daar komt nogal wat operationeel en logistiek werk bij kijken, zoals het verifiëren van handelaren en fabrieken, regelen van transport en keuren van de producten. Mijn werk is vooral om de verschillende Europese en Chinese certificaten die deze fabrieken hebben te controleren, zodat we weten of we betrouwbaar materiaal kopen.”

Waarom ben je nu net dát gaan doen?

“In een pandemie is het beste wat je kunt doen thuisblijven, maar dat voelde onbevredigend en ik was op zoek naar andere manieren om te helpen. Een paar weken geleden was er een vriend van me die aan verschillende mensen vroeg of zij gelegenheid hadden om te helpen en daar ben ik toen ingesprongen. Het was op dat moment duidelijk door de contacten met zorginstellingen die we hadden dat de hoogste nood was om mondkapjes te regelen.”

Wat heb je afgelopen week voor dit ‘coronawerk’ gedaan?

“Ik woon in San Francisco, dus er is 9 uur tijdsverschil met Amsterdam. Mijn dag begint wanneer die in Nederland eindigt en daarom doe ik vooral dingen die asynchroon kunnen. We hebben andere mensen in ons team die met handelaren of fabrieken in China overleggen en die informatie krijg ik per email toegestuurd. Ik verwerk de gegevens in een overzicht en valideer de certificaten en testrapporten die deze fabrieken hebben aangeleverd.”

Dat klinkt toch niet zo ingewikkeld.

“Praktisch betekent dit dat ik in de documenten zoek naar een CE-certificaat of een Chinese laboratoriumtest. Vervolgens neem ik het documentnummer en zoek ik op de website van de het laboratorium naar de database die kan bevestigen of het document echt is, aan wie het uitgegeven is en waar ze op getest hebben. Veelal gaat dat in de taal van het land waar het laboratorium gevestigd is, dus Google Translate is een onmisbare hulp. Bij deze stap zie je soms al dat een document vervalst is, omdat het laboratorium aangeeft dat ze het niet kennen of dat ze andere testgegevens laten zien.”

“Daarna moet je bepalen of het laboratorium dat de tests heeft uitgevoerd ook bevoegd is om dat te doen. Zowel de Europese Unie als China hebben daar een officiële lijst voor. Dit is de stap waar de meeste leveranciers afvallen, omdat meer dan de helft van de documenten die wij zien zijn uitgeven door labs die dat niet mogen. Vaak hebben deze laboratoria dan “vrijwillige certificaten” uitgegeven die niets anders betekenen dan dat de fabriek geld heeft betaalt in ruil voor het ontvangen van een document dat er officieel uitziet. Wat mij betreft zou dit in Europa verboden moeten worden, want deze documenten zijn zeer lastig te onderscheiden van legitieme documenten.”

Veel vervalste certificaten dus. Maar daar blijft het dan bij?

“Soms is het nog erger en dan bestaat het laboratorium zelfs niet. We zijn één fabrikant tegengekomen die een rapport had van een lab dat zogenaamd in het Verenigd Koninkrijk gevestigd is. Zij bleken niet op de lijst van de Europese Unie te staan en e-mails bleven onbeantwoord. Vervolgens kon ik vaststellen dat de server in het Chinese geconfigureerd was en de domeinnaam vanuit China is geregistreerd. Waarschijnlijk dus een website die opgezet was om nepcertificaten uit te geven in de hoop dat veel kopers op dit moment niet nauwkeurig de kwalificaties controleren.”

“In de huidige crisis zijn er zowel veel nieuwe kopers als aanbieders, waardoor de meeste spelers in de markt nog te kort aanwezig zijn om een reputatie op te bouwen. Daardoor komen dit soort fraudeurs ermee weg.”

Hoe kan IT helpen bij deze certificatenchaos?

“Veel medisch materiaal moet nu verplicht gekeurd worden, zodat kopers weten dat ze deugdelijke mondmaskers en andere spullen kopen. Op dit moment verifieer je dat door een fabrikant te vinden, die om een certificaat te vragen, dat certificaat te controleren bij het laboratorium dat het uitgegeven heeft en vervolgens het laboratorium te controleren bij de Europese Unie. Nu is het nog zo dat die certificaten niet gestandaardiseerd zijn, dus je krijgt ze in allerlei vormen en er staat telkens verschillende informatie op. Daardoor zijn inkopers onnodig tijd kwijt met het valideren van die documenten.”

“De meest simpele aanpassing vanuit de Europese Unie zou zijn om een sjabloon vast te stellen waardoor op ieder document dezelfde informatie op dezelfde plek staat, inclusief een link en QR-code naar zowel de verificatiepagina van het rapport alsmede die van het laboratorium. Dan kun je in principe binnen 2 minuten elk certificaat controleren, terwijl dat nu soms wel 30 minuten in beslag kan nemen.”

Dat zou dan dus de oplossing zijn?

“Wat mij betreft gaan we nog verder en draaien we dit proces om: De website van de Europese Unie zou een volledige lijst moeten laten zien per productcategorie van de goedgekeurde fabrikanten. Dan laten fabrikanten nog steeds hun producten keuren door de huidige certificeerders en op hun beurt plaatsen zij de test- en contactgegevens in de centrale databank. Daarmee voorkom je dat kopers zelf in de wildernis op zoek gaan naar mogelijk dubieuze leveranciers.”

Wat ga je de komende tijd doen? 

“Ik heb binnenkort een nieuwe baan, dus ben ik nu bezig met het schrijven van een uitleg voor het valideren van certificaten zodat een andere teamgenoot dit over kan nemen. Daarna zal ik wellicht nog hier en daar bijdragen, maar heb ik helaas niet dezelfde hoeveelheid tijd meer.”

Heb je nog een tip voor andere IT’ers, in deze coronatijden?

“Ik heb één oproep en één tip.”

De oproep: In verschillende landen zie je dat de overheid steeds meer gestructureerde data vrijgeeft over deze pandemie. Italië heeft bijvoorbeeld gedetailleerde gegevens op GitHub staan en Frankrijk heeft een dataportaal. In Amerika is dit niet zo gecentraliseerd en daar heeft The Atlantic een eigen overzicht verzameld.”

“In Nederland publiceert het RIVM mondjesmaat data en veel daarvan is verspreid over nieuwsberichten, verstopt in PDF-documenten of ontoegankelijk in afbeeldingen. Wel mooi is dat het RIVM een overzicht bijhoudt van verschillende databronnen. Het zou mooi zijn als er een vrijwilligersproject is dat alle Nederlandse data ontsluit op GitHub in JSON of CSV formaat, zodat meer mensen er gebruik van kunnen maken.”

De tip: Veel mensen werken nu vanuit huis en vergaderingen gaan vaak met behulp van videobellen. De gemiddelde webcam is niet van hoge kwaliteit, dus de makkelijkste manier om beter in beeld te komen is door je belichting aan te passen. Als je voor 20 tot 30 euro een ringlamp of vergelijkbare spotverlichting koopt (of zelfs een leeslamp gebruikt), is de videokwaliteit gelijk twee keer zo goed.”

“Het zal in het begin onnatuurlijk aanvoelen om direct in het licht te kijken, maar daar wen je zo aan. Het is precies hetzelfde wat ze natuurlijk ook in een televisiestudio doen. De beste upgrade die je daarna kunt doen is het verbeteren van de audiokwaliteit door een USB-microfoon aan te schaffen.

“En als je helemaal wild wilt gaan, kun je ook de meeste fototoestellen tegenwoordig als webcam gebruiken met behulp van een “cam link” — al zijn die volgens mij voorlopig uitverkocht.”

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.