Pavlov in IT-land

Niets nieuws onder de zon. In de VS werden in de negentiger jaren al honderden belastingdienstmedewerkers berispt voor het verkopen van inkomensgegevens aan je nieuwe werkgever, zodat je salaris nooit te hoog kon worden. Of Wie is de mol avant la lettre: een belastingmedewerker lichtte al zijn clubgenoten om te achterhalen of ze door de CIA, NSA of FBI werden betaald. Hij was lid van de Ku Klux Klan.

Dichter bij huis: in 2007 publiceerde dagblad Trouw dat het via VECOZO (Veilige Communicatie in de Zorg) kon meekijken met een gebruiker die van bekende Nederlanders, politici, criminelen of familieleden hun huisadres, verzekeraar en verzekeringspakket kon zien zolang je de geboortedatum maar wist. Er konden toen 80.000 mensen in dat systeem bij die data. Een deel van de mensheid is omkoopbaar, dus als het er maar genoeg zijn, gaat het vanzelf lekken.

Een deel van de mensheid is omkoopbaar, dus als het er maar genoeg zijn, gaat het vanzelf lekken

De aanpak was toen niet om systemen te vervangen maar om autorisatie veel beter te regelen. En logging, om te achterhalen wie, wat, wanneer deed. En monitoring, om realtime te achterhalen of er aparte query's op het systeem worden gedraaid. En certificaten, die je kunt intrekken. Dit werd onlangs gedaan door VECOZO toen een domeinnaam van de JeugdRIAGG was verlopen. Een overname waardoor je vertrouwelijke gegevens kunt afvangen, lukt dan niet meer.

De GGD's gebruiken onder andere HPZone Lite, een Engels product.

Voor de crisis waren die gegevens niks waard, maar de pandemie heeft dat in één klap veranderd. Daarom moeten we voor HPZone kijken naar autorisatie op diverse niveaus. Wie heeft welke rechten? Wie doet wat op het systeem? Zijn de gebruikers chantabel? Is er een VOG? Net als destijds bij de Amerikaanse belastingdienst en VECOZO, ga je geen systeem vervangen maar het umfeld beter inrichten.

In andere landen waar HPZone wordt gebruikt, staan weer hele andere dingen in de krant. Neem The Telegraph van oktober 2020, met het artikel "Time to end the disastrous leadership vacuum in NHS Test and Trace". De NHS is het lokale ziekenfonds daar. Een litanie aan problemen, van systemen die niet met elkaar communiceren tot een tekort aan mensen. Of: "a spaghetti of command and control at the top, which is incapable of coherent analysis, assessment, planning and delivery". En dan wordt Nederland aangehaald als lichtend voorbeeld: "The successful Dutch public health system uses a single slimmed down version of HPZone. These lessons seem to be forgotten or ignored."

De pavlovreflex om direct naar het systeem te wijzen, is gratuit: het systeem praat niet terug als je het de schuld geeft. Het komt wellicht politiek goed uit, en bedrijven staan in de rij om het systeem te vervangen; 25 keer kassa! En ze weten het allemaal beter: standaardsoftware, DevOps; als het maar buzzword-compliant is.

In het Verenigd Koninkrijk zouden ze maar wat blij zijn met de puinhoop die wij er hier van maken.