Beheer

Software-ontwikkeling
Pavlov in IT-land

Pavlov in IT-land

De software heeft het altijd gedaan.

© Shutterstock Rose Makin
24 maart 2021

De GGD's kwamen in het nieuws omdat op internet persoonsgegevens werden verhandeld. De software krijgt de schuld en moet weg. Of toch maar niet, want crisis. Maar dan in ieder geval later.

Niets nieuws onder de zon. In de VS werden in de negentiger jaren al honderden belastingdienstmedewerkers berispt voor het verkopen van inkomensgegevens aan je nieuwe werkgever, zodat je salaris nooit te hoog kon worden. Of Wie is de mol avant la lettre: een belastingmedewerker lichtte al zijn clubgenoten om te achterhalen of ze door de CIA, NSA of FBI werden betaald. Hij was lid van de Ku Klux Klan.

Dichter bij huis: in 2007 publiceerde dagblad Trouw dat het via VECOZO (Veilige Communicatie in de Zorg) kon meekijken met een gebruiker die van bekende Nederlanders, politici, criminelen of familieleden hun huisadres, verzekeraar en verzekeringspakket kon zien zolang je de geboortedatum maar wist. Er konden toen 80.000 mensen in dat systeem bij die data. Een deel van de mensheid is omkoopbaar, dus als het er maar genoeg zijn, gaat het vanzelf lekken.

Een deel van de mensheid is omkoopbaar, dus als het er maar genoeg zijn, gaat het vanzelf lekken

De aanpak was toen niet om systemen te vervangen maar om autorisatie veel beter te regelen. En logging, om te achterhalen wie, wat, wanneer deed. En monitoring, om realtime te achterhalen of er aparte query's op het systeem worden gedraaid. En certificaten, die je kunt intrekken. Dit werd onlangs gedaan door VECOZO toen een domeinnaam van de JeugdRIAGG was verlopen. Een overname waardoor je vertrouwelijke gegevens kunt afvangen, lukt dan niet meer.

De GGD's gebruiken onder andere HPZone Lite, een Engels product.

Voor de crisis waren die gegevens niks waard, maar de pandemie heeft dat in één klap veranderd. Daarom moeten we voor HPZone kijken naar autorisatie op diverse niveaus. Wie heeft welke rechten? Wie doet wat op het systeem? Zijn de gebruikers chantabel? Is er een VOG? Net als destijds bij de Amerikaanse belastingdienst en VECOZO, ga je geen systeem vervangen maar het umfeld beter inrichten.

In andere landen waar HPZone wordt gebruikt, staan weer hele andere dingen in de krant. Neem The Telegraph van oktober 2020, met het artikel "Time to end the disastrous leadership vacuum in NHS Test and Trace". De NHS is het lokale ziekenfonds daar. Een litanie aan problemen, van systemen die niet met elkaar communiceren tot een tekort aan mensen. Of: "a spaghetti of command and control at the top, which is incapable of coherent analysis, assessment, planning and delivery". En dan wordt Nederland aangehaald als lichtend voorbeeld: "The successful Dutch public health system uses a single slimmed down version of HPZone. These lessons seem to be forgotten or ignored."

De pavlovreflex om direct naar het systeem te wijzen, is gratuit: het systeem praat niet terug als je het de schuld geeft. Het komt wellicht politiek goed uit, en bedrijven staan in de rij om het systeem te vervangen; 25 keer kassa! En ze weten het allemaal beter: standaardsoftware, DevOps; als het maar buzzword-compliant is.

In het Verenigd Koninkrijk zouden ze maar wat blij zijn met de puinhoop die wij er hier van maken.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (maartnummer, 2021). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Reactie toevoegen
2
Reacties
Bop 10 mei 2021 17:24

Ja, het oemveld is gratwiet.
Klink wel vet koel, zeg maar, an zieg.

Maar inderdaad: uiteindelijk mensenwerk, beheerskwestie

Atilla Vigh 25 maart 2021 07:59

Het idee dat je buiten een softwarepakket om je IAM (Identity Access Management) kan organiseren is niet realistisch. Iedereen weet dat security gaat over of je uiteindelijk gegevens kan stelen, veranderen of verwijderen. Privacy gaat over wie welke gegevens mag zien en onder welke condities. Veel software is in de basis gewoonweg niet zo opgezet. Omdat op te lossen zal je praktisch het hele pakket moeten herschrijven. Het idee dat je tussen de bestaande onderliggende database en de applicatie een stukje software stopt en dan is alles geregeld heeft dezelfde annotatie als "bedrijven die in de rij staan (het zijn dan alleen andere bedrijven".
Kortom: security en privacy organiseren in een keten is noeste arbeid!
Wat natuurlijk wel zo is, dat je het wel serieus neemt en er tijd, geld en aandacht aan schekt. Wat ik zo lees over de GGD is dat niet echt gebeurd.