Het wordt vrijwel onmogelijk om snel een corona-app uit te rollen die op brede steun van ontwikkelaars, veiligheids- en privacyexperts en de GGD kan rekenen. Geen van de zeven apps die tijdens de appathon dit weekeinde tegen het licht zijn gehouden, doorstaan de toets van de kritiek.
De hoop van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) om nog voor het eind van deze maand een officiële app voor contactopsporing te kunnen presenteren, werd dit weekeinde de bodem ingeslagen. Het departement erkende dit weekeinde ruiterlijk dat zich nog geen geschikte kandidaat heeft aangediend. Alle zeven apps, waaronder die van Capgemini en Accenture, kennen meerdere gebreken. Weinig ontwerpen geven voldoende waarborgen voor de privacy. Ook de veiligheid is bij nagenoeg alle apps een zwak punt.
Kritiek
Vanuit de ontwikkelaarswereld regent het dan ook kritiek. Het ministerie had vooraf gezegd uitsluitend bestaande, uitontwikkelde oplossingen in ogenschouw te willen nemen. Maar daarvan bleek dit weekeinde geen sprake. ‘Geen enkele app is af. Er valt dus eigenlijks niks zinnigs over te zeggen,’ concludeerde Arian van Putten, ontwikkelaar bij Wire, gisteren direct na afloop van de hackathon.
Zijn code review is kritisch over alle zeven voorstellen. Bij vrijwel alle applicaties waarvan de broncode is ingeleverd, ontbreekt de (ontwerp)documentatie of is deze ontoereikend. Bovendien is er een gebrek aan tests. Ook is weinig aandacht besteed aan de beperkingen van Bluetooth. Volgens Van Putten is het daarom lastig na te gaan of de apps ook werkelijk doen wat ze beloven.
Geen winnaar
Door het gebrek aan informatie kan geen enkele expert thans dan ook een keuze maken. Erik Gerritsen, secretaris generaal bij VWS, beaamt dat ook. De appathon levert geen winnaar op. Evenmin valt te zeggen welke app bij zijn ministerie de grootste kans maakt en uiteindelijk gaat winnen. Het staat zelfs nog niet vast dat er überhaupt een app komt. Ook appbouwers zoals PrivateTracer en De Open Source Covid-19 Testing Support-app (app-c19), die niet aan de appathon hebben deelgenomen, maken nog kans.
De Autoriteit Persoonsgegevens maakt maandag bekend of de apps aan de privacywetgeving voldoen. Ook hecht het kabinet zwaar aan het oordeel van de Gezondheidsraad. De ministeriële commissie Crisisbestrijding wil meteen daarna advies uitbrengen aan de Tweede Kamer. Woensdag wordt daarover een parlementaire hoorzitting gehouden gevolgd door een Kamerdebat.
Voldoen aan voorwaarden
Overigens scoorde de live stream van de appathon meer dan 90.000 views. Zo’n 1.300 kijkers stelden in totaal 2.000 vragen. Om 16.00 uur zondag waren al 3.500 tweets geteld waarvan het overgrote merendeel zeer kritisch was. De oproep van de overheid om mee te denken bleek niet aan dovemansoren gericht. Volgens Ron Roozendaal, chief information officer bij VWS, hebben zich veel it’ers aangesloten bij de teams die apps ontwikkelen.
Ook grote organisaties willen gratis mankracht en technologie beschikbaar stellen. Onder meer KLM, Thalys en het ministerie van Defensie kunnen concrete bijdragen leveren. Roozendaal zei dat het debat gunstige effecten heeft. De overheid heeft er veel van geleerd en nieuwe inzichten gekregen. Vier EU-lidstaten zijn eerder al live met een app gegaan. Nederland heeft ervoor gekozen eerst experts en publiek hierover te horen. De cio benadrukt dat de officiële corona-app pas wordt vrijgegeven als aan privacy- en security-voorwaarden is voldaan.
Grote tijdsdruk
Topambtenaar Erik Gerritsen concludeert dat de appathon ondanks de grote tijddruk veel moois heeft opgeleverd. In de loop van het weekeinde werden de nodige verbeteringen in de apps aangebracht. Zo sleutelde Accenture aan de privacy door geen telefoongegevens meer op te slaan. Capgemini bracht van zijn app een extra variant uit zonder contactmomenten met de GGD.
Deus, een fork van het Europese open source initiatief DP-3T, verbeterde de toegankelijkheid van de app. Covid19 dat gebruik maakt van blockchaintechnologie, had de handen vol aan het oplossen van een datalek. Ook de toegankelijkheid werd vergroot. Sia Partners verbeterde de veiligheid en privacy. Men ontwikkelde een variant waarbij het niet meer nodig is een telefoonnummer in te voeren. De twee andere deelnemers, ITO (open source) en het DDT Consortium (Dtact) kwamen eveneens met verbeteringen.
Uit een peiling van Publiekebeproeving.nl bleek dat de meeste deelnemers de apps van Capgemini en Accenture willen gebruiken. In hoeverre hier hun beider groter achterban van doorslaggevende invloed is geweest, is niet aangegeveb. Overigens scoorde ook het universiteitsproject Deus goed in deze peiling.
Goh, en ik in al mijn naïviteit maar denken dat je zo’n app met Agile, CI/CD, Devops en/of Low Code Development in no time uit de grond kon stampen 😉
Blijft over de vraag hoe de app herkent dat er een muur of een vloer tussen zit…
Veel supermarkten hebben appartementen boven de winkel. Op het moment dat daarboven een coronapatient zit gaat bij iedereen die in de supermarkt is geweest het alarm af..
Overheid en it zijn nu eenmaal geen goede combinatie, denk aan de pogingen van ministeries om dat neutrale toezichtsorgaan weg te krijgen omdat die te veel falende it-projecten bij de overheid rapporteerde. Kennelijk is de deskundigheid onvoldoende geweest om tenminste een doorwrocht eisenpakket en wegingsproces vóóraf vast te leggen. Hoe de diverse partijen hun ontwikkelproces in detail optuigen is m.i. van lager belang, mits men één van de bekende methoden voor proces- en kwaliteitsborging hanteert.
@pa va ke: Voordat CI/CD voor zoiets fatsoenlijk werkt ben je al een tijd op weg. Het helpt niet iets snel uit de grond te stampen. Het helpt op langere termijn sneller releases naar productie te brengen. Die mag uit het rijtje 😉
Afgezien van allerlei (privacy) bezwaren ben ik vooral bang voor ‘false negatives’, welke status krijgt een groen lampje? Bij een ‘false positive’ is iemand in het ergste geval een x-weken onnodig in quarantaine (of welk gevolg dan ook). Bij een false negative loopt die persoon vrolijk rond en ontstaat er een schijnveiligheid. Ook is me niet helder welke status een dergelijke app krijgt; mag een winkel/werkgever/uitbater de toegang weigeren als een persoon zich niet middels een app laat controleren? Heeft de werknemer nog recht op salaris als hij deze app weigert?
In het artikel staat dat er al vier EU-landen live zijn met een app. Waarom gebruiken we niet een van die apps? Zo anders is de problematiek niet, en zoveel anders kan de benodigde functionaliteit dan toch niet zijn.
Blijft over de vraag hoe de app herkent dat er een muur of een vloer tussen zit…
Veel supermarkten hebben appartementen boven de winkel. Op het moment dat daarboven een coronapatient zit gaat bij iedereen die in de supermarkt is geweest het alarm af..