Nederlands
English
Open kennis delen, het oude wondermiddel
Twee oud-collega’s van Twynstra Gudde schreven een commentaar op een NRC artikel (zeer losjes gebaseerd op een open brief van 10 informatiebeveiligings experts) dat ging over de vraag of een meer open manier van werken de mislukking van het project had kunnen voorkomen. Ik was het niet eens met hun argumenten en conclusies en kon het niet nalaten een reactie te kloppen in de trein. Waarom open in beveiliging niet nieuw en niet moeilijk is: Open kennis delen, het oude wondermiddel .
In een bijdrage voor Livre schrijven Ruben van Wendel de Joode en Carla Vliex van Twynstra Gudde over de (on)mogelijkheid van het toepassen van open source als ontwikkelmethode. Helaas lijkt het er op dat de auteurs wél het artikel over de OV-chipkaart in NRC Handelsblad hebben gelezen, maar niet de originele open brief, geschreven door Rob Gonggrijp. Het artikel van Van Wendel de Joode en Vliex is exemplarisch voor de begripsverwarring die er nog steeds is. Hieronder een poging wat helderheid te scheppen.
Ruben en Carla merken op dat in het overheidsdomein open source niet zou gedijen vanwege strakke sturing op tijd, geld en functionaliteit. Als iemand bekend is met IT-projecten in de publieke sector die aan deze voorwaarden voldeden, hoor ik het graag. Ik ken ze niet. Ik ken wel een groot aantal projecten waar men veel projectmanagementtaal uitslaat om vervolgens, door gebrek aan kennis en bestuurlijk lef, de leveranciers maar wat aan te laten klooien. Soms jaren en honderden miljoenen euro’s lang. Zélfs als het overduidelijk is dat een project moet worden afgeblazen wordt er vaak nog een tijdje doorgegaan om het falen te verdoezelen. Recente voorbeelden: Walvis, elektronische patiëntendossiers, stemcomputers, de OV-chipkaart, de GOUD-desktop aanbesteding en zo zijn er nog veel meer. Volgens de SP gaat het om zo’n 40 miljard euro aan directe kosten over de afgelopen 10 jaar.
We kunnen gewoon vaststellen dat de overheid vrijwel nooit in staat is om complexe IT-projecten tot een goed einde te brengen. Met name omdat écht complexe zaken zich niet top-down laten aansturen of voorspellen. Het is tijd om ons af te vragen of er andere methodieken zijn die bewezen werken voor het oplossen van problemen die zich door hun complexiteit niet laten vangen in projectmanagement templates.
Ondanks hun academische achtergrond merken de auteurs niet de relatie op tussen de wetenschappelijke methode en open source. Open kennisdeling, snel feedback vragen aan je peergroup: iedereen met een ander idee mag dit naar voren brengen. Het zijn de aspecten van de wetenschappelijke methode die ons uit de Middeleeuwen hebben getild. De wetenschappelijke methode is hét succesverhaal op het gebied van problemen die te complex zijn om van tevoren te overzien. Gaandeweg kom je tot antwoorden en oplossingen.
Als de auteurs de originele open brief hadden gelezen, hadden ze ook begrepen dat de tien experts op het gebied van informatiebeveiliging het helemaal niet hadden over de open source ontwikkelmethode, maar over openheid van beveiligingsmechanismen.
"Al in 1883 publiceerde de Nederlandse cryptograaf Auguste Kerckhoffs een aantal stellingen. Onder andere beweerde hij dat cryptografische systemen niet afhankelijk horen te zijn van geheimhouding van het algoritme, maar alleen van de geheimhouding van de sleutel. Dit principe is in de cryptografie algemeen aanvaard. Doordat de werking van een systeem in een wetenschappelijk discussie kan worden bekritiseerd kunnen zwaktes worden opgespoord en verholpen, liefst voordat een systeem breed wordt ingezet." (uit: ‘Infrastructuur voor openbare diensten vereist veiligheid en transparantie’) .
De ideeën die door de leveranciers van de OV-chipkaart genegeerd zijn, stammen uit de tijd van de stoommachines. Een oud wondermiddel dat al 125 jaar lang regelmatig genegeerd wordt. Met dramatische gevolgen.
Een open manier van werken maakt het wel veel moeilijker om onkunde en falen te verbergen en daar lijkt men met name in de overheid erg bang voor te zijn. Ook het verlenen van opdrachten aan bevriende leveranciers wordt lastig als iedereen kan meekijken met je beslissingsprocessen. Dit zijn goede redenen om opener werkwijzen op afstand te houden.
Een andere fundamentele denkfout van Ruben en Carla is het idee dat al het open ontwikkelwerk gedaan wordt op geheel vrijwillige basis. Onzin. Bij vele open-opensourceprojecten worden ontwikkelaars betaald om te werken aan projecten. Zo levert Google ontwikkelaars voor de open source browser Firefox, en levert IBM ontwikkelaars voor Apache en Linux. In de commentaren op het artikel werd de Ubuntu Foundation al genoemd die een veel strakker releaseschema hanteert dan de grootste softwarebedrijven in de wereld. Ook kunnen zakelijke eindgebruikers van open source software hun eigen IT-ers tijd geven om betaald te werken aan de software die hun organisatie sneller en slimmer laat werken. 90% Van alle programmeurs in de wereld werkt niet in de software-industrie, maar voor organisaties die software gebruiken als hulpmiddel. Voor dergelijke organisaties kan het logisch zijn om hun personeel en open source applicatie te laten doorontwikkelen, in plaats van iets duurs aan te schaffen of vanaf nul te beginnen. Een dergelijke werkwijze is wellicht niet helemaal op de millimeter te beheersen, maar dat zijn complexe projecten zelden.
De wens van ultieme beheersbaarheid moet worden opgegeven ten gunste van het slim hergebruiken van (IT) kennis om maatschappelijke problemen op te lossen. Dat in die ontwikkelprocessen af en toe blunders worden gemaakt, is niet erg. Het is een onderdeel van het proces. Van fouten leer je het meest. Maar laten we dan zorgen dat we steeds nieuwe fouten maken. Dat is veel leerzamer dan steeds dezelfde.
Arjen Kamphuis werkte van 1999 tot en met 2001 op de IT-strategie-afdeling van Twynstra Gudde. Hij leerde er veel waardevolle dingen over projectmanagement, maar vooral dat hij geen projectmanager wilde worden.