Nederlands
English
Auteur: arjen
Brits contra-expertise rapport: OV-chipkaart niet invoeren
Het door Staatsecretaris Huizinga gevraagde contra-expertise rapport van het Royal Holloway Instituut University uit London is af en het liegt er niet om. Hoewel het document ten alle tijde vriendelijk blijft naar TNO kan de goede verstaander tussen de regels door duidelijk lezen dat deze instelling de huidige OV-chipkaart ongschikt vindt om in te voeren. Dit in tegenstelling tot TNO dat rapport na rapport bleef roepen dat het allemaal goed zou komen.
De Staatssecretaris is daardoor ook ten lange leste aan het twijfelen gebracht. Het gekke van dit hele verhaal blijft voor mij de wijze waarop door de Rijksoverheid met expertise wordt omgesprongen. Tot op de dag van vandaag worden de echte experts, die dus in 2005 en afgelopen december wisten waar dit zou eindigen vakkundig genegeerd ten faveure van een TNO die toch vooral lijkt op te schrijven wat de opdrachtgever (een door media-hypes en faalangst gedreven politiek) het liefst wil horen. Een overheid die op basis van een dergelijke werkzijze technologie gaat inzetten op plekken waar de privacy, portemonee en levens van burgers direct geraakt wordt is zeer zorgwekkend. De kamer zou het hele beslissingsproces rond de OV-chipkaart eens goed onder de loep moeten nemen en openbaar moeten maken als afschrikwekkend voorbeeld van hoe-het-niet-moet. Eerdere postings hierover:
De platte aarde van Huizinga
RFID deurpassen ook gekraakt
OV chipkaart definitief gehacked
OV chipkaart. Niets geleerd, gewoon doorgaan
Werkplek van de toekomst
Na een brainstormsessie met zo’n 50 medewerkers van Brunel Engineering vorige week werd mij gevraagd een bijdrage te maken voor het blad van Brunel over de werkplek van de toekomst. Kantoor 2028
Hoe onze werkplek er over twintig jaar uitziet hangt af van twee fundamentele factoren. Ten eerste de ontwikkeling van technologische hulpmiddelen. Denk aan ICT-gerelateerde zaken als snelheid en kosten van computers, netwerken en opslagcapaciteit. Wetenschappelijke inzichten worden ingezet om dit allemaal gebruiksvriendelijker en effectiever te maken; bijvoorbeeld kennis van menselijke cognitieprocessen en neurologie. En dan heb je nog de plek zelf; met nieuwe materialen maken we straks fijnere stoelen en bureaus én gebouwen die zo in elkaar zitten dat ze ons maximaal faciliteren in onze mentale processen.
De tweede factor zijn we zelf. Ons vermogen om al deze hulpmiddelen effectief te gebruiken kan een bottleneck zijn. Technisch-wetenschappelijke ontwikkelingen lopen vaak zo’n tien tot twintig jaar voor op wat de meeste organisaties, en de mensen die daar rondlopen, aankunnen. Je krijgt dus grote verschillen tussen en binnen organisaties. Leeftijd, opleidingsniveau, achtergrond en attitude; het zijn allemaal factoren die van invloed zijn op het vermogen om te gaan met nieuwe hulpmiddelen. Daarnaast speelt het type werk een rol. Waar grafici en architecten het moeten hebben van de nieuwste middelen, zijn veel beleidsmakers nog prima af met hun twintig jaar oude tekstverwerker. En waar de een eenvoudig administratief werk heeft in een laag-geautomatiseerde organisatie, doet een ander complex, creatief en kennisintensief werk waarbij de grenzen van de technologische mogelijkheden worden opgezocht. Hét kantoor van de toekomst bestaat dus niet.
Ook in 2028 zitten veel mensen gewoon achter hun bureau, terwijl anderen ergens op de wereld ingeplugd zijn op het internet. Dat doen ze soms alleen, maar meer waarschijnlijk met andere mensen en in samenwerking met intelligente systemen die veel van het analytische en niet-creatieve werk overnemen. Maar voor iedereen zullen opleiding, training, begeleiding en toegang tot communities van kennis bepalend zijn voor de productiviteit.
Verkiezingen
Voor Livre vergelijk ik twee corrupte verkiezingen. Er waren de afgelopen weken twee verkiezingen in het wereldnieuws. Een in een Afrikaans land dat wegzakt in economische malaise en burgeroorlog, een andere in het hart van de westerse beschaving: Genève. Afgezien van de locaties en de hotelkosten voor journalisten was er qua proces niet zo veel verschil. Omkoping, fraude en intimidatie waren aan de orde van de dag. Zelfs in keurige landen als Noorwegen en Duitsland bleken lokale functionarisen niet bestand tegen de lok- en pressiemiddelen van ’s werelds meest veroordeelde softwaremonopolist. Of om het anders te zeggen: ‘OOXML’s BRM process is irretrievably broken; complete, utter, unadulterated bullshit’ – Tim Bray.
ISO is dood. Jammer. Kennelijk hadden de voorstanders van OOXML niet zo veel vertrouwen in de duidelijke waarde van hun standaard dat ze het gebruikelijke transparante en democratische proces aandurfden. Net als zo’n Afrikaanse dictator met heel veel medailles op zijn uniform. Allemaal onzekerheid. Als we er niet zo veel last mee kregen, zou je het afdoen als een zielige vertoning. Hans Bos van Microsoft is van mening dat het allemaal prima verlopen is. Eurocommissaris Neelie Kroes denkt daar anders over. Ik voel een boete aankomen… Niet dat het er voor de rest van de wereld veel toe doet. Brazilië, China, India en Iran hebben tegen de OOXML-standaard gestemd en dan praat je toch over een flink deel van de wereldbevolking/economie. Als applicatieleverancier zou ik er ook zeker voor zorgen dat je ODF compatibel wordt of blijft, want anders sluit je jezelf uit voor de markten waar de échte groei zit.
‘The only way to beat Microsoft is to ignore Microsoft’ zei een guru jaren geleden al en ik denk dat dat klopt (hoewel er altijd van die gouden momenten zijn dat je wel even iets moet doen). Maar genoeg over OOXML. Het is een droevig en beschamend dossier en dat zal wel zo blijven. Iets leuks voor deze lenteweken. Zomertijd, mooi(er) weer en lammetjes in de wei. Tijd voor enige actie. Op 12 december 2007 is de ondersteuning van ODF (Open Document Format) voor alle overheidsorganisaties verplicht gesteld. Voor de rijksoverheid betekent dit dat kerndepartementen, rijksdiensten en agentschappen, uitgezonderd ZBO’s (zelfstandige bestuursorganen), vanaf deze maand ODF dienen te ondersteunen. Hulp van de open source community zal daarbij zeker welkom zijn. Daarom vraagt Gendo de actieve leden van die community mee te denken met NOiV en tips te geven die het proces van implementatie kunnen vergemakkelijken. De beste tip De beste tip wordt beloond met eeuwige roem en een Eee PC. De wedstrijd loopt tot en met 30 mei.
Open vingerafdruk
Privacy voorvechtster Karin Spaink schrijft deze week in haar column in het Parool over een actie van de Duitse hackervereniging CCC. Als protest tegen de plannen van de Duitse overheid om een database te maken met de vingerafdrukken van alle 82 miljoen duitsers hebben zij de vingerafdruk van de Duitse minister van Binnenlandse zaken openbaar gemaakt. Ze willen hier mee aantonen hoe makkelijk het is om identiteitsfraude te plegen met andermans vingerafdruk (die iedereen tenslotte overal achterlaat). Op de site van de CCC staat een gedetailleerde beschijving van de procedure die de CCC gebruikte om een werkende kopie te maken van een vingerafdruk die zijn op een glas vonden. De Minister is woedend en heeft juridische stappen aan gekondigd tegen de CCC. Hacker Rop Gongrijp merkte op dat dit toch wel vreemd is want de Minister wilde de afdrukken van alle Duitsers hebben en de CCC verzamelde er maar een.
Met de gekopieerde vingerafdruk kan met vervolgens gaan winkelen op andermans kosten of, in de nabije toekomst, grenscontroles omzeilen. De kwestbaarheid van de vingerafdruk scanners is al enige jaren bekend, de CCC toonde aan dat de 20 meest gebruikte merken (200 miljoen systemen wereldwijd) zich allemaal laten foppen door een stukje folie dat binnen een uur te maken is met een eenvoudige digitale camera, een PC, printer en houtlijm. Net als bij de RFID kaarten dient het falen van dergelijke systemen eerst hard in het gezicht van overheden en bedrijfsleven gesmeten te worden voordat men problemen serieus neemt. Voor wie behoefte heeft een dagje als Minister door het leven te gaan, de afbeelding bovenaan is de daadwerkelijke vingerafdruk van Herr Schäuble, klik er op en je linkt door naar de hi-res versie. Veel plezier!
Op de
mailinglist van karin Spaink maakte iemand het punt dat iedereen nu (qua vingerafdrukken) net kan doen of hij/zij Minister Schäuble is. Een van de gevolgen daarvan is dat Schäuble nu een excuus heeft als zijn vingerafdrukken worden gevonden in een hotelkamer waar onkuise zaken zijn voorgevallen(het is maar een voorbeeld). Wellicht moeten we allemaal onze vingerafdrukken online zetten zodat we altijd tegen de rechter kunnen zeggen ‘edelachtbare, iedereen heeft mijn vingerafdrukken, de aanwezigheid daarvan is geen enkel bewijs voor mijn aanwezigheid of betrokkenheid …’
GOUD, reactie op brief aan Tweedekamer
Nog eenmaal GOUD. Hieronder mijn briefing naar een aantal kamerleden (op verzoek) in reactie op de brief die Minister Bos de Tweedekamer deed toekomen na een debat over GOUD. In essentie maakt de auteur van de brief twee cliams:
1. Door de GOUD werkplek kunnen ambtenaren beter samenwerken, hierbij wordt op geen enkel moment gedefinieerd wat ‘samenwerken’ is.
2. Door een mono-cultuur van GOUD werkplekken gaan de kosten van onderhoud en beheer dusdanig omlaag dat de kosten van aanschaf en invoer van de GOUD werkplekken terugverdient worden. Deze claim wekt de suggestie dat men gedetailleerd inzicht heeft in de huidige kosten.
Ik denk dat beide claims onbewezen zijn en zie uit naar de interne documenten van de diverse ministeries de mij ongelijk geven… De hele brief staat hier, stukken eruit hier onder zijn blauw.
Er is een aantal redenen waarom het project GOUD in augustus 2006 van start is gegaan. Belangrijke overwegingen waren: Het project GOUD bouwt op het streven om te komen tot een intensievere en flexibeler vorm van samenwerking binnen de rijksdienst. Het ondersteunen van projectministeries, rijks verzamelgebouwen en interdepartementale samenwerkingsverbanden wordt met de GOUD werkplek op een efficiënte, goed beheerbare en goed te beveiligen wijze mogelijk.
Er wordt als sinds het begin van de GOUD aanbesteding geroepen dat met de nieuwe systemen beter ‘samengewerkt’ kan worden. Nergens wordt duidelijk wat ‘samenwerken’ betekent. Kunnen ambtenaren elkaar nu niet bellen en mailen? Als ‘samenwerken’ de reden is mogen we er dan ook vanuit gaan dat ministeries straks van elkaar weten waar ze mee bezig zijn? Zodat de activiteiten van Rijkswaterstaat niet het werk van VROM in de weg zit? Is is de minister daar dan ook op aan te spreken? Of is het een buzzword dat verder niet gedefinieerd wordt, niet meetbaar is en dus eigenlijk niks betekent?
Door de gezamenlijke beheerorganisatie die voor de GOUD werkplek ingericht gaat worden zal GOUD bij gaan dragen aan de taakstelling zoals vastgelegd in het programma Vernieuwing rijksdienst. De huidige software die op de werkplekken draait raakt verouderd; deze software kan dan niet meer geïnstalleerd worden op de nieuwe hardware die aangeschaft wordt.
Onzin, op de meeste van de 21.000 werkplekken draait Windows XP, dit wordt ondersteunt tot 2012/2014 en de meeste bedrijven (en IT-leveranciers) doen hun uiterste best daar zo lang mogelijk op door te werken door alle problemen rond Vista (waar de oorspronkelijk aanbesteding naar toe geschreven werd).
Het wachten op Rijkswerkplek 2.0 is hierbij geen optie. Niet alleen zou de noodzakelijke samenwerkingsmogelijkheden nog jaren op zich laten wachten, ook zouden nodige efficiëntie verbeteringen in ICT-werkplekbeheer voorlopig niet gerealiseerd kunnen worden.
Weet het GOUD-team wat de huidige cost-of-ownership is van de bestaande omgevingen en hoe deze zijn opgebouwd? Heeft men inzicht in de geplande nieuwe cost-of-ownership? Betalen de kosten van de migratie (licenties, tijd, hertrainen medewerkers) zich terug in dit verschil? Let op dat als op de eerste vraag geen helder en onderbouwd (met documentatie dus!) antwoord is te geven het hele argument omvalt. Je kan geen kosten/baten analyse maken als je uitgangssituatie een groot vraagteken is.
Waarborgen rondom GOUD: Omdat een ICT project nooit succesvol kan zijn als het als losstaande eenheid, geïsoleerd van de omgeving uitgevoerd wordt, is vanaf het begin van het project GOUD rekening gehouden met een aantal randvoorwaarden.
De motie Vendrik en (op een later tijdstip) het actieplan Nederland Open in Verbinding (NOiV): vanaf de start van het project, ook tijdens het opstellen van de aanbestedingsdocumenten is rekening gehouden met de inhoud van de motie Vendrik uit 2002. Het aanscherpen van de kabinetsplannen t.a.v. open standaarden en open source software zoals neergelegd in het actieplan NOiV heeft daarbij geleid tot een externe audit op en aanpassing van de aanbestedingsdocumenten. Een aantal van de belangrijkste aanbevelingen van deze externe audit werd door de auteur van de brief zonder argumentatie naast zich neergelegd (memo van Dhr Ten Cate aangaande het contra-expertise rapport – niet nodig om LDAP te eisen als directory protocol). Deze eis is inmiddels toegevoegd na druk vanuit de kamer. Dit is ondanks het werk van het GOUD-team niet dankzij.
Beheersbare en betaalbare ICT projecten: door het aanbrengen van een knip tussen de voorkant (de GOUD werkplek) en de achterkant (de centrale systemen bij de deelnemende departementen) wordt een ‘big bang’ voorkomen. Ook het in eerste instantie beperken van het project tot de werkplekken van 7 departementen zorgt voor een goede beheersbaarheid van het hele traject.
Men roept dan men geen big bangs wil en gaat vervolgens de vernieuwing van 3000 werkplekken bij Min.Fin (op zich al complex genoeg) uitbreiden met 18.000 desktops op een dozijn andere rijksinstellingen. Vervolgens wordt de ontstane complexiteit als argument in gezet waarom men zich niet aan allerlei eerdere afspraken kan houden. Ondertussen is nooit uitgelegd waarom een IT probleem van Min.Fin moet uitgroeien tot een monstermigratie met 1300 applicaties. De hele GOUD aanbesteding staat bol van dit soort logica. Eerst wordt er gesteld dat er iets nieuws moet, dat wordt dan heel groot en complex gemaakt zonder duidelijke reden. Vervolgens wordt de complexiteit misbruikt als argument om relevant beleid te negeren. Al in december 2004 (na de vorige ‘aanbesteding’) heeft het toenmalige kabinet aangegeven dat de hoge bestaande afhankelijkheid van met name Microsoft een probleem was en dat open standaarden een belangrijk deel van de oplossing waren. Vraag is dus waarom in 2008 het parlement weer eerst met moties en spoeddebatten moet komen om te krijgen waar ze in 2002 al unaniem om gevraagd heeft en waar het kabinet in 2004 zelf al van had aangegeven dat het de richtgevend zou moeten zijn voor toekomstige aanbestedingen. De indruk ontstaat ook hier weer dat de verantwoordelijke ambtenaren hetzij onwetend zijn op dit gebied (en dus eigenlijk niet competent om een dergelijk traject tot een goed einde te brengen) of de mening van het parlement gewoon naast zich neer leggen en verder gaan met technisch hobbyisme. Wellicht zou het goed zijn via de WOB eens alle documentatie, vergader notities en mails rondom GOUD openbaar te maken zodat parlement en burgers zich kunnen vergewissen van de wijze waarop tussen 2006 en 2008 de aanbesteding tot stand is gekomen.
Continuïteit huidige dienstverlening: door de centrale applicaties die momenteel binnen de departementen in gebruik zijn en die niet in de GOUD aanbesteding meedoen, als randvoorwaarde in het project mee te nemen wordt ervoor gezorgd dat de dienstverlening van de departementen niet in gevaar komt. Ook wordt er in dit kader voor gezorgd dat de plm. 1300 applicaties die momenteel op de werkplekken van de deelnemende departementen draaien, gebruikt kunnen blijven worden. Hierbij wordt wel geëist dat de nieuwe werkplek voorzien wordt van koppelvlakken die het mogelijk maken om op het moment dat deze centrale systemen gemoderniseerd of vervangen worden, deze wel via open standaarden te koppelen zijn.
Toen de Goudse verzekeringen recentelijk ging overstappen naar Vista (de logische kandidaat als het GOUD-team van mening is dat Windows XP ‘te oud is om op nieuwe hardware te installeren’) bleek dat 10% van hun bestaande applicaties niet en 30% slechts met moeite werkend te krijgen was op dit systeem. Vertaald naar dit project zou dat gaan over 520 applicaties. Is er rekening gehouden met de kosten en tijdsbesteding van het werkend krijgen of opnieuw bouwen/aanschaffen van een dergelijke applicatie set? Wat is de impact hiervan op de eerder genoemde business-case voor het hele project?
Opmaat voor Rijkswerkplek 2.0: door de flexibiliteit die in GOUD 1.0 ingebouwd wordt, onder andere door inzet van software virtualisatie en centrale beheermogelijkheden, is deze werkplek een goede opmaat naar Rijkswerkplek 2.0, die volledig aan Nederland Open in Verbinding zal voldoen.
Dan mogen we dus ook de garantie hebben dat de nieuw in te voeren systemen en applicaties niet in 2011/12/14 inzet worden van een argumentatie om niet geheel aan het actieplan te kunnen voldoen. Durft men dat te beloven of creëren we toch stiekem de volgende generatie ellende aan het bouwen zijn?
Als extra waarborg én als opvolging van de motie Vos (Vergaderjaar 2007/2008 26 643, nr. 115) zullen in het aanbestedingsdocument GOUD alle relevante open standaarden, daar waar dit nog niet het geval was, van wensen omgezet worden in eisen. Het gaat hierbij om de volgende open standaarden en hun toepassingen die door de door de leverancier aangeboden oplossing ondersteund moeten worden:
De standaarden lijst lijkt heel wat maar de meeste hier genoemde standaarden zijn zo elementair dat het noemen in de lijst vooral vulling is. HTTP en HTTPS zijn bijvoorbeeld de protocollen van een webbrowser. Eisen dat een webbrowser hier aan moet voldoen en dan trots roepen dat je iets met open standaarden doet is net zoiets als zeggen dat alle vier de wielen van de auto die je gaat kopen tegelijk dezelfde kant op moeten kunnen draaien. Technisch correct maar niet bepaald de cutting-edge op het gebied van technisch denken.
Communicatie dient te gebeuren op basis van IPv4 netwerkprotocollen. In het bijzonder dient ondersteund te worden:TCP en UDP HTTP, HTTPS, FTP, DNS, IMAP, NNTP, POP3, RTP, SIP, SMTP, SNTP, SNMP, SSH, SSL, TELNET Conclusie: Met het project GOUD beoogt het Kabinet meerdere doelstellingen te bereiken. Door rekening te houden met een aantal wezenlijke randvoorwaarden wordt naar onze mening optimaal voldaan aan eisen en wensen zoals in verschillende documenten (motie Vendrik, programma Vernieuwing Rijksdienst en het actieplan Nederland Open in Verbinding) tot uitdrukking worden gebracht.
Hier lijkt het alsof dat allemaal al goed geregeld was. Wederom: de huidige stand van zaken is echter tot stand gekomen ondanks de inzet van het GOUD-team, niet dankzij. Volledige openheid van zaken aangaande alle beslissingen en overleggen die hebben geleid tot GOUD in januari 2008 en voor het komende jaar lijkt toepasselijk. Het is duidelijk dat zonder intensief toezicht op detail niveau men er een potje van maakt (bewust of door gebrek aan kennis). Gezien het hoge vertrouwen dat uit de brief spreekt lijkt me het geen probleem als de rest van het project maximaal transparant wordt uitgevoerd zodat contra-expertise tijdig mogelijk is. In ieder geval dient na oplevering glashelder te worden wat nu de echte kosten en baten waren en hoe deze vergelijken met andere rijksinstellingen die deze overstap niet hebben gemaakt. Op korte termijn dient duidelijk te worden wat nu toch met ‘samenwerken’ wordt bedoelt want daar is het kennelijk allemaal om begonnen.
Met vriendelijke groet, Arjen Kamphuis
Het klinkt zo redelijk …
Mijn nieuwe Livre column, de waarheid ligt soms niet in het midden: ‘Laten we realistisch blijven’, ‘Het gaat niet om de techniek maar om de dienstverlening’, ‘In mei 2004 vroeg de Europese Unie aan Microsoft om de bestandsformaten open te maken’. Het klinkt allemaal zo redelijk. Zeker als je niet bekend bent met context en historie van boodschap en boodschappers.
Sinds september vorig jaar is er een constante stroom van berichten van zowel leveranciers als medewerkers van overheden en publieke instellingen, dat aangaande de open standaarden en open source ambities van het kabinet en het parlement het allemaal wel mee valt.
Kortom: De waarheid ligt in het midden, de soep wordt niet zo heet gegeten. Het valt allemaal wel mee met die veranderingen, zo wordt gezegd. Dat de leverancier, die door het nieuwe beleid het meest bedreigd wordt in zijn meest winstgevende producten, gekke sprongen maakt is niet zo vreemd. Problematischer wordt het echter als overheidsdienaren (die het beleid moeten uitdragen en inhoud moeten geven) openlijk twijfelen aan nut en noodzaak van het afgesproken beleid.
Als de onwetendheid van veel bestuurders met de achterliggende redenen van het beleid gecombineerd wordt met de schijnbare redelijkheid van bovenstaande uitspraken, ontstaat precies het soort onzekerheid dat het beleid de nek omdraait voordat het ooit van de grond komt. Het blijft dan ook van groot belang de onderliggende motivaties achter het beleid (interoperabiliteit, leveranciersonafhankelijkheid, lokale kenniseconomie) te blijven uitleggen aan bestuurders en IT-managers.
Een goed voorbeeld van dat laatste was de uitspraak van beleidsambtenaar Tom Peelen van het ministerie van Economische Zaken over de visie van het kabinet op OOXML als standaard. Waar Microsoft ons graag wil doen geloven dat ISO-certificatie van OOXML de specificatie automatisch geschikt maakt voor gebruik binnen de Nederlandse overheid, maakte Peelen namens EZ glashelder dat het Nederlandse kabinet zich het recht voorbehoudt haar eigen beleid te blijven maken op basis van haar eigen beweegredenen. Ook moeten diegenen die als ambtenaren openlijk twijfelen aan het beleid, gevraagd worden om toe te lichten hoe zij de strategische doelen van kabinet en parlement dan zien.
Laat FUD-verspreiders (bewust of door onwetendheid) niet wegkomen met het soort technische-operationele dooddoeners die al jaren misbruikt worden om veranderingen tegen te houden. Opmerkelijk is bijvoorbeeld de recentelijke uitspraak van Nico Westpalm van Hoorn, die in een blad van Centric stelt dat "open source software ingebed zal worden in producten van partijen als Centric". Een paar dagen later lezen we dat de CEO van Getronics een Microsoft-tenzij beleid wil voeren en van mening is dat de discussie over de inzet van open source achterhaald is. Hij gaat hier echter geen moment in op de in vele moties, beleidsstukken en artikelen aangegeven redenen om open standaarden en open source te willen voor publieke instellingen. Wellicht dat iemand vanuit de overheid hem daar nog eens naar zou kunnen vragen.
Artikel Computer Idee
Voor het blad Computer Idee leverde Gendo een bijdrage aan een introducerend artikel over opensource. Wat heb je er aan als eenvoudige gebriuker die gewoon wil surfen, mailen en af en toe een spelletje speelt? Een heleboel. Het hele artikel van drie pagina’s staat hier: 1 2 3
