Wel vaker trek ik de vergelijking tussen het schip Vasa en ICT projecten. De Vasa is het schip dat in 1628 op haar eerste vaart zonk terwijl het nog niet eens vertrokken was uit de haven van Stockholm. Het verhaal? Vertel ik je graag: Zinkend ten onder: De vergelijking tussen het Zweedse schip Vasa en de Corona-app.
De Vasa
Koning Gustaaf II Adolf gaf in het jaar 1625 opdracht om vier prachtige oorlogsschepen te bouwen. Dat vroeg hij aan de Nederlandse meesterscheepsbouwer Henrik Hybertsson. Één van de schepen, de Vasa, moest ingezet gaan worden in de oorlog tegen Polen, daarom moest het schip 64 kanonnen huisvesten. Veel meer dan welk Zweeds oorlogsschip destijds. De kanonnen moesten verdeeld worden over twee dekken. Iets dat ook niet eerder gedaan was. Het zou dus een van de belangrijkste schepen van het land worden. De driemaster was groot en kon tien zeilen voeren. Dat was enorm. Van top tot kiel werd 52 meter gemeten (lange tijd, na het zinken, heeft er nog een punt van een van de masten boven het water uitgestoken), de lengte van het schip mat 69 meter en hele schip woog 1200 ton. Aan boord zouden zo’n 400 mensen moeten leven. Imposant dus.
De koning wilde natuurlijk dat zo’n schip ook de aandacht kreeg die het verdiende en dus wilde hij dat het schip rijkelijk werd versierd. De spiegel (de achterzijde) van het schip werd daarom versierd met veel houtsnijwerk, beelden en prachtige tekeningen in bonte kleuren. Iets, waarvan later bleek, dat het te veel top-gewicht zou opleveren.
Koning Gustaaf wilde maar wat graag dat het schip zou gaan varen en dus voerde hij de druk op bij scheepsbouwer Hybertsson. Hybertsson werd echter ziek en overleed in 1627. Hybertsson had al in 1626 de opdracht overgedragen naar Hein Jacobsson.
Zinkend ten onder
De ontwerpen, de specificaties en de berekeningen voor het bouwen van zo’n schip bestonden in de 17de eeuw alleen in de hoofden van de scheepsbouwers. Er was nog geen juiste wetenschap of wiskunde over bijvoorbeeld de stabiliteit van een schip. Om dat te testen moest je dus een man of dertig over het dek van het schip heen en weer laten rennen om te zien of schip zou kapseizen. Gebeurde dat niet, dan was het schip waarschijnlijk zeewaardig.
In het geval van de Vasa bleek dat deze belangrijke test een maand voor de eerste tocht zou plaatsvinden werd uitgevoerd. Deze test werd echter vroegtijdig afgebroken omdat er gevreesd werd dat de Vasa zou kapseizen. Echter, de koning bleef brieven verzenden die de druk nog meer opvoerde om met spoed het schip af te bouwen zodat het ingezet kon worden tegen Polen. De scheepsbouwer beantwoordde de brieven niet altijd maar als hij het wel deed deelde hij mede dat er problemen konden ontstaan. De koning gaf daar geen gehoor aan.
De Vasa werd afgebouwd maar met zorgen. Op 10 augustus 1628 vaart de Vasa dan eindelijk de scheepswerf uit richting de havenmond. Het waait, de zeilen bollen en na nog geen 1300 meter slaat het noodlot toe. Documenten beschrijven dat een windvlaag het schip slagzij doet maken. Het kapseist bijna maar het herstelt zich. Een tweede windvlaag blaast het schip zo schuin dat het alsnog kapseist. De schutpoorten stromen vol met water en de Vasa zinkt. Van de 150 bemanningsleden die aan boord zijn verdrinken er ongeveer dertig tot vijftig.
Onderzoek
Natuurlijk werd er na het zinken van het schip een onderzoek gedaan. Wie was de schuldige? Waar was de zondebok? De koning, die nog altijd in Polen was zond in een brief dat de schuld te zoeken was in “onvoorzichtigheid en nalatigheid”. Kapitein Hansson die de ramp overleefde werd gevangen genomen. Hij moest toch wel weten wat er mis was gegaan? Waren de wapens wel beveiligd? Stonden ze vast? Ja, dat waren ze en ja ze stonden vast. Ook zijn bemanning was nuchter geweest en zeker niet dronken, stelde hij.
Bemanningsleden die aan boord waren geweest werden ook gehoord. Wat wisten zijn? Echter niemand kon een bevredigend antwoord geven op de vragen. Ook werd niet opgemerkt dat in de nacht voor de ramp nog snel wat ballast aan boord was gebracht. De bemanning was te angstig om dit te melden.
De scheepsbouwer Jacobsson werd ook ondervraagd. Hij gaf aan enkel de opdracht te hebben aangenomen van de al lang overleden Hybertsson. Tja, daar kon ook niets meer mee gedaan worden.
Koning Gustaaf had alle metingen (voor zo ver die gedaan waren) goedgekeurd en dus werd het schip zo gebouwd. Daar kon het niet aan liggen, toch?
Het schip was gebouwd onder grote druk. Met teveel vage specificaties en veel mensen die werkten aan hetzelfde schip. De testen waren niet goed en onduidelijk. Uiteindelijk bleek het schip topzwaar te zijn geweest. De vierenzestig kanonnen die verdeeld stonden over de twee dekken, de hoge spiegel die zwaar bleek en het ontbreken van goede ballast onderin het schip lieten het schip kapseizen op haar eerste reis.
De vergelijking met moderne technologie, ICT projecten en apps
Tijdsdruk, “druk van bovenaf” en haast waren funest voor de Vasa, naast ook de onduidelijke specificaties en het ontbreken van berekeningen. Iets dat ook in de huidige tijd te zien is bij het bouwen van bijvoorbeeld apps of het uitvoeren van ICT-projecten. Veel projecten falen door gebrek aan kennis, een te hoge tijdsdruk of te veel wensen vanuit verschillende hoeken zonder duidelijke specificaties vooraf.
Neem de Corona-app. Een app die moet helpen de verspreiding van het Corona-virus tegen te gaan. Ook nu kan de vergelijking getrokken worden met de Vasa. Op 7 april kondigde de Minister van Volksgezondheid aan dat het kabinet onderzoek deed naar de inzet van een tweetal apps. Deskundigen, experts uit het veld, onderzoekers en wetenschappers vroegen aandacht voor onder andere de veiligheid van de app en hoe er omgegaan zou worden met de privacy van de genoemde corona app.
Er waren nog geen specificaties bekend, maar verschillende media vroegen aan willekeurige mensen op straat of via enquêtes of zij de app zouden installeren. Zonder te weten wat zij dan zouden installeren, zei het merendeel dit te gaan doen. Er was geen duidelijkheid over hoe de app zou moeten werken, welke data er verzonden zou worden en hoe dat zou worden verwerkt. Maar nood breekt wet: liever geen Corona. Logisch wellicht, maar we moeten blijven nadenken.
Chaos – Zinkend ten onder
Deskundigen waarschuwde de minister: teveel haastwerk, geen specificaties, te chaotisch. En toch werden er zeven apps uitgekozen bij zeven verschillende bedrijven. Hoe? Nog altijd een raadsel. Maar ze waren er. Het is onduidelijk waarom andere apps af zijn gevallen. Er werd een appathon gehouden waar de zeven app-bouwers hun app en ideeën mochten presenteren. Een chaotische “show” die op sommige momenten aanvoelde als een soort “Voice of Holland”. Experts mochten vragen stellen, de app bekijken, zien hoe data verwerkt werd, ervaren hoe de veiligheid is, etc.
Hoe het met privacy zit, was bij veel apps niet duidelijk of het voldeed niet. Er werden dingen geroepen als: we koppelen een 06-nummer aan een uniek nummer voor iedere gebruiker. Dat is dus niet anoniem. Of op de vraag: Hoe veilig is deze app? Antwoord: Bijna niet te hacken. Oké. Het voelde exact aan als de Vasa: maak een schip, maak een app. Zorg dat het vaart, zorg dat mensen het gebruiken.
Geen van de apps bleek te voldoen. In alle apps zitten ontwerpfouten. Van beginnersfouten (passwords in de broncode, als die überhaupt al vrijgegeven is) tot datalekken. Geen privacy by design (vereist door de AVG), geen duidelijke antwoorden over hoe privacy gewaarborgd moet worden en onduidelijk wie er uiteindelijk inzage heeft in de data. Basale zaken die van tevoren duidelijk moet zijn. Wanneer tekeningen ontbreken sluipen er fouten in het uiteindelijke product. Je schip zinkt en je app wordt niet gebruikt. Zie het als schipbreuk lijden.
Het gaat hier om een app die de gegevens van miljoenen mensen bevat. Die data moet worden verwerkt en je wilt niet dat iemand anders daarbij kan. Hoe dat gewaarborgd wordt door de zeven app-bouwers is onduidelijk.
AVG
Ook wanneer een deskundige opmerkt dat de apps niet voldoen aan veiligheidseisen en de AVG wordt er door VWS geantwoord dat ze “het meenemen”. Bij de deskundigen zakt de moed soms in de schoenen.
Werkt de techniek? Veel van de apps maken gebruik van Bluetooth. Een verbinding die in theorie altijd hetzelfde zou moeten werken, maar dat in de praktijk niet doet. De ene telefoon zendt een sterker signaal uit dan het andere. Hoe wordt dat getackeld? Daarnaast zijn er nog veel meer technische onmogelijkheden die door de twee platformen, Apple en Google, waarop de app moet gaan draaien nog uitgezocht, gebouwd en uitgerold moeten worden. Zonder deze techniek is het praktisch niet haalbaar om de app überhaupt in te zetten.
Zonder de juiste specificaties, kritische vragen te stellen en daar dan ook echt iets mee doen (zoals luisteren naar de deskundigen en het volgen van de wet) zal een app zoals de Corona-app falen. De app mist vertrouwen en draagvlak. Juist door haastwerk en chaos. En als de app, om welke reden dan ook, toch het daglicht zal zien is het de vraag of deze app de juiste is.
Hoe het wel moet?
Duidelijkheid. Zekerheid. Een correct doel. Daar moet de app voor worden gebruikt en nergens ander voor. Het gebruik moet verbonden zijn aan het vereenvoudigen van het contactonderzoek. De verwerkte data moet enkel daarvoor gebruikt mogen worden en nergens ander voor. Dat moet kristalhelder zijn.
Wanneer een app zoals deze gegevens van miljoenen mensen moet gaan verwerken moet de ontwikkeling gebeuren onder toezicht van onafhankelijke deskundigen die weten waar ze over praten. Wanneer er dan een advies gegeven wordt, moet daar iets mee gedaan worden. Op zijn minst moet er naar geluisterd of naar gekeken worden. Het moet daarnaast beoordeeld kunnen worden door het publiek die de app moet gaan gebruiken. Voorwaarde is dus ook hier dat het helder is waarom, hoe en waarmee data wordt verwerkt. Houdt het dus transparant.
Hoe verwerk je data?
Wanneer je data verwerkt van zoveel mensen, mag het niet zo zijn dat de app de data lekt. En als dat toch gebeurt mag het niet te herleiden zijn naar individuen. Om die veiligheid te vergroten zou je data niet centraal maar decentraal moeten verwerken. Op de telefoon zelf. De data die verwerkt wordt moet het doel dienen en alleen die data die voor dat doel nodig is mag worden verwerkt. Andere data mag niet verwerkt worden. Dat wat je niet hebt kun je namelijk ook niet verliezen.
Als je wilt dat een app gebruikt wordt, moet het door iedereen gebruikt kunnen worden. Iedereen. Hoe ga je om met mensen die de taal niet spreken maar wel hier wonen? Kan de app aangepast worden voor mensen met een visuele beperking? En zo kunnen er nog meer vragen gesteld worden.
En als de dataverwerking voor dit doel, het bestrijden van het Corona-virus, niet meer nodig is dan moet de verwerking van data stoppen. Dat was het doel, de app heeft dat doel gediend en dan is het klaar. Er mag dus op geen enkele andere manier gebruikgemaakt worden van deze app. Nu niet en in de toekomst niet.
Maak gebruik van specificaties
Dit alles moet beschreven worden. De specificaties helder. Het doel voor ogen. Geen tijdsdruk, geen chaos. Duidelijk en transparant. Zonder tussen wal en schip te geraken. Enkel dan zal je app een behouden vaart hebben.
Ik geef graag lezingen over informatiebeveiliging en privacy. Meer weten? Neem gerust contact op.