Succesvol sturen op kwaliteit

Publicatie 17 jan 2020
Onderdeel van magazine: ICTU Magazine februari 2020

Het biometrieproject ‘Realisatie van een nieuw Biometriesysteem voor de Migratieketen’ van het ministerie van Justitie en Veiligheid won onlangs de Computable Award voor beste IT-overheidsproject. Het project werd binnen tijd en budget afgerond, mede dankzij de kwaliteitsaanpak van ICTU, die de kernsoftware ontwikkelde.

Justitie gebruikt vingerafdrukken als biometrisch gegeven om een identiteit vast te stellen. Het systeem dat in de migratieketen werd gebruikt om deze vingerafdrukken op te slaan, te zoeken en te vergelijken, was aan vervanging toe. Daarom startte het ministerie in 2016 een project voor de ontwikkeling van een nieuw systeem. Na een succesvolle aanbesteding realiseerden vier partijen de nieuwe voorziening: de Directie Regie Migratie van het ministerie van Justitie en Veiligheid als opdrachtgever, het Franse bedrijf IDEMIA als leverancier van de matchingtechnologie voor vingerafdrukken, de Dienst ICT van de Nationale Politie voor de integratie en het beheer van het systeem en ICTU als bouwer van het ‘motorblok’, de kernsoftware van het nieuwe biometriesysteem.

Van Blankenstein, Buuron en Bujar (fotografie Studio Oostrum)

In oktober 2018 ging het systeem in productie, volgens planning en budget. Dat is niet vanzelfsprekend bij dit soort complexe IT-projecten. Het systeem doet wat het moet doen, zegt Jean-Pierre Buuron, projectmanager Realisatie nieuwe biometrievoorziening bij het ministerie: “Sinds het in productie nemen van de software hebben we er nul problemen mee gehad.” De mensen die daar tot nu toe direct zichtbaar het meeste aan hebben, zijn asielzoekers die zich elke week in de opvangcentra biometrisch moeten melden via dit nieuwe systeem. Het gaat om 11.000 meldingen per week, op 60 locaties, vertelt Jan Heim van Blankenstein, adviseur biometrie en identiteitsvaststelling bij de Directie Regie Vreemdelingenketen van het ministerie. Hij was product owner van het project: “Het afnemen van de vingerafdruk duurde lang en moest in 30 procent van de gevallen opnieuw, omdat het systeem moeite had om de match te vinden met de opgeslagen vingerafdruk. Dat leverde lange rijen wachtenden op. Het nieuwe systeem is veel sneller, het checken van een vingerafdruk en het matchen kost gemiddeld 15 seconden. En nu hoeft het nog maar in 7 procent van de gevallen opnieuw.”

Transparantie

Het nieuwe systeem voldoet aan de eisen van een nieuwe architectuur, die het ministerie opstelde voor alle door hen gebruikte biometriesystemen. Elke organisatie (die biometrie gebruikt) van het ministerie gebruikt nu nog zijn eigen systeem. De migratieketen was het eerste toe aan vervanging. Als andere organisatieonderdelen daar aan toe zijn sluiten hun nieuwe systemen ook aan op het door ICTU ontwikkelde ‘motorblok’. Buuron: “Traditioneel gezien leveren marktpartijen van biometriesystemen alles. Wij hebben bewust gekozen voor een andere aanpak en de markt gevraagd om alleen hun gespecialiseerde software te leveren. Dat is de matchingssoftware voor vingerafdrukken. De kernsoftware hebben we door ICTU laten ontwikkelen, met open source technologie. Dit betekent onder meer dat we wijzigingen zelf of door ICTU kunnen laten uitvoeren en dat maakt ons minder afhankelijk van een marktpartij.” Het betekent ook dat Justitie transparant kan zijn over de opgeslagen data en gebruikte algoritmes, vult Van Blankenstein aan: “Alle data zijn opgeslagen in het motorblok en wij zijn in control over de kwaliteit van deze data. We kunnen aantonen hoe deze data worden bewaard en wat wij ermee doen. Dat is in een tijd waarin de overheid steeds meer wordt aangesproken op transparantie, heel belangrijk.”

Volwassen opdrachtgeverschap

Ila Bujar was vanuit ICTU-projectleider voor de bouw van het motorblok. Ze noemt het project om meerdere redenen bijzonder: “Het project was succesvol mede door de volwassenheid van het opdrachtgeverschap. De opdrachtgevers wisten qua techniek goed wat ze wilden, hadden aandacht voor projecthygiëne en besturing en begrepen dat samenwerken draait om mensen.” Ook Van Blankenstein en Buuron noemen dit als succesfactoren. Buuron: “We hebben vanaf het begin afspraken gemaakt wie waarvan was en ons gedurende het project aan die rolverdeling gehouden.” De escalatielijnen waren van het begin af aan duidelijk en in de stuurgroep werd alleen besproken wat daar aan tafel hoorde, zegt hij. Er werd gezocht naar de beste mensen voor het team en de partij die het systeem zou gaan beheren, de Dienst ICT van de Nationale Politie, was vanaf het begin bij de softwareontwikkeling betrokken. Voor het project werkten verschillende partijen samen en dat is al snel complex. Bujar: “Daarom is het zo belangrijk dat je elkaar goed leert kennen, zodat je weet wat je aan elkaar hebt. We hebben aan het begin van het project een sessie gehouden met alle deelnemers, van alle betrokken organisaties. Dat levert veel meer op dan alleen een feestje geven omdat het project is afgerond. Daardoor kenden we elkaar en hadden we vaak aan een paar woorden genoeg om elkaar te begrijpen.”

Kwaliteitsaanpak

Bepalend voor het succes was een sterke inzet op kwaliteit. ICTU werkt voor maatwerksoftwareontwikkeling met een kwaliteitsaanpak. Die aanpak vormde een van de startpunten voor een Nederlandse Praktijkrichtlijn die onlangs beschikbaar kwam (zie onderaan deze pagina meer informatie over deze kwaliteitsaanpak). Frank Niessink is kwaliteitsmanager bij ICTU en vanuit die functie betrokken bij het biometrieproject. Van Blankenstein: “Hij zorgde ervoor dat we voortdurend inzicht hadden in de kwaliteit van de ontwikkelde software.” Dat inzicht wordt in dashboards gegeven, op een voor een opdrachtgever heel overzichtelijke manier.

Frank Niessink (fotografie Studio Oostrum)

Frank Niessink vertelt wat er zoal wordt gemeten: “Er bestaan veel verschillende tools en processen waarmee je de kwaliteit van ontwikkelde software kunt meten. Wij hebben daar een laag bovenop gezet, dat is ons kwaliteitssysteem. In dashboards zie je daar wat er goed en niet goed gaat. Bijvoorbeeld welke onderdelen van de software zijn getest en waar er nog beveiligingsrisico’s zijn. En de hoeveelheid gedupliceerde code. Je wilt duplicatie beperken, omdat de programmacode daarmee groter en foutgevoeliger wordt. Als je code kopieert om snel een nieuwe functie te maken en er blijkt later een fout in te staan, dan moet je dat op alle plekken waar je deze code hebt gebruikt herstellen.” De aanpak van ICTU gaat over meer dan het controleren van de ontwikkelde software, vertelt Bujar: “Van groot belang is ook communicatie en de samenstelling van het projectteam. Een belangrijk onderdeel is de afstemming die we in de voorfase met een opdrachtgever hebben. We stellen samen een reeks documenten op met de globale contouren en uitgangspunten van de te ontwikkelen voorziening. Dat geeft richting aan de agile manier van werken die we voor ontwikkelprojecten gebruiken.” Van Blankenstein: “Het is deze combinatie van state-of-the-art technologie en organisatiekunde, het menselijke aspect, die deze kwaliteitsaanpak bijzonder maakt. Voor ons als opdrachtgever was het een heel prettige manier van werken.”

Tips voor bestuurders

“Dat ICTU dit kwaliteitssysteem gebruikt, was voor ons een belangrijke reden om met ICTU in zee te gaan. Onze bestuurders hechten veel waarde aan kwaliteit en wat er uit de dashboards kwam heeft ons geholpen om hun te laten zien welke kwaliteit er werd gerealiseerd”, zegt Buuron. Van Blankenstein: “Mijn belangrijkste boodschap aan bestuurders is dat IT-projecten niet meer mislukken door de techniek. Ze kunnen wél mislukken doordat zaken aan de organisatorische en menskant niet goed geregeld zijn. Een goede voorbereiding, goed weten wat je wilt, een duidelijke rolverdeling en het investeren in de beste mensen in het team: dat is allemaal cruciaal.” Al deze factoren zijn opgenomen in de praktijkrichtlijn. Niessink: “Daarin staan tien veelvoorkomende risico’s bij de ontwikkeling van maatwerksoftware met zeventien maatregelen om deze risico’s te beperken. Deze richtlijn kun je als opdrachtgever goed gebruiken als startpunt.” Van Blankenstein concludeert: “Dat is hard werken aan het begin, maar die tijd verdien je tijdens het project ruimschoots terug.”

Over de Kwaliteitsaanpak ICTU Softwarerealisatie en de Praktijkrichtlijn

Met verregaande digitalisering wordt goede en betrouwbare software belangrijker. Ook binnen de overheid. Projecten waarin (maatwerk) software wordt ontwikkeld of onderhouden kampen echter nog vaak met vertraging, budgetoverschrijding of een eindresultaat met te lage kwaliteit. Dat komt mede doordat de risico’s die inherent zijn aan softwareontwikkeling nog onvoldoende worden erkend en gemitigeerd. Terwijl er voor veel risico’s passende maatregelen zijn.
ICTU werkt sinds 2010 met de agile software ontwikkelaanpak Scrum en heeft deze aanpak aangevuld en uitgebreid om die risico’s zoveel mogelijk te verminderen. Met deze kwaliteitsaanpak heeft ICTU samen met andere overheden tientallen projecten succesvol uitgevoerd. ICTU wil deze aanpak aanvullen met de ervaringen van andere organisaties, overdraagbaar maken en breder uitdragen. Daarom heeft ICTU deze kwaliteitsaanpak ter beschikking gesteld aan partijen en overheden die zelf maatwerksoftware ontwikkelen of dit laten doen.
ICTU zet zich in om in algemene zin softwareontwikkeling binnen de overheid naar een hoger plan te brengen. Dat past bij de maatschappelijke doelstelling: werken aan een betere digitale overheid. Daaruit ontstond ook het idee om de interne kwaliteitsaanpak als startpunt te gebruiken voor een standaard. Met dit idee is het NEN (Nederlands Normalisatie-instituut) benaderd en is een werkgroep opgezet, met naast ICTU ook experts van KPMG Advisory, Centric, SDB, Software Improvement Group en Philips.

Praktijkrichtlijn

ICTU heeft samen met NEN en andere organisaties aan deze nieuwe Nederlandse Praktijkrichtlijn (NPR) gewerkt, met de kwaliteitsaanpak als basis. De praktijkrichtlijn ‘Risico-gebaseerde kwaliteitsborging voor maatwerksoftwareontwikkeling en -onderhoud’ kwam in november 2019 beschikbaar. Doel is om voor een aantal bekende risico’s van softwareontwikkeling praktisch toepasbare beheersmaatregelen te beschrijven. Maatregelen die toepasbaar zijn voor alle organisaties die aan maatwerksoftwareontwikkeling en -onderhoud doen.

De NPR 5326 geldt voor de gehele levenscyclus: vanaf het specificeren en ontwikkelen van op maat gemaakte software tot en met het beheren, onderhouden en vervangen. De praktijkrichtlijn is zowel interessant voor opdrachtgevers en opdrachtnemers van softwareontwikkeling als voor eindgebruikers en beheerders. Meer informatie? Kijk op ictu.nl/kwaliteitsaanpak.

NEN

NEN (Stichting Koninklijk Nederlands Normalisatie Instituut) faciliteert het proces om te komen tot afspraken. Deze afspraken worden gemaakt tussen verschillende partijen over een product, proces, dienst of systeem. De afspraken worden vaak vastgelegd in nationale of internationale normen. Naast normen zijn er andere vormen van afspraken, zoals de Nederlandse Praktijkrichtlijn (NPR).
Inge Piek, die vanuit NEN dit proces heeft begeleid: “Experts kennen door hun ervaring veel van de risico’s bij de ontwikkeling van maatwerksoftware, en kennen ook passende maatregelen tegen die risico’s. Het mooie van dit project is dat die kennis en kunde in deze praktijkrichtlijn terecht is gekomen. NPR 5326 is daarmee een informatieve en concrete richtlijn, en voor zowel opdrachtgevers als opdrachtnemers relevant.”

Informatiebijeenkomst 17 januari bij ICTU en overzicht risico's en maatregelen

Op 17 januari vond een informatiebijeenkomst plaats bij ICTU over de Praktijkrichtlijn die samen met NEN werd georganiseerd. Tijdens de bijeenkomst werd door ICTU een handig overzicht op A3 van de risico's en maatregelen uit de Praktijkrichtlijn beschikbaar gesteld.

Dit artikel verscheen in het iBestuur Magazine #33 van medio januari 2020.

Inschrijven Magazine

Meld u aan voor het ICTU Magazine, en ontvang regelmatig nieuws en inspiratie over ontwikkelingen in de digitale overheid.