Elements Blog

Security en platform ontwikkeling voor overheden: de uitdagingen en aandachtspunten

Consumenten verwachten van organisaties een steeds verdergaande serviceverlening. De wens om on-demand en realtime zaken te regelen, komt voort uit het gemak dat zij ervaren via social media en consumentenmerken. Maar het is natuurlijk wel enorm belangrijk dat dit allemaal veilig gebeurt.

Ook overheden spelen in op die trend en maken steeds vaker gebruik van digitale platformen en apps om de communicatie met en informatievoorziening naar burgers te stroomlijnen. Daarnaast komen er natuurlijk ook steeds meer nieuwe regels als het gaat om bijvoorbeeld gegevensverwerking. Denk aan digitale portalen die mensen kunnen gebruiken voor het aanvragen van een vergunning, rijbewijs of reisdocument. Of aan een app die je helpt om inzicht te krijgen in de laatste peilingen in verkiezingstijd.

Een belangrijke bijkomstigheid van onze groeiende afhankelijkheid van digitale platformen en apps is de groeiende dreiging van cybercriminaliteit. Zeker voor overheidsinstellingen zijn app- en platformsecurity belangrijke aandachtspunten. Overheden werken vaak met privacygevoelige gegevens en hebben op het gebied van security natuurlijk een voorbeeldfunctie. Hoe zorg je er als overheidsorganisatie voor dat je aan de moderne digitale communicatie standaarden voldoet, zonder daarbij de privacy en security uit het oog te verliezen? Je leest het in dit artikel.

Digitale uitdagingen voor overheden

De overheid moet wel digitaliseren om de aansluiting te houden met de wensen, behoeften en belevingswereld van de moderne burger. Maar daar komen op het gebied van veiligheid en technologische inrichting wel een aantal grote uitdagingen bij kijken.

1. Wet- en regelgeving

Bij het ontwikkelen en gebruiken van digitale platformen en apps heb je te maken met wet- en regelgeving, zowel op het gebied van dataveiligheid als privacybescherming. En die is sinds de invoering van de AVG alleen maar strenger geworden. Deze ontwikkeling beperkt zich bovendien niet tot het nationale toneel, maar speelt ook op het gebied van Europese wetgeving. Overheden moeten veel van hun diensten tegenwoordig zonder onderscheid aan Europeanen over de grens kunnen leveren.

Een aantal belangrijke ontwikkelingen op Europese schaal zijn bijvoorbeeld:

  • De verwachte komst van een Europese digitale identiteit wallet voor alle EU-inwoners. Die moet de communicatie met overheden, waar dan ook in Europa, gaan ondersteunen en vergemakkelijken.
  • Een Europese blockchain-infrastructuur (EBSI) die zorgt voor nieuwe en krachtige initiatieven voor het uitwisselen en beschermen van gegevens, bijvoorbeeld via verifiable credentials.
  • GovTech. Hierbij gaat het om socio technologische oplossingen voor digitale interacties in de publieke sector. GovTech leidt idealiter tot een kruisbestuiving op kennisgebied tussen overheidsorganisaties, start-ups, IT-bedrijven en burgers. Een recent Brits onderzoek laat zien dat Nederland de kennis en potentie bezit om een leidende speler te worden op het gebied van GovTech.

“Zitten we dicht genoeg op Brussel?” is een vraag die overheden zich op het gebied van digitale transformatie en wet- en regelgeving meer dan ooit moeten stellen. Toekomstgericht werken in de digitale overheid vereist het dragen van een Europese bril.     

2. Het juiste beveiligingsniveau kiezen

Het beveiligingsniveau is afhankelijk van de toepassing en het doel van een platform of applicatie. Verzamelt het platform of de applicatie data over de gebruikers? Zo ja, over welke informatie gaat het dan? Waar sla je de verzamelde data op en wie heeft toegang tot de gegevens?

Op basis van deze vragen krijgt een platform of app een vereist beveiligingsniveau: basis, gemiddeld of hoog. Onder die laatste categorie vallen bijvoorbeeld gegevens als medische data en BSN-nummers. De digitale platforms en apps die overheden gebruiken, moeten meestal voldoen aan het hoogste beveiligingsniveau.

3. Legacy software, koppelingen en API’s

Overheidsorganisaties werken vaak nog met legacy systemen. Gegevens zijn verweven met de applicatie. Ieder systeem heeft zijn eigen database en kopieert data van en naar andere systemen. Zo ontstaat een wirwar aan koppelingen die het synchroniseren van data en applicaties belemmert. Binnen veel organisaties die al lang bestaan, is het applicatielandschap door de tijd heen op deze manier gegroeid. 

Het gevolg: systemen zijn vaak 'tegen elkaar aan geplakt'. Wat vroeger een hypermoderne applicatie was, is nu legacy. Wanneer je missiekritische data in deze verouderde systemen opslaat en legacy-oplossingen niet kunt uitfaseren, moeten medewerkers noodzakelijkerwijs met deze systemen blijven werken. De uitdaging is om dergelijke logge en verouderde systemen om te zetten in een geïntegreerd, door API’s aangestuurd IT-ecosysteem dat verschillende applicaties in staat stelt om met elkaar te ‘praten’. 

4. De moderne communicatie met burgers

De manier waarop overheden communiceren is, mede door innovaties binnen de informatietechnologie, ingrijpend veranderd. Contact verloopt steeds minder face to face, terwijl burgers verwachten dat voor hen belangrijke informatie altijd en overal online oproepbaar en inzichtelijk is. Platforms en portalen geven burgers ook steeds meer mogelijkheden om zaken zelf te regelen. 

Voor veel overheidsorganisaties betekent dit dat ze hun dienstverlening moeten herzien en hun communicatie- en informatielandschap op een andere manier in dienen te richten. Hier ligt een grote uitdaging voor de IT-afdelingen van overheden. IT teams kunnen deze diensten zelf niet ontwikkelen en moeten het werk bij digitale bureaus onderbrengen. Dit zorgt ervoor dat ze de controle op het digitale landschap van hun organisatie kunnen 'verliezen'. 

Toch is het wel belangrijk dat IT-managers niet alleen bezig zijn met systemen in de lucht houden, maar de rol van innovator aannemen en de schakel vormen tussen digitale bureaus die innovatieve oplossingen ontwikkelen en de overheidsinstelling waarvoor ze werken. Op deze manier verandert de IT-manager van interne leverancier (zorgen dat het werkt) in een regisseur die in de totale behoefte van de doelgroep (medewerkers van de overheden, eindgebruikers en de burgers) kan voorzien. Dit komt veelal in de rol van innovatiemanagers samen.

B2C-ervaring van de overheid

De moderne Homo digitalis is best verwend. Hij verwacht dat digitale platformen gebruiksvriendelijk, razendsnel en universeel toegankelijk zijn. Ook van de digitale overheid eist hij een gebruikerservaring die aansluit op de (hoge) b2c-standaard die hij gewend is van digitaal volwassen partijen als webshops, sociale media en commerciële platformen (de Bol.com, ING, Wehkamp, KPN’s deze wereld). 

Dit gaat verder dan alleen relatief simpele procedures als het aanvragen van een paspoort, maar raakt ook de informatievoorziening rondom complexe beleidsvelden als de energietransitie, infrastructuur, waterbeheer, defensie, slimme steden, justitie en veiligheid. Publiek en privaat kunnen elkaar prima helpen om deze vraagstukken op een veelzijdige en innovatieve manier aan te vliegen binnen de juiste veiligheidskaders.  

Apps en platforms: mobiel versus desktop

Een ander vraagstuk dat speelt is mobiel versus desktop. We doen steeds meer op onze mobiele telefoons, vooral ook omdat die bijna overal te gebruiken zijn. Onderzoek wijst uit dat de voorkeur voor een applicatie of platform vaak afhangt van het doel. Snel informatie opzoeken doen we tegenwoordig moeiteloos en bij voorkeur op een mobiele app, maar meer complexe online-procedures doorlopen we nog steeds liever op een computer, bijvoorbeeld omdat die een betere visuele gebruikerservaring levert.

No items found.

App- en platform security: wat komt hier allemaal bij kijken?

Maar wat moet je als overheidsorganisatie nu allemaal doen en regelen om veilige (mobiele) apps en platforms te ontwikkelen, zonder dat de gebruikerservaring hieronder lijdt? En wie is hier verantwoordelijk voor? Interne teams en applicatie leveranciers moeten goed samenwerken om zowel de gebruikerservaring als de veiligheid te waarborgen. De volgende elementen zijn essentiële pijlers voor een goede inrichting van apps en platforms op het gebied van security.

1. Security en privacy by design

Security en privacy by design zijn de eerste voorwaarden voor het veilig ontwikkelen van apps en platforms. Dit houdt in dat je tijdens het ontwerp van een nieuwe applicatie of een digitaal platform technisch en organisatorisch al rekening houdt met de beveiliging van persoonsgegevens. En dus niet dat je achteraf nog allerlei correcties moet uitvoeren om het gewenste of wettelijk vereiste veiligheidsniveau te bereiken. 

2. Databeveiliging en AVG

De AVG verplicht je om passende technische en organisatorische maatregelen te nemen op het gebied van databeveiliging. Zo moeten zowel leveranciers als eindgebruikers moderne technologie gebruiken om persoonsgegevens te beveiligen en de kans op datalekken zo klein mogelijk te houden. Denk bijvoorbeeld aan goede firewalls, regelmatige back-ups, multifactorauthenticatie, encryptie en actuele antivirussoftware. 

Op organisatorisch gebied moet je denken aan het aanstellen van een functionaris gegevensbescherming (FG), een goed systeem van rollen en rechten dat de toegang tot data regelt en een duidelijk framework met richtlijnen voor het verwerken en delen van persoonsgegevens.

3. Meegaan met Europese invloeden

Steeds meer overheidsorganisaties beginnen de toenemende Europese invloeden op het informatielandschap en de rol van Europa als aanjager van digitale transformatie te zien. Vaak ervaren ze zelf al de rechtstreekse impact van nieuwe Europese afspraken. Als overheidsorganisaties niet goed meestappen met deze ontwikkelingen, mist Nederland de internationale aansluiting. 

Het is bijvoorbeeld het overwegen waard om nieuwe Europese bouwblokken (eiDAS, het GDI-stelsel) als uitgangspunt mee te nemen bij het (her)ontwerpen van een nieuwe informatie architectuur. Ook het aangaan van slimme samenwerkingen en coalities over overheidssectoren heen kan helpen om Europese invloeden te incorporeren in je digitale transformatiestrategie.  

4. Kwaliteitscontrole

Het laatste centrale element rondom de security van een digitaal platform of een applicatie is de kwaliteitscontrole. Die begint in de ontwerpfase met het in kaart brengen van mogelijke veiligheidsrisico’s (bijvoorbeeld de communicatie tussen systemen of het transport van data tussen databases en gebruikers) en het beperken van het aanvals oppervlak.

Vervolgens kun je gebruikmaken van drie soorten kwaliteitscontrole:

  • Geautomatiseerde controle in een CI-omgeving. Met software scan je een platform of applicatie op veelgemaakte fouten, onnodige complexiteit, potentiële beveiligingslekken en het gebruik van andere (kwetsbare) software.
  • Code reviews. Accepteert de automatische controle het veiligheidsniveau van een platform of applicatie? Laat er dan nog een extra developer naar kijken. Die kan vaststellen of de code geen fouten bevat en volgens beproefde kwaliteitsstandaarden en best practices is gemaakt.
  • Audits. Een externe audit is de laatste stap in het proces van platform- en appsecurity. Die controle laat zien of alles goed is gedocumenteerd en de oplossing voldoet aan de noodzakelijke veiligheidsvoorwaarden.
No items found.

Zo helpt Elements

Elements heeft veel ervaring met het ontwikkelen van digitale oplossingen voor publieke toepassingen voor gemeentes en overheden. Wij weten precies met welke uitdagingen deze organisaties te maken hebben, zowel op het gebied van applicatieontwikkeling, security en compliance. Onze werkwijze is erop gericht om vanaf stap 1 in het proces op gestructureerde manier security maatregelen in te bouwen en dit te documenteren binnen onze projecten. Vanuit de klantvraag, de functionele wens, ontwikkelen we een risicoclassificatie  matrix.

Zo ontwikkelden we de door verschillende gemeenten gebruikte StembureauApp. Die is geschikt voor iPads, Android-tablets en meerdere platformen. De app helpt stembureauleden tijdens verkiezingen in Nederland. Door het scannen van een QR-code registreert en controleert de app stemmen direct. Zo krijgt de telling een hogere kwaliteit en kun je de resultaten sneller publiceren.

Een ander Elements-project is het Meldpunt Openbare Ruimte dat we maakten voor de gemeente Amsterdam. Via https://meldingen.amsterdam.nl , het telefoonnummer 14 020 en externe apps kunnen burgers meldingen maken van zaken aangaande de openbare ruimte. Al deze meldingen komen samen in één systeem. Samen met de juiste informatie worden ze doorgestuurd naar één van de 25 afdelingen voor een snelle afhandeling van de meldingen. Burgers kunnen hun persoonlijke gegevens achterlaten om op de hoogte te blijven van de afhandeling van hun melding. De gegevens komen in een database en worden vanuit veiligheidsoogpunt na 365 dagen geanonimiseerd. 

Meer weten?

Ben je een overheidsinstantie die meer wil halen uit de kracht van applicaties en digitale platformen? En wil je dat op een veilige manier doen die ook nog eens aansluit op Europese initiatieven en regels? Dan helpt Elements je graag verder. Elements ontwikkelt en bouwt digitale platforms en mobiele apps altijd volgens de laatste securitystandaarden. Wil je meer weten over de mogelijkheden of ben je op zoek naar een deskundig advies? Neem dan gerust vrijblijvend contact met ons op.

This blog was written by

sjors

on

Jun 22, 2022

Software Development