Terugblik ECP Jaarfestival 2020

25 nov 2020

In gesprek over veilig e-mailen. Want mensen denken lang niet altijd na over waar hun informatie heen gaat, zodra ze op ‘verzenden’ drukken. Klik op onderstaand onderschrift om terug te kijken.

Cybercriminelen worden helaas steeds slimmer, schade als gevolg van cyberaanvallen is het afgelopen jaar met 50% gestegen. Tegelijkertijd worden er enorm veel e-mails gestuurd in Nederland, zowel zakelijk als privé. In 2019 verstuurden we 19,6 miljard e-mails. Hoe kunnen leveranciers en gebruikers er samen voor zorgen dat die allemaal veilig aankomen?

Veilig e-mailen kan alleen als iedereen meedoet

Donderdag 19 november ging Larissa Zegveld (voorzitter Forum Standaardisatie) in gesprek met Alida van Kempen (DDMA), Anco Scholte ter Horst (Freedom Internet) en Gerben Klein Baltink (voorzitter Platform Internetstandaarden en Veilige E-mail Coalitie). E-mail wordt niet verdrongen door WhatsApp, zoals werd verwacht. We gebruiken het nog steeds en zijn als burgers vooral bezig met dat alles goed werkt, niet of onze berichten veilig worden verstuurd.

Gouden bergen

Scholte ter Horst geeft een voorbeeld. Als een collega vraagt om een bepaald dossier, denken we er vaak nauwelijks bij na en sturen het gewoon op. Terwijl daar gevoelige informatie in zou kunnen staan. Verzending en ontvangst is onveilig als je niet de juiste maatregelen neemt.

Of je e-mailadres en provider veilig is, valt te testen via emailveilig.internet.nl. ‘En 100% halen op die test is mogelijk,’ zegt Scholte ter Horst. ‘Als je daar ambitieus in bent.’ Klein Baltink vult aan: ‘Als je de juiste standaarden geïmplementeerd hebt. De gebruiker ziet alleen de voorkant. De leverancier moet de techniek bijhouden.’

Phishing gebeurde vroeger al via de brievenbus

Ook voor Van Kempen is veilig internet een kwestie van continu blijven opletten en bijwerken. ‘Het is grappig dat tijdens dit gesprek de Nigerian prince, een veelgebruikte phishing truc, op tafel kwam,’ zegt ze. ‘Vroeger schreven boeven ook al brieven uit de gevangenis om mensen te overtuigen borg te betalen en waarin ze gouden bergen te beloofden. Toen ging het via de brievenbus. Het is niet nieuw, we moeten ons alleen steeds aanpassen.’

Het is wel belangrijk dat iedereen daaraan meedoet, zegt Scholte ter Horst. ‘Soms moet ik als leverancier een stuk veiligheid laten vallen, omdat anders berichten zo goed versleuteld zijn dat ze op veel plekken niet aankomen.’ Daarom is dit een kwestie die iedereen in Nederland zou moeten oppakken.

Workshop

Geen website is uniek en daarom moeten we meer van elkaar leren en lenen; elke website is anders, is van een andere organisatie en dient een ander doel. En toch zijn ze hetzelfde. Elke website bestaat uit inhoud, techniek en vormgeving. Die zijn anders ingericht per website, maar de onderdelen waar het uit bestaat of de richtlijnen die gevolgd worden zijn hetzelfde. Klik op het onderschrift voor de complete workshop.

Om te illustreren wat we vandaag gaan doen, laat spreker Victor Zuydweg zijn vrije-tijd-project zien: het verzamelen van ‘verstuur’-knoppen van contactformulieren op rijksoverheidswebsites. Als hij naar een website van de rijksoverheid gaat, vindt hij overal verschillende: oranje, blauwe, grote, kleine, vierkante, ronde.

En dat is gek, zegt hij, want de rijksoverheid is - in ieder geval in de ogen van de gebruiker - toch één organisatie. Begin dit jaar is Gebruiker Centraal, waar Zuydweg adviseur is, gestart met de ontwikkeling van een gezamenlijk design system voor de Nederlandse overheid: ‘NL design system’. Professionals van diverse overheidsorganisaties bundelen hun kennis en ontwikkelen een design system waarin ontwerpprincipes, interactiepatronen, componenten -zoals formulierelementen en knoppen- en code gedeeld worden.

Toegankelijkheid voor iedereen is het doel

Post-its

In de praktijk betekent dit dat alle overheidsinstellingen dezelfde bouwstenen gebruiken bij het bouwen van hun website. Vervolgens implementeren ze dat en gebruiken het ook voor het maken van bijvoorbeeld apps. Ze geven vervolgens feedback aan het NL design system.

En dat is handig, zodat mensen niet steeds opnieuw het wiel hoeven uit te vinden. Internationaal zijn er al meer van dit soort systemen in gebruik. Zo gebruikt de Britse overheid ‘Gov.Uk design systems’ en kent Italië ‘Designers Italia’. In Nederland zijn er ook al websites die draaien op de bouwstenen van NL design system, bijvoorbeeld die van de Dienst Uitvoering Onderwijs (DUO).

Vandaag is Zuydweg hier niet alleen om te vertellen over design systems, maar ook om feedback te vragen van mensen die daadwerkelijkheid bij de overheid werken. Hiervoor gebruikt hij Miro, een online platform waar iedereen zijn input op post-its kan schrijven en die op een bord kan plaatsen. Ze mogen die post-its vervolgens onderverdelen in ‘voorwaarden’, ‘risico’s’ en ‘kansen’.

Werkt ‘one size fits all’ wel?

Digiminderbeten

De wil om samen te werken is belangrijk, merken veel deelnemers op. Allebei de kanten op, want design systems moet zich ook conformeren aan het gebruiken van de feedback die ze terugkrijgen. De bouwstenen moeten beginnen bij de meest gebruikte website-onderdelen en aansluiten op alle softwaresystemen die de verschillende overheidsinstellingen gebruiken.

Kansen ziet iedereen ook. Zo noemt iemand dat, als websites die voortkomen uit het design system goed werken, er minder calls naar de helpdesk komen en de gebruikerstevredenheid omhoog gaat. Ook kan er door het feedbacksysteem goed worden nagedacht over toegankelijkheid voor ‘digiminderbeten’ en daardoor worden overheidswebsites als geheel meer toegankelijk. Ook gaan de kosten omlaag, want er is minder tijd nodig voor ontwerp en doorloop.

Onder het kopje ‘risico’s’ gaat het vooral over de individualiteit van de verschillende overheidsinstellingen. In de sessie zitten geen mensen van de verschillende gemeentes, maar het beeld leeft dat die graag wat meer individualiteit behouden. Ook wordt gevreesd voor de aansluiting op de bestaande systemen en of ‘one size fits all’ wel werkt voor de verschillende doelgroepen.

Aan het eind is het digitale bord een kleurrijke verzameling post-its. De 45 minuten zijn om voordat iedereen erover is uitgepraat, maar dat een design systeem als dit potentie heeft, daar zijn alle deelnemers het over eens.

Op weg naar een gestandaardiseerd domeinnaam voor alle overheidswebsites

Het Forum Standaardisatie ontstond vanuit de behoefte om het voldoen aan open (internet)standaarden als overheid meer gemeenschappelijk aan te pakken . In het kader van veiligheid, maar ook van efficiency en toegankelijkheid. Want waarom zou je het allemaal zelf uitvinden als je daar een standaard voor kan gebruiken? We gaan in gesprek met Larissa Zegveld, voorzitter van het Forum Standaardisatie, algemeen directeur bij Wigo4it én een vrouw met een missie.
Maar wat doet het Forum nu eigenlijk precies? “Nou, we doen een heleboel,” zegt Zegveld lachend, “maar een goed voorbeeld van wat we hebben ontwikkeld is de ’Pas toe en leg uit’-lijst: een lijst die zorgt dat de afspraken die we maken omtrent internetstandaarden ook navolging krijgen. Want het is fijn als we afspraken hebben, maar dan moet ook wel iedereen zich eraan houden. Alle partijen passen de open standaarden toe óf leggen uit waarom ze dat niet kunnen of willen. Want als partijen een goede reden hebben om iets niet toe te passen, dan leren wij weer hoe we die standaarden nog verder kunnen professionaliseren.”

Systematisch

Dat gaat al heel erg goed, maar volgens Zegveld is er nog een hoop te winnen op gebied van de overheid: “Bijvoorbeeld in ons dienstverleningsaanbod naar burgers en bedrijven toe. Vanuit de overheid wordt de burger nog vrij systemisch benaderd en wordt er niet uitgegaan van, zoals ik het vaak noem, de leefwereld van mensen. Iedereen heeft in het dagelijks leven af en toe te maken met de overheid. En de manier waarop wij onze dienstverlening via de digitale weg aanbieden is nog altijd vanuit óns eigen werkproces gedacht. Hoe het voor de overheid zo efficiënt mogelijk  is en vooral ook verantwoording technisch allemaal klopt. Dat betekent bijvoorbeeld dat wij nog steeds zaken uitvragen, die bij de overheid al bekend zijn.”

Echt of nep?

Het betekent ook dat als je kijkt naar de websites van de overheid, deze helemaal niet eenduidig er uitzien. Het bereiken van een eenduidig beeld is volgens Zegveld een belangrijke horde die genomen moet worden: “Er is door het veranderprogramma Gebruiker Centraal, bijvoorbeeld geconstateerd dat het knopje 'verstuur' of 'verzenden' in alle websites van de overheid enorm verschilt. En dan kun je zeggen: nou, is dat nou zo belangrijk? Maar als jij voor het eerst op een website komt van een overheidsorganisatie en je moet wéér zoeken naar hoe het daar werkt, dan is dat best wel lastig. Dit zijn eigenlijk nog maar praktische voorbeelden, maar het belangrijkste probleem is – en daar maken we ons echt zorgen om - dat er organisaties zijn die gebruik of misbruik van de burger maken door in ‘look & feel’ als overheidswebsite over te komen.” Zegveld haalt een voorbeeld aan, waarin websites, die erg veel lijken op die van het RDW, aanbieden om een tenaamstelling van een kenteken aan te vragen à raison de twintig euro, terwijl je op de overheidswebsite hetzelfde voor maar één euro kunt doen: “Mensen worden de dupe van het feit dat zij niet direct herkennen dat die website niet van de overheid is. Daar wil ik op het congres expliciet voor pleiten: dat wij als overheid één herkenbare domeinnaam of extensie gaan hanteren. We hebben hier al heel veel onderzoek naar gedaan en het zou heel erg helpen dat als in onze extensie van domeinnaam, bijvoorbeeld GOV.nl of overheid.nl staat. Daar kunnen we echt nog meters maken en dat doen we momenteel niet.”

Opruimen

Hoe pak je zo’n verandering dan aan? Waar moet je beginnen? “We zouden de afspraak moeten maken dat we bij elke nieuwe overheidswebsite de URL conformeren naar een gestandaardiseerde domeinnaam. Ik merk bij overheidscampagnes dat communicatieafdelingen graag een afwijkende websitenaam bedenken, wat voor die campagne dan misschien even heel erg handzaam is en ook het bereik oplevert wat nodig is, maar uiteindelijk vooral bijdraagt aan de verwarring omtrent welke websites nu echt van de overheid zijn en welke niet.” Zoals we zeiden: Zegveld heeft een missie. “Laten we gewoon vanaf nu afspreken dat álle websites die live gaan, worden voorzien van een herkenbare domeinnaam. En vervolgens kunnen we kijken: wat doen we met alle bestaande websites en alle bestaande portalen, welke moeten we aanpassen en welke moeten we opruimen? Dat klinkt als heel veel werk, maar vergis je ook niet in hoeveel overheidsorganisaties nog steeds dode linken in de lucht hebben hangen.” Een win-win-situatie. Dus aan de slag!