Standaardisering appadvies. Overheid wat doe je nu?

Afgelopen week zag ik op twitter een post van het forum standaardisatie van de overheid. Ze hebben een ‘afwegingskader voor website en/of mobiele app’ gepubliceerd, een adviesdocument om overheidsorganen te assisteren bij de keuze voor mobiel en/of web.


Het document is hier te vinden: https://www.forumstandaardisatie.nl/fileadmin/os/publicaties/Handreiking_Web_of_App_FS_v101def.pdf

Het is tot stand gekomen in overleg met experts, zo werd op twitter gemeld. Kijk vooral even naar bijlage C (pagina 26) voor de lijst met ‘experts’. Het forum standaardisatie valt onder Logius, Logius is weer onderdeel van Binnenlandse Zaken.

Met Logius hadden we als Peperzaken eerder contact toen we een paar jaar geleden door DUO gevraagd werden mee te werken aan een studiefinanciering-uitbetaaldatum-app. Het is een praktijkcase, waarin het kennisgat van de overheid wordt genegeerd ten behoeve van profit (uren schrijven), die ik heden ten dage nog vaak aanhaal.

Mobiel DigiD
Destijds was één van de vereisten van DUO dat de app met mobiele DigiD authenticatie zou werken. Hierop hebben wij contact opgenomen met Logius om te achterhalen of en wanneer een mobiele DigiD variant beschikbaar zou komen.

Het is vreemd dat 7 jaar na de introductie van de smartphone onze overheid nog steeds niet in staat is om haar belangrijkste authenticatie middel richting de burger te ontsluiten op een voor mobiel geoptimaliseerde manier.

Logius vertelde ons dat ze bezig waren met plannen om een mobiele variant van DigiD te maken. Het plan was om, indien er een beveiligde verbinding was, een groen slotje te tonen in de pagina. Wij vielen van onze stoel van verbazing, het is zo’n beetje het stomste wat je kunt doen. Iedereen kan een HTML pagina bouwen met een groen slotje erin. We waarschuwden Logius dit absoluut niet te implementeren. Ze schrokken ervan, gaven aan dat ze deze feedback nog niet eerder gehoord hadden in de vele brainstorm sessies welke reeds gevoerd waren. We hebben meermaals aangeboden langs te komen, mee te denken of zelfs mee te werken aan een veilige oplossing maar we kwamen er niet door, ze zaten vast in raamcontracten met grote ICT dienstverleners, die hadden exclusiviteit bedongen. Hoera voor de overheid en aanbestedingen. 

De richtlijnen
De nu uitgebrachte richtlijnen vinden wij tenenkrommend. Het is de overheid die voor de zoveelste keer het bedrijfsleven overslaat in de totstandkoming van een nieuwe norm. In de lijst met experts staat geen enkel web/mobiel/online bureau tussen. Opvallend als je meer aan de markt wil overlaten en meer de markt wil gebruiken, toch?

Punt voor punt een stukje feedback vanuit een bedrijf dat vanaf dag 1 in de AppConomy aanwezig is en daarmee vele honderdduizenden uren ontwikkelervaring heeft, met zowel native app development als webdevelopment.

Algemene noot: het stuk is op zijn zachtst gezegd suggestief te noemen, er wordt constant nadruk gelegd op de nadelen van native apps. Problemen met web of hybrid gebasseerde oplossingen worden niet benoemd of gebagatelliseerd.Na het hele document gelezen te hebben vragen wij ons zeer sterk af waarom de volgende argumenten niet belicht zijn.

Bron: https://www.forumstandaardisatie.nl/actueel/item/titel/web-of-app-wat-kies-je-als-overheid-wanneer/
  • Bij punt één van de infographic stelt de overheid dat een website functionaliteit gestandaardiseerd aanroept en daardoor meer platform onafhankelijk is dan een mobiele app. Updates van webbrowsers kunnen impact hebben op de werking van de site, een native app geeft minder risico op dit punt doordat er geen software van derden tussen zit.
  • Bij punt vier van de infographic wordt gezegd dat zowel een mobiele app als website goed beveiligd kunnen worden. Absoluut waar, maar de algehele veiligheid via een native app is volledig op maat in te richten, browsers zijn populaire targets voor hackers omdat het kraken van een browser een enorme groep slachtoffers oplevert. Denk aan de diginotar affaire. Een native app blijft meer under the radar en is extra te beveiligen door middel van, bijvoorbeeld SSL pinning. Tot slot is het ook nog beter te monitoren.
  • Data verbruik van native apps is lager, daarmee vriendelijker voor de consument. Ook de user experience is vele malen verder te optimaliseren, door data slim in te laden kun je het on the fly tonen in plaats van eerst de volledige pagina te moeten laden.
  • Punt twee van de infographic zegt dat het belangrijk is om ervoor te zorgen dat zowel websites als mobiele apps goed toegankelijk zijn, zodat iedereen er gebruik van kan maken. Als je native ontwikkeld heb je uiteraard verschillende platformen waarvoor je moet ontwikkelen (iOS, Android, Windows & blackberry). Het is te kort door de bocht om dan niet bij het webontwikkeling stuk te vermelden dat je daar ook voor verschillende dingen moet ontwikkelen, namelijk browsers: Safari, Chrome, Dolphin, Skyfire, Opera mobile etc. Gebruikers kunnen zelf hun browser van keuze instellen. Dit brengt naast compatibiliteit issues voor scherm optimalisatie ook aanzienlijke beveiligingsrisico’s met zich mee. Zeker bij de kleinere browsers waar minder of te weinig aandacht is voor de veiligheid van de browser.
  • Bij punt vijf van de infographic stelt de overheid dat het bijhouden van een website doorgaans minder beheer inspanning voor de overheid en voor de burger omvat. Beheer van een website is absoluut niet minder werk dan van een native app, wat je wint aan cross platform ontwikkeling via de HTML5 standaard raak je kwijt aan hardware+software specifieke combinaties. Ter illustratie, veel oudere Android toestellen draaien op browsers die nog niet of niet volledig HTML5 ondersteunen, als je aan de ene kant predikt dat je voordeel hebt als je web ontwikkeld wegens de beschikbaarheid voor iedereen, houdt er dan ook rekening mee dat je met web ook een grote groep, voornamelijk Android gebruikers uit sluit. De enige manier om dat op te lossen is voor iedere hardware+software combinatie apart te testen en in je website een uitzondering op te nemen. Zoals je vroeger in je HTML code uitzonderingen voor netscape meenam. Dit maakt je code onnodig zwaar en onoverzichtelijk, bovendien is het aantal hardware software combinaties zo groot dat het bijna niet valt af te dichten. Goedkoop = duurkoop.
  • In punt zes van de infographic is te lezen dat centrale authenticatievoorzieningen van de overheid oorspronkelijk zijn bedoeld voor gebruik in websites en (nog) niet altijd beschikbaar zijn voor mobiele apps. Mobiel DigiD hebben we hierboven ook al toegelicht, er bestaat een voor mobiel perfecte oplossing om mobiel DigiD native mogelijk te maken. De overheid zou een DigiD app moeten ontwikkelen die op basis van O-auth 3rd party apps kan authenticeren zonder dat er ooit persionalia bekend raken, idealiter wordt deze app pre installed meegeleverd door de vendors. 
  • Bij punt zeven van de infographic stelt de overheid dat de gebruikerservaring met een website en met een app niet hoeft te verschillen. De gebruikservaring tussen mobile web en een native app hoeft inderdaad niet te verschillen. Wees wel even zo eerlijk om erbij te vermelden dat het ‘smooth’ krijgen van de interactieve elementen via een webbrowser vele malen ingewikkelder is in bouw en onderhoud dan via een native app.
  • Voor online/offline gebruik danwel een slechte verbinding, is een native app altijd in het voordeel.  Maar niet vanwege de argumenten die genoemd worden bij punt acht in de infographic. Bij een haperende verbinding is een native app in het voordeel vanwege offline functionaliteit/caching waardoor alleen geoptimaliseerde datastreams ingeladen hoeven te worden. Bij web ligt dat anders, daar laad je de complete website in. HTML5 heeft echter een goede caching mogelijkheid waardoor in theorie overlast beperkter zou kunnen zijn dan nu geschetst in het document. Het implementeren van een goede caching structuur onder HTML 5 is wel meer werk/ingewikkelder dan via een native oplossing.
  • In punt negen van de infographic is te lezen dat content op een website doorgaans beter vindbaar en herbruikbaar is voor de eindgebruiker. Vindbaarheid/herbruikbaarheid is simpelweg onwaar. Zie een website, een tv, een mobiele telefoon, een pc of een laptop als outlets, het zijn in feite allemaal schermen die aangestuurd worden door content. Die content komt uit één unieke bron. Daardoor is het even herbruikbaar als via web. Wat er hierover geschreven wordt is niet helemaal juist. Naar onze visie zou je altijd focus moeten hebben op het bouwen van een goede backend en het creëren van ‘outlets’ zoals hierboven beschreven. Daarnaast moet je je afvragen of de "one size fits all" oplossing ook is waar je gebruikers/burgers op zitten te wachten. Een TV is geen telefoon, en een tablet geen PC. De usecases zijn zo anders dat een generieke oplossing vaak helemaal niet de beste oplossing is.


De veiligheid van een app vs. een website
Wat niet aan de orde komt is de veiligheid van een app vs. een website. Een website moet je handmatig openen, daarna moet je hem handmatig bookmarken als je hem niet iedere keer handmatig/opnieuw wil openen. Bij opnieuw openen zul je iedere keer het webadres moeten intoetsen, een typfoutje is snel gemaakt en de phishing websites liggen op de loer. Als men gewend is aan DigiD via een website is het aannemelijk dat men minder snel doorheeft dat men naar een identieke pagina, maar op een andere url zit te kijken. Dit geldt niet voor alle browsers. Chrome heeft app install banners. Meer dan een keer een site bezoeken binnen korte tijd zorgt voor de vraag: “zal ik voor je op home screen zetten?” Maar, met een native app is het slechts één goed opletten en wordt het klonen van een site stukken onaantrekkelijker gemaakt.

Ook zou een native overheids app de volledige telefoon/tablet kunnen scannen op ongeoorloofde apps, te denken valt aan nep DigiD apps. En datzelfde gebeurd ook al via de respectievelijke stores. Zowel bij indienen als periodiek.

Kortom, de huidige standaard is tot stand gekomen zonder expert knowledge uit de markt. Daarbij is de huidige standaard zeer gekleurd. Een professional leest overal tussen de regels door een zeer sterke voorkeur voor web oplossingen. Die vervolgens slecht beargumenteerd worden.

De overheid zet middels dit document hun autoriteit in om een onvolledig beeld in de discussie web vs. app als leidraad te pushen, de overheid zou er goed aan doen om dit document tijdelijk in te trekken en met marktpartijen tot een herziene versie te komen waarbij niet alleen vanuit een breder blikveld wordt gekeken naar het vraagstuk web vs. app maar ook naar hoofdstukken als techniek en sustainability. 

Geschreven door

lorem

Dirk-Jan Huizingh

CEO

Onze eigenwijze en doortastende reisleider DJ neemt relaties en collega’s mee op reis door de AppConomy. Alleen premium is goed genoeg voor onze relaties. Zijn werk is zijn hobby en zijn hobby zijn werk.

09 Oct 2015