Beleidskader 8: op weg naar webbased applicaties

Om de samenwerking tussen rijkskantoren en dienstverleners te vergroten is door CIO Rijk het programma Interoperabiliteitskaders Digitale Werkomgevingen & Rijkskantoren (IDWOR) in het leven geroepen. IDWOR stimuleert tijd-, plaats- en apparaatonafhankelijk werken. Met behulp van rijksbrede afspraken in opgestelde beleidskaders wordt dit in de praktijk gebracht.

Het achtste kader heet ‘Werkplekonafhankelijkheid van klantapplicaties’ en richt zich op de digitale werkomgeving. Maatwerk-applicaties (nieuw of aangepast) op fysieke apparaten, bijvoorbeeld laptops en smartphones, werken voortaan via de webbrowser (webbased) in plaats van een installatie op het besturingssysteem.

Het ontstaan van het beleidskader

Hoewel de eindverantwoordelijkheid van het kader bij CIO Rijk ligt, zullen de IT-dienstverleners van de Rijksoverheid – waaronder SSC-ICT – het kader uitdragen richting alle afnemers. Rein Hennen was als Enterprise Architect van SSC-ICT betrokken bij de ontwikkeling van het kader. Hij legt uit wat de aanleiding vormde voor dit nieuwe kader. Rein: ‘In de klassieke werkvorm bestaan computers en andere apparaten uit geïnstalleerde applicaties. Die integreren met elkaar én met het besturingssysteem. Bijvoorbeeld via middleware (de software tussen besturingssystemen en toepassingen), plug-ins en extensies. Dit werkte, maar is een drama om te onderhouden. We wilden de onderlaag van de digitale werkomgeving ontkoppelen van de applicaties. Zo konden we afhankelijkheden vermijden die het systeem vertraagden en problemen gaven.’

Volgens Rein is Outlook een goed voorbeeld. ‘Tijdens het opstarten van Outlook zijn er diverse plug-ins die automatisch activeren en van invloed zijn op de opstartsnelheid van Outlook. Naast de traagheid leidt het ook tot risico’s, bijvoorbeeld bij het installeren van nieuwe updates. Dan vallen plug-ins om en duurt het langer om optimaal gebruik te maken van de programma’s in de digitale werkomgeving. Dit heeft regelmatig geleid tot momenten van frustratie en zelfs tot serieuze storingen. Destijds is er vanuit de toenmalige CEO van SSC-ICT een memo met de geconstateerde problematiek naar CIO-Rijk gestuurd. Brian is inmiddels mijn collega bij SSC-ICT, maar werkte destijds bij CIO Rijk. Hij was het aanspreekpunt van IDWOR. De memo is bij hem terechtgekomen. Hij is vervolgens gaan schakelen en kreeg mij als contactpersoon bij SSC-ICT.’

CIO Rijk zoekt rijksbrede samenwerking

Brian Postma was destijds als Dossierhouder IDWOR op de hoogte van de problemen die speelden. ‘We kregen signalen binnen dat de wisselwerking tussen het besturingssysteem en klantapplicaties in de digitale werkomgeving niet vlekkeloos verliep. Met name bij updates. De klantapplicaties worden getest op stabiliteit en functionaliteit wanneer het besturingssysteem, bijvoorbeeld Windows, wordt geüpdatet. Een risico is dat een geïnstalleerde applicatie niet meer goed werkt of het systeem gaat vertragen door de update. Of er verschijnt een melding om te wachten met het installeren van een update, omdat er nog een paar dagen wordt getest. Juist bij de Rijksoverheid is dat ongewenst, omdat klantapplicaties 24/7 dienen te werken. Er wordt niet zonder reden geüpdatet. Vaak zijn er kwetsbaarheden en beveiligingsrisico’s geconstateerd, die verholpen moeten worden. Het kan niet zo zijn dat er niet geüpdatet wordt, vanwege een harde afhankelijkheid met klantapplicaties. Daarom zijn we gaan nadenken over het ontkoppelen van het besturingssysteem en de klantapplicatie. Met een webbased-omgeving kunnen we dit voorkomen.’

Brian gooide wat lijntjes uit bij andere departementen en betrok de ICT-dienstverleners van de Rijksoverheid, waaronder SSC-ICT. ‘Ik heb gezegd dat ik bezig was met een conceptkader en vroeg wie interesse had om mee te doen. Naast SSC-ICT liet ook de Belastingdienst weten dat ze problemen hadden met slecht werkende klantapplicaties binnen de digitale werkomgeving. Ze wilden direct meedoen met het opstellen van het conceptkader. Waar SSC-ICT zich vooral richtte op de Windows-apparaten, was het voor de Belastingdienst belangrijk om ook naar de werktelefoons te kijken.’

Werken met een selecte groep

Omdat het conceptuele beleidskader vrij technisch werd, heeft de voormalige CTO van Brian geadviseerd om met Rein van SSC-ICT te schakelen. Rein haalde de kennis met name op bij de technische architecten en vertaalde deze. Ook werkte Rein aan de diverse architectuurkaders van SSC-ICT en heeft hij Brian geadviseerd om de standaarden van Forum Standaardisatie (adviescommissie open ICT-standaarden) te verwerken in het IDWOR-kader. Brian: ‘Het was prettig om met een select groepje architecten aan het kader te werken. In het verleden hebben we weleens met een grote groep in een ruimte gezeten om een kader te ontwikkelen, maar dan liepen de meningen aan het einde van de dag nog ver uiteen. Nu ging dat vlotter. Desalniettemin duurde het nog maanden om het beleidskader definitief rond te krijgen.’

Uitzonderingen klantapplicaties

Rein kijkt met tevredenheid terug op het proces van kaderontwikkeling. ‘CIO Rijk voerde de regie. Samen met experts onderzochten we de problemen waar we tegenaan liepen. Deze input hebben we met Brian gedeeld. Uiteindelijk zijn er rijksbrede afspraken voor het kader gemaakt, die voor elk departement vanaf juli 2022 gelden. Het is nu belangrijk om bewustwording te creëren bij onze afnemers over deze nieuwe manier van werkplekonafhankelijkheid. Voortaan heb je in principe alleen toegang tot nieuwe applicaties via de webbrowser, dus zonder plug-ins of middleware. Er zullen uitzonderingen zijn van applicaties die niet via de webbrowser kunnen of mogen werken. In dat geval gaan we met de klant én met CIO Rijk in gesprek. Zij beslissen of er uitzonderingen mogen worden gemaakt.’ Volgens Rein zal SSC-ICT als Shared Service Organisatie vanuit haar opdracht en taak de volgende criteria bewaken, voordat een (tijdelijke) uitzondering wordt goedgekeurd:

• Een bepaalde functionaliteit is een must-have volgens de MoSCoW-methode (een veelgebruikte prioriteringstechniek in de softwareontwikkeling)
• De klantapplicatie of extra component is de enige manier om de functionaliteit te leveren, zonder een acceptabel te achten workaround
• De klantapplicatie of extra component is afkomstig van een gerenommeerde leverancier
• De klantapplicatie of extra component is ondertekend door een geldig certificaat (code signing) van een vertrouwde certificeringsinstantie

Het KANS-document (Kader Acceptatie Nieuwe Systemen) met aansluitvoorwaarden van SSC-ICT is recent met name op IDWOR Kader 8 aangepast en zal binnenkort op de Selfserviceportal ook voor de klanten worden gepubliceerd.

Brian geeft aan dat in het beleidskader wordt verwezen naar een actuele online lijst met (generieke) uitzonderingen. Die is er volgens hem nog niet. ‘De lijst is pas beschikbaar zodra de eerste afnemer langskomt met een uitzonderingsgeval. Tot nu toe is er nog niemand geweest. Dat heeft enerzijds te maken met de onbekendheid van het kader. Anderzijds zijn er steeds meer processen die via de cloud lopen en waar een minder harde afhankelijkheid geldt.’

Een stip aan de horizon

Brian beaamt dat de transitie naar het webbased inrichten van klantapplicaties geen gemakkelijk proces is. ‘Maar alle bestaande klantapplicaties blijven op dezelfde manier werken. Een goed moment om webbased te gaan is tijdens een natuurlijke verandering, bijvoorbeeld bij de introductie van een nieuwe app óf wanneer een bestaande app wordt verbouwd. We hebben niet de verwachting dat het beleidskader direct omarmd wordt. Het heeft tijd nodig. Het is een stip aan de horizon. In de roadmap van SSC-ICT staat dat we proactief in gesprek gaan met onze klanten. Dat blijven we doen. In het geval van rijksbrede kaders, waaronder IDWOR Kader 8, zullen we altijd CIO Rijk betrekken door middel van een driehoeksgesprek. Zij zijn verantwoordelijk voor de kaders. Wij kunnen alleen onze klanten wijzen op de veranderingen voor hun digitale werkomgeving en ze ondersteunen bij de uitvoering ervan.’ Rein beaamt dit en wijst nog op de verantwoordelijkheid van de klanten. ‘Het is de primaire plicht van de klant om aan het kader te voldoen. Dit is op de lange termijn in hun eigen belang.’