Risico’s en beheersmaatregelen voor maatwerksoftware in kaart gebracht

15-12-2019 ICT-projecten kennen de nodige risico’s zoals vertraging en extra kosten. Projecten waar maatwerksoftware bij komt kijken, zijn zelfs nog risicovoller. De nieuwe NPR 5326 zet de grootste risico’s op een rij en biedt meteen beheersmaatregelen om ze te bestrijden. Kom zelf kijken op 17 januari 2020 hoe dat gaat tijdens de bijeenkomst Grip op ICT-projecten waar NPR 5326 centraal staat.

Frank Niessink is kwaliteitsmanager bij stichting ICTU. Binnen ICTU werd het zaadje geplant voor wat nu de NPR 5326 is geworden. 'ICTU is een overheidsstichting met als doel andere overheden te helpen hun digitale dienstverlening te verbeteren. Denk bijvoorbeeld aan het personenregister kinderopvang. Daarmee worden medewerkers en structureel aanwezigen op kinderopvanglocaties continu gescreend op strafbare feiten die belemmerend of bezwaarlijk zijn bij het werken met kinderen. Vaak komt daar maatwerksoftware bij kijken; software die precies op de wensen en eisen van een bepaalde klant is afgesteld en dus ook per klant verschilt. Ondanks dat de software per project en per opdrachtgever sterk kan verschillen, bleek een aantal werkwijzen breed toepasbaar en bij te dragen aan een goed projectresultaat. We hebben deze werkwijzen vastgelegd in een kwaliteitsaanpak voor maatwerksoftwareontwikkeling. De volgende stap was dat we vanuit onze maatschappelijke opdracht besloten om de kwaliteitsaanpak niet alleen voor onszelf te houden, maar breder uit te dragen. En te kijken wat wij weer konden leren van andere organisaties. Met die gedachte kwamen we bij NEN terecht, bij de commissie Systems and software engineering. Daar is het idee voor de NPR 5326 verder ontwikkeld. Deze praktijkrichtlijn is niet alleen voor overheden bedoeld, maar voor alle organisaties die maatwerksoftware ontwikkelen en/of onderhouden, of dat laten doen.'

Risico's beschrijven...

Vanuit NEN kwam het idee om vanuit risico’s te gaan redeneren, zegt Niessink. 'Kunnen we de risico’s vinden die ontstaan als je maatwerksoftware gaat ontwikkelen en onderhouden? Dat was een belangrijke vraag die we onszelf stelden bij de ontwikkeling van NPR 5326. Tijdens het zoeken naar het antwoord op die vraag bleek er geen overzicht te bestaan van dergelijke risico’s. Dat is ook lastig, want elk maatwerksoftwareproduct is natuurlijk uniek. Toch zijn we erin geslaagd om een basis van algemene risico’s te identificeren die voor de meeste maatwerksoftwareprojecten zullen gelden. Een voorbeeld is dat als software gewijzigd wordt, het gevaar loert dat hij daarna niet meer werkt. Of dat de software niet is gewijzigd, maar dat juist de omgeving waarin de software draait is veranderd, waardoor hij niet meer goed werkt. Denk daarbij aan een open source bibliotheek waaruit jouw software put, en die door iemand anders gemaakt en gewijzigd is. Of waar beveiligingskwetsbaarheden in blijken te zitten. Zulke veranderingen in de omgeving kunnen er toe leiden dat de software niet meer werkt of dat er veiligheidsrisico’s ontstaan.' Er zijn ook risico’s die niet zozeer met de software te maken hebben, maar met de scope. 'Het kan zijn dat in de loop van een project blijkt dat er eigenlijk meer of andere functionaliteit nodig is. Als je dan als opdrachtgever niet kiest welke eerder bedachte functionaliteit kan vervallen, loop je het risico dat de hogere tijdsdruk leidt tot kwaliteitsverlies. Kwaliteitsverlies dat soms pas later zichtbaar wordt in de vorm van software die heel moeilijk te onderhouden is en veel fouten bevat.'

... maar ook beheersmaatregelen

NPR 5326 beschrijft niet alleen de risico’s bij maatwerksoftware, maar bevat ook een aantal beheersmaatregelen om die risico’s gericht aan te pakken. “We hebben daarbij gezocht naar maatregelen die veelvuldig worden toegepast en tegelijkertijd niet te ingewikkeld zijn om te implementeren. In totaal hebben we er zo zeventien opgesteld. Een voorbeeld is het controleren of de software nog werkt nadat hij gewijzigd is, of nadat de omgeving gewijzigd is. Dat kan worden ingericht in de vorm van een geautomatiseerde ontwikkelpijplijn. De functionaliteit, beveiliging en onderhoudbaarheid van je software worden automatisch getest bij iedere wijziging die een programmeur maakt. Een prettig gevolg daarvan is dat programmeurs de vrijheid en het vertrouwen hebben om meer zaken aan te passen om de kwaliteit van de software te verbeteren. Ze kunnen er immers vanuit gaan dat de functionaliteit en beveiliging continu gewaarborgd worden.”

Doelgroep NPR 5326

NPR 5326 is bedoeld voor zowel opdrachtgevers als opdrachtnemers, zegt Niessink. 'De organisatie die de software ontwikkelt, maar ook de organisaties die de opdracht verstrekken hebben er baat bij. Als opdrachtgevers een partij zoeken om een project uit te voeren, kunnen ze de NPR gebruiken om aan de opdrachtnemer te vragen welke van de genoemde risico’s zij lopen en wat een partij er al aan gedaan heeft om die risico’s te beheersen. En wat er aanvullend nog nodig is. Zo krijgen ze meer grip op hun projecten. Opdrachtnemers kunnen de NPR gebruiken om intern risico’s te bestrijden of om de NPR naast hun eigen kwaliteitscontrolesysteem te leggen en dat eventueel aan te vullen.'

Informatiemiddag Grip op ICT-projecten

Op vrijdag 17 januari houdt NEN een bijeenkomst, Grip op ICT-projecten, waar de nieuwe NPR 5326 centraal staat. 'We hebben drie sprekers die vertellen over de inhoud en de concrete toepassing in de praktijk. Ook is er een presentatie over het assessmentinstrument dat onderdeel uitmaakt van de NPR. Daarin kun je zelf invullen welke maatregelen je al genomen hebt. Vervolgens wordt zichtbaar welke restrisico’s je nog loopt. De bijeenkomst is dus een mix van theorie en de eerste praktijkervaringen met de NPR.'

NPR 5326 is vrij beschikbaar.

Bekijk het programma van de bijeenkomst Grip op ICT-projecten . Op deze website kunt u zich ook aanmelden.

Meer informatie

Voor informatie over deze norm(en) of over het normalisatieproces: Inge Piek, consultant Kennis & Informatiediensten, e-mail kid@nen.nl.

Lees alles over de normcommissie Software and systems engineering.

Eerder door u bekeken