Ze zijn het vanuit hun rollen lang niet altijd eens. Toch willen jurist Elske Derks, chief information security officer (CISO) Theo van Diepen en product owner Mike Nicolaes van Logius hetzelfde: veiligheid én gemak voor de eindgebruiker.
Betrouwbaar en begrijpelijk hoeven elkaar niet te bijten
Allemaal over op de DigiD-app
Wie een product afneemt bij Logius, verwacht dat product veilig te kunnen gebruiken. Maar soms zit veiligheid het gebruiksgemak in de weg. Simpel gezegd: het is makkelijker om met 1 klik in te loggen met DigiD, maar veiliger om te wachten tot er een controle-sms binnenkomt op je mobiele telefoon. En nog veiliger is het om de DigiD-app te gebruiken. Theo: ‘Als CISO zeg ik: ‘Allemaal over op de app!’ Maar ik weet ook dat er mensen zijn die geen smartphone hebben.’ Sterker nog, er zijn mensen die sowieso moeite hebben met DigiD. Product owner Mike: ‘Als je moeite hebt met lezen of de Nederlandse taal slecht beheerst, is het inlogscherm al een obstakel.’ En dan zijn er ook nog juridische regels om rekening mee te houden. Elske: ‘We kunnen van alles verzinnen om het eenvoudiger te maken voor de eindgebruiker, maar we moeten wel voldoen aan de wet.’
Privacy, gemak en veiligheid
De wet eist bescherming van de privacy, de klant hecht aan gemak en de overheid moet veiligheid borgen. Hoe wordt die keuze tussen betrouwbaar en begrijpelijk eigenlijk steeds gemaakt? ‘We wegen de risico’s af’, legt Theo uit. ’Voortdurend eigenlijk.’ Soms trekt de eindgebruiker dan wel aan het kortste eind, volgens Mike: ‘Zo zou ik veel gebruikers van DigiD een plezier doen als ik hun e-mailadres vastleg. Want mensen onthouden niet altijd wat hun gebruikersnaam en wachtwoord zijn waarmee ze inloggen. Maar van de wet mogen we dit soort gegevens niet zomaar bewaren.’ Dat is natuurlijk niet voor niets, weet Elske: ‘Als jij ruzie hebt met je partner wil je toch niet dat hij met behulp van jouw e-mailadres bijna overal bij kan?’
Usability labs
Wie denkt aan het maken van klantvriendelijke producten, denkt aan testen. Je kunt onderzoeken of je klant begrijpt wat hij moet doen, bijvoorbeeld bij het inloggen met DigiD, en zo nodig aanpassingen doen. Mike: ‘Testen doen we zeker. Niet door data te verzamelen terwijl mensen de site gebruiken, dat mag weer niet van de wet, maar we doen wel tests in usability labs met kleine groepen gebruikers, die dan echt met camera’s op zich gericht door de site gaan. Dat is heel interessant om te zien.’
Geen concessies
Om een product vervolgens zo veilig én klantvriendelijk mogelijk te maken, is overleg nodig. Theo: ‘Mijn belangrijkste argument is altijd dat veiligheid een onderdeel van ons product is. Onze dienstverlening is voor onze afnemers juist een maatregel die je in kunt zetten om de veiligheid te vergroten! Daarom doen we geen concessies als het niet verantwoord is.’ Dat ziet Mike als product owner natuurlijk ook: ‘We komen er altijd wel uit. En gelukkig kunnen we veel uitleggen aan de gebruiker, hoewel we ook daar weer regelmatig overleg over voeren. Want uitleg in een tekst mag niet te ingewikkeld zijn, en een animatie moet precies kloppen. Dat is weer een vak apart.’