Achtergrond: Hoe zit dat nu eigenlijk precies met die Belgische corona-app?

Kristof Van der Stadt
Kristof Van der Stadt Hoofdredacteur bij Data News

Het Mechelse Ixor gaat in onderaanneming van DevSide de Belgische corona-opsporingsapp bouwen. Binnen 7 weken moet die klaar zijn of een boete van 30 procent op het totaalbudget dreigt. Een overzicht van de recente ontwikkelingen.

Consternatie alom op sociale media nadat bekend raakte dat DevSide de Belgische corona-opsporingsapp mag bouwen. DevWie? was zowat de algemene teneur en die reactie was te verwachten. Het gaat om het bedrijf van ondernemer Jean-Paul de Ville de Goyet dat met afgerond 700.000 euro op de balans en 5 werknemers op LinkedIn niet bepaald als een grote partij overkomt. We probeerden Jean-Paul de Ville de Goyet te contacteren, maar de man geeft voorlopig niet thuis.

Wie gaat de app nu eigenlijk bouwen?

Het nieuws over DevSide bleek uiteindelijk onvolledig, want zoals wel vaak in IT-(overheids)contracten is er sprake van een consortium met meerdere partijen. In dit geval is DevSide de hoofdaannemer die achterliggend het Mechelse Ixor inschakelt voor projectbeheer en ontwikkeling: een al beter bekende partij die met een omzet van afgerond 7 miljoen euro en naar eigen zeggen 70 medewerkers ook wat meer gewicht in de schaal legt. ULB & VUB staan als onderaannemers in voor de nodige audits, begeleiding (consulting) en ook een stuk ontwikkeling. Efluenz zal communicatie en het community-luik verzorgen. Er is ook nog een tweede lot rond security en testing . Daar is het NVISO die de opdracht gegund kreeg en het haalde van een andere partij.

Volgens onze bevestigde informatie deden ook Proximus, SAP en DXC een gezamenlijk aanbod voor het eerste lot, maar zij grijpen er dus naast. Jeroen Lemaire liet op Twitter weten dat zijn bedrijf In The Pocket alvast géén gooi naar het contract wou doen. Op basis van de omschrijvingen in het lastenboek denkt Lemaire dat In The Pocket “in dergelijke context geen meerwaarde kan betekenen”. We hebben ook weet van twee andere IT-integratoren die uiteindelijk beslisten om niet mee te dingen. Concreet waren er dus maar telkens twee offertes per lot en dat is toch opmerkelijk.

Hoe verliep de toewijzing?

“Omwille van hoogdringendheid verliep de aanbesteding uitzonderlijk zonder voorafgaande publicatie”, vertelt Jan-Frans Lemmens van Smals, de aanbesteder namens de overheid.

Professor Bart Preneel die mee het lastenboek schreef en samen met twee andere professoren in de jury van de selectieprocedure zat, had gisteren de handen vol om de toewijzing te verdedigen. “De kritiek is onterecht, alles is objectief verlopen”, zei Bart Preneel aan de collega’s van VRT. DevSide heeft wel degelijk een bewezen track record rond mobiele apps. Jean-Paul de Ville de Goyet is ook de man achter AppSolution: een mobiele appbouwer die onder meer in de mediasector heel wat apps bouwde en die in 2013 verkocht werd aan IT-dienstenleverancier EASI. “Bovendien is er met Ixor een tweede, iets groter, bedrijf betrokken. Dat zal zorgen voor de ‘backend’, de centrale servers waar de app mee praat”, aldus Preneel bij VRT NWS.

De prijs is trouwens niet de doorslaggevende factor: de prijs is goed voor 40% in de beoordelingscriteria. Het winnende consortium bleek beter in staat om de nodige en gevraagde aanpassingen door te voeren aan het bestaande Duitse model dat op een aantal essentiële punten net iets anders in elkaar zit. In Duitsland wordt de centrale registratiedatabank bijvoorbeeld ondergebracht bij de telecomleverancier T-Systems.

Hoeveel kost de app?

Volgens onze informatie zal de app tussen de 750.000 euro en 1 miljoen euro gaan kosten. Of dat veel is? Het is in ieder geval een peulschil vergeleken met de ontwikkelkost in Duitsland: 20 miljoen. Daar waren het SAP en T-Systems die tekenden voor de app die nu dienst gaat doen als ‘blauwdruk’ voor de Belgische applicatie. Die programmeercode is ondertussen als open source project vrij beschikbaar en goed gedocumenteerd. In het Belgische lastenboek wordt ook duidelijk vermeld dat die code gebruikt moet worden. De Duitse app moet wel duidelijk aangepast worden aan het Belgische gezondheidssysteem. Bij Smals horen we dat de broncode van de Belgische app achteraf ook gepubliceerd zal worden.

Wanneer moet de app nu klaar zijn?

De politieke wereld heeft het over 1 september als lanceringsdatum. In het 76-pagina’s tellend lastenboek dat Data News inkeek wordt meerdere malen expliciet vermeld dat de applicatie operationeel moet zijn “maximaal 7 weken na toewijzing van het contract”. Die toewijzing gebeurde woensdag op de Interministeriële Conferentie Volksgezondheid. Dat betekent dat Ixor en DevSide nog tijd hebben tot 9 september. Halen ze die deadline niet, dan dreigt een boete van 30 procent op de projectprijs zoals dat in een clausule vastligt. Voor elke maand dat de SLA’s niet gerespecteerd worden, tikt de rekening steeds verder aan. Dat wordt dus een stevige sprint voor de softwarebedrijven: toch opmerkelijk aangezien het (politieke) voortraject voor de app maanden in beslag nam.

Ixor en DevSide zijn ondertussen wel meteen volop aan de slag gegaan. De eerste drie ‘sprints’ volgens de agile werkmethode staan al helemaal in de steigers. “We hebben geen reden om te twijfelen aan de beroepsernst, alle signalen zijn goed”, aldus een insider die liever niet zijn naam ziet opduiken.

Hoe ziet de ontwikkeling er uit?

Het lastenboek – opgesteld in het Frans en afgewisseld met enkele paragrafen Engels – leest als een lange opsomming van ‘resources’ die nodig zijn, maar vooral ook met vereisten waaraan voldaan moet worden. Technologiekeuzes werden op voorhand gemaakt en ook de planning is op voorhand uitgetekend. Maar ook quasi de hele werkwijze voor de ontwikkeling ligt al helemaal op voorhand vast: iets waar lang niet alle softwareleveranciers en IT-integratoren zich comfortabel mee voelen. Aan de andere kant zorgt het wel voor duidelijkheid: Het Duitse model moet gevolgd worden, de corona-API’s van Google en Apple voor integratie in smartphones moeten gebruikt worden, het DP-3T protocol (Distributed Privacy-Preserving Proximity Tracking, nvdr) moet gevolgd worden. Ook de manier waarop de backend servers omgaan met data ligt helemaal vast net als het privacykader. De servers en nodige infrastructuur voor de eigenlijke productieomgeving worden voorzien door Sciensano: ook dat is allemaal al duidelijk gebetonneerd.

En ga ik de app nu kunnen vertrouwen?

Professor en encryptiespecialist Bart Preneel heeft al meerdere malen verteld dat de veiligheid en privacy van gegevens gegarandeerd is in deze oplossing op basis van Bluetooth-tokens die maximaal 14 dagen bewaard worden. Locatiegegevens worden voor alle duidelijkheid niét bewaard.

En wat met de Apple- en Google-link? Wanneer de pandemie voorbij is, worden de servers ontmanteld en zullen Google en Apple de API niet langer ondersteunen. De gebruikers zullen dan automatisch een melding krijgen dat ze de app mogen deïnstalleren. Ja, ook dat ligt allemaal al vast.

(Update 13 uur: extra details toegevoegd over de aanbesteding)

(Update 16 uur: toegevoegd dat de broncode vrij beschikbaar zal zijn)

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content