Een tool om diepgravend onderzoek te doen naar de betrouwbaarheid van bedrijven, klanten of beoogde partners. In het post-toeslagenschandaal-tijdperk is dat geen gemakkelijke sales pitch. Maar Horst Streck, directeur van Noctua, belooft zijn gelijknamige onderzoekssoftware compliant te houden. Dat het daarnaast een heleboel tijd scheelt en misschien zelfs een beetje leuk is om te gebruiken, is de kers op de taart.
Het zijn spannende tijden voor Horst Streck. De directeur van Noctua staat op het punt met zijn team een vernieuwde versie van de onderzoekssoftware te lanceren waar het bedrijf helemaal omheen is gebouwd. Een dozijn overheden en bedrijven gebruikt dit platform –het enige product van Noctua– al om antecedentenonderzoek uit te voeren naar potentiële partners, onderaannemers, subsidieontvangers en klanten.
De software knoopt informatie uit verschillende databases en bronnen aan elkaar en stelt klanten in staat de opgediepte informatie snel en overzichtelijk te bundelen en presenteren aan stakeholders. Kortweg helpt de tool met het beantwoorden van de vraag: ‘is deze partij te vertrouwen?’
Enorm gevoelige materie dus. En juist zo’n precaire tool moest helemaal opnieuw worden opgebouwd omdat de onderliggende software was verouderd en geen actieve ondersteuning meer genoot. “De basis was gelukkig wel op orde”, aldus Streck. “Het eerste wat we hebben gedaan is de bestaande tool herbouwd, maar dan sneller en stabieler. En verder hebben we de interface een flinke opfrisbeurt gegeven. Dat het er gewoon uitziet en werkt als een product uit 2024. Dat verwachten klanten ook.”
Twee van die klanten, de gemeentes Schiedam en Amstelveen, werken al sinds april in de nieuwe versie en hebben ‘m als het ware ‘in preview’. “Momenteel onderhouden we dus twee systemen. We zijn blij als we daar vanaf zijn, hoor.” Voor het zover is, strijkt het team van Streck alle oneffenheden glad op basis van feedback en eigen monitoring. De verwachting is dat de nieuwe versie deze zomer voor alle klanten beschikbaar komt, al zal niet iedereen tegelijk over gaan.
Veel sneller onderzoek doen
De ‘antecendentenchecker’ van Noctua kan in het beste geval een onderzoek dat handmatig zo’n vier werkdagen in beslag zou nemen, terugbrengen tot tien minuten. “Dat durf ik best te zeggen, maar dat is natuurlijk afhankelijk van de context”, zegt Streck. “Doorgaans zeg ik dat onderzoek met onze tool vijf keer zo snel is als handmatig alles bij elkaar zoeken.”
De tool heet Noctua, net als het bedrijf zelf. De officiële bedrijfsnaam is overigens DigInt, maar dat is een erfenis uit het verleden, weet Streck die sinds 2018 het stokje overnam van zijn voorganger. Omwille van de helderheid voeren bedrijf en product naar buiten toe inmiddels dezelfde naam. “Logisch, aangezien dit ons enige product is”.
Onofficieel staat het platform bekend als de ‘Bibob-tool’, omdat het onder meer kan worden ingezet als hulpmiddel bij onderzoek in het kader van de Wet Bevordering IntegriteitsBeoordelingen door het Openbaar Bestuur, ofwel Bibob. Kortweg verplicht deze wet overheden om te onderzoeken of private partijen waar ze zaken mee doen, subsidies aan uitdelen of licenties aan verstrekken te vertrouwen zijn.
“Er zijn gebruikers van het eerste uur die het nog over de Bibob-radar hebben. Dat is écht een verouderde naam.” De huidige Noctua-branding moet benadrukken dat de tool niet voor één specifiek soort onderzoek geschikt is, maar breed inzetbaar is. “Een andere tak van sport waar we op in willen zetten is zorgfraude. Dat is vergelijkbaar met Bibob, maar gaat over andere dingen. Bronnen die daarop focussen, kunnen we echter net zo makkelijk aansluiten, zoals het Waarschuwingsregister zorgfraude”, zegt de Noctua-directeur.
Van Polymer naar React
De tool bestaat al sinds 2016 en was oorspronkelijk gebouwd met JavaScript-library Polymer, waar de stekker inmiddels is uitgetrokken. Na uitvoerig onderzoek, onder andere met een externe expert, viel de keuze op React als opvolger. React is óók een js-library, maar dan met actieve support, een levendige community en, ook niet onbelangrijk, developers die ermee kunnen werken. Polymer-opvolger Lit bleek niet zo geschikt voor Noctua, evenmin als Vue.js.
“React paste het beste bij ons. Het biedt veel mogelijkheden, is snel en stabiel”, zegt Streck. “In Polymer kon ook veel hoor, maar dan duurde het allemaal veel langer, of het werkte omslachtiger. Met React konden we een tool neerzetten die in het hier en nu thuishoort.”
“Bovendien”, vervolgt hij, “Er zijn voor Polymer bijna geen ontwikkelaars meer te vinden. Onze huidige frontend-developer heb ik destijds nog bijscholing moeten bieden om met Polymer te leren werken. Er is bijna niemand meer te vinden die dit nog kan, in elk geval niet passend bij onze wensen en behoeften.”
Waarom is dan ooit voor Polymer gekozen? “Ik ben er later bij gekomen, ben dus niet betrokken geweest bij die aanvankelijke keuze. Eerlijk gezegd weet ik ook niet of ik dezelfde keuze had gemaakt. Maar je weet van tevoren ook niet altijd of iets een blijvertje is. Er is toen gekozen voor iets dat goed leek, en dat wás het in die tijd misschien ook wel. Maar toen ik erbij kwam, wist ik na een tijdje gewoon: we moeten om.”
Helemaal opnieuw opgebouwd
Wat is er dan allemaal zo nieuw aan de React-versie van Noctua? Ten eerste is de interface vernieuwd. Het ziet er nu uit als een tool uit 2024, inclusief iconen en stijlelementen die gebruikers kennen van alle andere apps en software die ze gebruiken.
“Bedenk dat de beoogde gebruikers geen IT’ers zijn hè. Ze verwachten dat ingevulde informatie beschikbaar blijft als je vooruit of achteruit gaat in het systeem. Dat is bij moderne browsers zo, dus dat moest hier ook. De oude versie kon daar niet mee omgaan, die zag er ouderwetser uit en werkte stroever dan de smartphone-apps van gebruikers. Dat kan niet. De oude versie werd door het draaien van processen op de achtergrond bovendien steeds trager.”
Nog een belangrijk verschil met de oude versie betreft de manier waarop gegevens zich aan de gebruiker tonen. Ten eerste kun je zoveel vensters openen als je wilt en deze rangschikken, bijvoorbeeld om informatie te vergelijken. Dat kon eerst niet. Maar hét huzarenstukje betreft volgens Streck een real-time visualisatie van het complete netwerk van de partij die wordt onderzocht, op basis van de gevonden informatie.
Streck: “Stel dat je een bedrijf onderzoekt en wat bijzondere relaties ontdekt, dan kun je daar meteen op inzoomen, informatie krijgen over de bestuurder, het adres, KvK-nummer, enzovoorts. En van alle afzonderlijke gegevens maak je gemakkelijk een screenshot om in je rapport te zetten. Google Maps is geïntegreerd, dus je kunt meteen een plaatje schieten van het bedrijfslogo dat je via Street View hebt gevonden. Het klinkt simpel, maar dit scheelt heel veel werk voor onderzoekers, die niet in allerlei verschillende programma’s hoeven werken.”
Bronnen aansluiten
Via Noctua zijn allerlei bronnen aan te sluiten, zowel publiek beschikbare KvK-gegevens als private informatie van bijvoorbeeld een kredietinfo-verstrekker als GraydonCreditsafe. “We krijgen soms de kritiek dat we niet meer bieden dan een veredeld jasje om bronnen heen die je ook via andere manieren kunt raadplegen”, geeft Horst Streck toe.
“Maar er is bijna niemand die de info van al deze dataleveranciers bij elkaar veegt en in een totaalpakket ontsluit, inclusief de mogelijkheid om ten behoeve van onderzoek documentatie te exporteren, te screenshotten, te combineren, enzovoorts. Misschien is het er wel, maar ik heb het nog niet gezien. In ieder geval niet in Nederland. Meestal gaat het dan om dataleveranciers die alleen in hun eigen hoek oplossingen bieden.”
De Noctua-tool kan elke bron aansluiten die met een API is te benaderen. Dat gaat vrij snel, in de moeilijkste gevallen hooguit een week, beweert Streck. “Gemeentes hebben vaak al een account bij de KvK. Die kunnen ze gewoon blijven gebruiken, maar dan geintegreerd in onze tool. Als een klant bijvoorbeeld Single Sign-On heeft via Azure, dan werkt dat ook met Noctua, hoeven ze ook daar niet meer in te loggen.” De ene klant wil dit overigens wél, de andere juist pertinent niét. “Is allemaal prima.”
Zelfs Google is gewoon te gebruiken in Noctua, zij het met voor de klant aangebrachte filters. “We hebben dit heel lang niet gehad, omdat de info niet per se betrouwbaar is, maar we merkten dat sommige informatie alléén maar via Google te vinden was en toch relevant bleek voor verder onderzoek. En klanten wilden het. Dus hebben wij het er weer ingezet, met de kanttekening dat klanten zélf verantwoordelijk zijn voor het dubbelchecken van zoekresultaten.”
Gamification-elementen
Streck heeft een gamebedrijf gehad (“Dat is een beetje fout gelopen, ik ben te goed van vertrouwen en ben toen de verkeerde mensen tegen gekomen”) en heeft ongemerkt wat game-achtige elementen in de tool gestopt. Die wakkeren volgens Streck de motivatie aan voor gebruikers om dieper te graven. “Ik heb dat zelf gezien, dat iemand iets ontdekt, dat er dus entiteiten en puntjes in het netwerk bij komen en boem, ineens zien ze de connecties. Dat is een bewuste ontwerpkeuze.”
Sterker nog, Streck denkt eraan om een gefingeerde case op te nemen in de tool als een speelse tutorial en handleiding ineen. Dat kan ook dienen als marketinginstrument, denkt hij. Als potentiële klanten op die manier zijn tool kunnen uitproberen, ervaren ze meteen hoe goed het werkt, is de gedachte.
Hij durft zelfs de stelling aan dat de tool zo prettig is in het gebruik, dat hij wat remmen in het systeem moet inbouwen. “Je kunt natuurljk eindeloos blijven graven en zaken aan elkaar knopen. Dan vind je op een gegeven moment altijd wel wat. Maar je moet als onderzoeker natuurlijk wel in de gaten houden wat de scope is van je onderzoek.” Daarom adviseren hij en zijn medewerkers om een onderzoek via Noctua duidelijk te kaderen.
Onderzoek verplicht afsluiten
Is een onderzoeker klaar, dan sluit die het rapport. “Dat hebben we zelfs zo’n beetje geforceerd. Een onderzoek is namelijk een momentopname. Als je daar eindeloos mee bezig blijft, dan is op een gegeven moment de situatie wellicht helemaal veranderd. Dan kun je beter gewoon een nieuw onderzoek openen, om vervolgens de twee onderzoeken zinvol met elkaar te vergelijken.” Verschillende onderzoeken naar dezelfde organisatie blijven namelijk onderdeel van één dossier, ook daar voorziet Noctua in.
“Dat helpt onderzoekers met hun verantwoording”, vervolgt Streck. “Stel dat een bedrijf om een vergunning vraagt, en er lijkt geen wolkje aan de lucht. Maar drie maanden later blijkt het hele bestuur veranderd, of ze zijn drie keer verhuisd, of er zijn allerlei sub-bv’tjes bijgekomen, dan kan een onderzoeker zeggen: ik heb het toén onderzocht en toén zag het er okee uit. Het onderzoek dat die controleur heeft verricht, is aantoonbaar afgesloten. Dat voorkomt dat zo iemand onnodig op de vingers wordt getikt. Het draagt dus bij aan een helder compliance-beleid.”
Ploeteren tijdens Corona
De fonkelnieuwe versie van Noctua moet helpen bij het aantrekken van nieuwe klanten. Hoewel het bedrijf van Streck al jaren geleden flink aan het acquireren was, zette de coronapandemie een dikke streep door het persoonlijke contact dat noodzakelijk was om goodwill en vertrouwen te vergaren. “We hadden leads bij twaalf gemeenten, en toen corona kwam, mochten we niet meer langs komen. Het is een tool die je echt live wilt demonstreren, dus dat heeft de groei van onze klantenkring enorm vertraagd.”
Geluk bij een ongeluk: als het Noctua destijds was gelukt de software aan meer klanten te verkopen, dan hadden ze nu ook veel meer werk gehad aan de migratie van al die gebruikers naar de nieuwe React-versie. “Maar toch, we hadden als bedrijf echt al verder kunnen zijn als corona geen roet in het eten had gegooid.”
Zorgen over privacy
Een ander struikelblok is privacy. “Zo’n toeslagenaffaire, het ís natuurlijk van de zotte wat daar is gebeurd. Maar het heeft er ook voor gezorgd dat de balans naar de andere kant is doorgeschoten. Dat overheden tè voorzichtig zijn geworden. Nu lijkt privacy een argument geworden om dingen maar gewoon niet meer uit te zoeken, om zaken te laten liggen”, aldus Streck.
Daar heeft het bedrijf last van, zegt de directeur. “Terwijl wij juist een tool leveren om geheel compliant aan onderzoek te doen. We zijn ISO-gecertificeerd, verlenen onze medewerking aan dpia’s (Data protection impact assessments), tekenen verwerkersovereenkomsten, –ondanks dat ik ons eigenlijk geen verwerker vindt, maar ja, daarover verschillen juristen van mening. Echt, we doen er alles aan om het dicht te timmeren. Als tijdens een pentest blijkt dat we zaken moeten aanscherpen, doen we dat onmiddelijk.”
De angst om qua privacy een scheve schaats te rijden zit er dus goed in bij overheden, bedrijven en ambtenaren. “Maar”, besluit Streck, “Wat als je het niét doet? Dat je te weinig onderzoek doet. Ik vind het veel reëler om voor de gevolgen dáárvan te vrezen.”
Lees ook: NIS2-compliance is het startpunt, betere security het doel