{"id":86850,"date":"2026-03-05T02:35:30","date_gmt":"2026-03-05T02:35:30","guid":{"rendered":"https:\/\/hanstimmerman.me\/?p=86850"},"modified":"2026-03-05T11:03:28","modified_gmt":"2026-03-05T11:03:28","slug":"betrouwbaarheid-is-ontworpen-wantrouwen","status":"publish","type":"post","link":"https:\/\/hanstimmerman.me\/en\/betrouwbaarheid-is-ontworpen-wantrouwen\/","title":{"rendered":"Betrouwbaarheid is ontworpen wantrouwen"},"content":{"rendered":"

English version: scroll down<\/em><\/span><\/p>\n

Complexe systemen falen altijd. Dat is geen pessimisme. Het is een natuurwet. Reliability Engineering is geboren in de luchtvaart, defensie en ruimtevaart \u2014 niet uit academische nieuwsgierigheid, maar uit noodzaak. Wanneer mensenlevens afhankelijk zijn van elektronica, software en hydraulica, wordt optimisme gevaarlijk.<\/span><\/h5>\n
Complexe systemen falen altijd. De enige vraag is wanneer \u2014 en of je het ziet aankomen.<\/span><\/h5>\n

Mijn carri\u00e8re in de storage-industrie leerde mij dat dezelfde wetmatigheid geldt wanneer niet alleen levens, maar ook data en bedrijfscontinu\u00efteit op het spel staan. Availability is geen feature. Het is een randvoorwaarde. <\/span>Net als in de luchtvaart werd in de wereld van data-opslag redundantie doctrine. Net als bij fly-by-wire systemen \u2014 digitale besturing in plaats van mechanische kabels \u2014 worden signalen meervoudig uitgevoerd. Communicatiepaden zijn dubbel uitgevoerd. Controllers controleren elkaar continu. Vertoont \u00e9\u00e9n kanaal afwijkend gedrag, dan wordt het ge\u00efsoleerd. Niet na een crash. Tijdens operatie.<\/span><\/p>\n

Een moderne storage-omgeving is geen systeem dat simpelweg \u201cwerkt\u201d. Het is een systeem dat zichzelf permanent verifieert. Replicatie, failover, checksums en logging bestaan om afwijkingen zichtbaar te maken. Testen is geen fase. Het is een permanente toestand.<\/span><\/p>\n

Beschikbaarheid is niet genoeg<\/span><\/h2>\n

Maar beschikbaarheid alleen is niet voldoende. Data moet niet alleen toegankelijk zijn \u2014 ze moet ook integer zijn. Ongewijzigd, onaangetast en vertrouwbaar. <\/span>Soms is het onderscheid tussen data en leven kunstmatig. <\/span>Wanneer tijdens een medische operatie de data-voorziening uitvalt, wordt onbeschikbaarheid direct levensbedreigend. Wanneer hulpdiensten onverwacht de toegang tot essenti\u00eble informatie verliezen, kan dat mensenlevens kosten. Maar wanneer data w\u00e9l beschikbaar is en ongemerkt gemanipuleerd blijkt, kan de schade minstens zo groot zijn. Wat niet beschikbaar is, verlamt. Wat niet integer is, misleidt.<\/span><\/p>\n

In moderne oorlogsvoering moet defensie continu beschikken over betrouwbare, integere data. Niet alleen toegang, maar zekerheid. Ook daar is falen geen vraag of<\/em>. Alleen wanneer<\/em>. <\/span>En daar wordt betrouwbaarheid strategisch. Wanneer kritieke data-infrastructuren afhankelijk zijn van externe leveranciers, ondoorzichtige ketens of gecentraliseerde controle, zijn zowel beschikbaarheid als integriteit kwetsbaar. Een systeem dat zijn eigen continu\u00efteit \u00e9n betrouwbaarheid niet kan garanderen, kan zijn autonomie niet waarborgen.<\/span><\/p>\n

Betrouwbaarheid is dan geen optimalisatie. Het is een voorwaarde voor soevereiniteit.<\/span><\/p>\n

De digitale wereld dacht dat ze anders was<\/b><\/span><\/h3>\n

In cyberspace zijn we minder streng geweest. We hebben infrastructuren gebouwd op snelheid, schaal en effici\u00ebntie. Cloudplatforms groeiden sneller dan governance kon bijbenen. Software werd continu uitgerold, maar zelden continu getest op systeemniveau. Logging werd een bijzaak \u2014 terwijl het in feite de black box van onze digitale wereld had moeten zijn. We hebben uptime verward met betrouwbaarheid.<\/span><\/p>\n

En ondertussen zijn we een digitale oorlog ingerold zonder een eigen digitale oorlogsindustrie te bezitten. Kritieke infrastructuur draait op buitenlandse hyperscalers. Hardwareproductie is uitbesteed. Kernsoftware is afhankelijk van mondiale ketens. Digitale soevereiniteit blijkt een kwetsbare constructie. <\/span>Betrouwbaarheid is daarmee geen technische optimalisatie meer. Het is een geopolitieke voorwaarde.<\/span><\/p>\n

Dat betekent ook: kunnen terugvallen. Op eenvoudiger systemen. Op gescheiden netwerken. Op een tweede of derde laag van zekerheid wanneer het primaire systeem uitvalt \u2014 of doelbewust wordt afgesloten. Getrapte zekerheid in plaats van binaire afhankelijkheid. <\/span>Een volwassen infrastructuur kent altijd een fall-back. Desnoods analoog. Niet uit nostalgie, maar uit strategisch realisme. Fail-safe is geen eigenschap van \u00e9\u00e9n systeem, maar van een architectuur die meerdere werkelijkheden kan dragen \u2014 digitaal waar mogelijk, eenvoudiger waar noodzakelijk.<\/span><\/p>\n

Testen als permanente parallelle realiteit<\/b><\/span><\/h3>\n

Echte reliability betekent dat je systeem nooit \u201caf\u201d is. Het bevindt zich permanent in een parallelle testfase. Dat idee is in de ICT-wereld teruggekeerd onder nieuwe namen: observability, continuous monitoring, chaos engineering. Maar de principes zijn oud. In aerospace en defensie weet men al decennia dat logging essentieel is. De flight data recorder \u2014 de black box \u2014 registreert niet alleen wat misgaat, maar ook wat goed gaat. Juist om afwijkingen vroegtijdig te detecteren en te weten dat iets niet (meer) klopt.<\/span><\/p>\n

Wanneer logging intelligent wordt \u2014 wanneer AI patronen herkent die voor mensen onzichtbaar blijven \u2014 ontstaat iets fundamenteel nieuws: \u2018continuous testing\u2019 op systeemniveau. Niet alleen controleren of een functie werkt. Maar controleren of het systeem zich nog gedraagt zoals ontworpen. Inclusief de fouten. De kern van procesgerichte kwaliteitsborging. Meten van non-kwaliteit. Immers als kwaliteit de norm en dus vanzelfsprekend is, kun je alleen nog maar de afwijkingen, de fouten, de non-kwaliteit meten.\u00a0<\/span><\/span><\/p>\n

Dat laatste is cruciaal. Een goed ontworpen systeem bevat expliciet gedefinieerde foutcondities. Als een gebruiker iets verkeerds doet, moet een voorspelbare fout optreden. Als die fout n\u00edet optreedt, is dat een alarmsignaal. Want dan wijkt het systeem af van zijn ontwerp. AI maakt het mogelijk om dit continu te toetsen. Parallel. Op schaal. Zonder dat het primaire proces wordt stilgelegd. Je systeem draait dan feitelijk in twee werkelijkheden tegelijk: de operationele realiteit en de verificatierealiteit. Als een digital twin, maar dan beiden digitaal.\u00a0<\/span><\/p>\n

Gecontroleerd falen als strategie<\/b><\/span><\/h3>\n

Chaos engineering klinkt modern, maar het principe is oud. In defensiesystemen worden red teams ingezet om kwetsbaarheden bloot te leggen. In ruimtevaartprogramma\u2019s worden subsystemen getest tot ze breken \u2014 op de grond, niet in de lucht. Gecontroleerd falen is geen zwaktebod. Het is een vorm van strategisch realisme. <\/span>Het sluit naadloos aan bij het idee van antifragiliteit waar ik eerder<\/a> over schreef: systemen die sterker worden door blootstelling aan stress. Maar antifragiliteit zonder reliability is roekeloosheid. Eerst moet het systeem zijn faalgrenzen kennen. Pas daarna kan het gecontroleerd worden belast. Dat betekent: verstoren om te leren. Simuleren om te begrijpen. Testen om soeverein te blijven.<\/span><\/p>\n

Reliability Engineering is een discipline binnen systems engineering. Het kijkt niet naar losse componenten, maar naar interacties, afhankelijkheden en keteneffecten. In onze digitale infrastructuur zijn single points of failure eerder regel dan uitzondering. Centrale identity-providers. Monoculturen in software. Globale updates die wereldwijd identieke kwetsbaarheden introduceren. <\/span>Wanneer we digitale soevereiniteit serieus nemen, moeten we reliability positioneren als kerncompetentie. Niet als compliance-checklist. Niet als IT-bijlage. Maar als strategisch ontwerpprincipe.\u00a0<\/span><\/span><\/p>\n

Complexiteit vraagt volwassenheid<\/b><\/span><\/h3>\n

Complexe systemen falen altijd. Maar volwassen systemen falen gecontroleerd. Ze loggen. Ze testen. Ze simuleren hun eigen ondergang \u2014 om die te voorkomen. Misschien is dat de echte les uit de ruimtevaart, de luchtvaart en de storage wereld. Niet dat techniek onfeilbaar kan worden. Maar dat betrouwbaarheid voortkomt uit georganiseerd wantrouwen. Vindt de minimale non-kwaliteit die ergens altijd nog aanwezig zal zijn.\u00a0<\/span><\/span><\/p>\n

In een wereld waarin digitale infrastructuur een slagveld is geworden, kunnen we ons geen na\u00efviteit meer permitteren. Zelfs de kleinste systeemfout zal gevonden worden, dus moeten we hem zelf vinden. Betrouwbaarheid is geen luxe. Het is geen optimalisatie. Het is de voorwaarde voor autonomie. En misschien zelfs voor vrijheid.\u00a0<\/span><\/span><\/p>\n

Photo by Pixabay<\/a><\/p>\n

\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014-\u00a0 <\/span>Translated by ChatGPT\u00a0 <\/span>\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014<\/span><\/p>\n

Reliability Is Designed Distrust<\/b><\/b><\/span><\/h2>\n
Complex systems always fail. This is not pessimism. It is a law of nature. Reliability Engineering was born in aviation, defense, and spaceflight \u2014 not out of academic curiosity, but out of necessity. When human lives depend on electronics, software, and hydraulics, optimism becomes dangerous.<\/span><\/h5>\n
Complex systems always fail. The only question is when \u2014 and whether you see it coming.<\/span><\/h5>\n

My career in the storage industry taught me that the same principle applies when not only lives, but data and business continuity are at stake. Availability is not a feature. It is a precondition. And sometimes the distinction between data and life is artificial.<\/span><\/p>\n

If data provision fails during surgery, unavailability becomes immediately life-threatening. If emergency services suddenly lose access to essential information, lives can be lost. In modern warfare, defense must have continuous access to trusted, uncompromised data. Here too, failure is never a question of if<\/em>. Only of when<\/em>.<\/span><\/p>\n

Availability is not enough<\/span><\/h3>\n

Redundancy therefore became doctrine in the world of data storage, just as it did in aviation. As with fly-by-wire systems \u2014 digital control replacing mechanical cables \u2014 signals are executed multiple times. Communication paths are duplicated. Controllers continuously verify one another. If one channel behaves anomalously, it is isolated. Not after a crash. During operation.<\/span><\/p>\n

A modern storage environment is not a system that simply \u201cworks.\u201d It is a system that continuously audits itself. Replication, failover, checksums, logging \u2014 they exist to make deviation visible. Testing is not a phase. It is a permanent state.<\/span><\/p>\n

And this is where reliability becomes strategic. When critical data infrastructures depend on external providers, opaque supply chains, or centralized control, availability is no longer purely technical. It becomes geopolitical. A system that cannot guarantee its own continuity cannot guarantee its autonomy. Reliability, then, is not merely engineering discipline. It is a condition for sovereignty.<\/span><\/p>\n

The Digital World Thought It Was Different<\/b><\/span><\/h3>\n

In cyberspace, we have been less rigorous. We built infrastructures on speed, scale, and efficiency. Cloud platforms expanded faster than governance could keep up. Software was continuously deployed, but rarely continuously tested at system level. Logging became an afterthought \u2014 while in reality it should have been the black box of our digital world. We confused uptime with reliability.<\/span><\/p>\n

Meanwhile, we have entered a digital war without possessing our own digital war industry. Critical infrastructure runs on foreign hyperscalers. Hardware production is outsourced. Core software depends on global supply chains. Digital sovereignty proves to be a fragile construct. <\/span>Reliability is no longer a technical optimization. It is a geopolitical precondition.<\/span><\/p>\n

This also means being able to fall back. To simpler systems. To segregated networks. To a second or third layer of assurance when the primary system fails \u2014 or is deliberately taken offline. Layered reliability instead of binary dependence. <\/span>A mature infrastructure always has a fallback. Even analogue, if necessary. Not out of nostalgia, but out of strategic realism. Fail-safe is not a property of a single system; it is a property of an architecture capable of sustaining multiple realities \u2014 digital where possible, simpler where required.<\/span><\/p>\n

Testing as a Permanent Parallel Reality<\/b><\/span><\/h3>\n

True reliability means your system is never \u201cfinished.\u201d It permanently exists in a parallel testing phase. In the ICT world, this idea has re-emerged under new labels: observability, continuous monitoring, chaos engineering. But the principles are old. In aerospace and defense, logging has been essential for decades. The flight data recorder \u2014 the black box \u2014 records not only what goes wrong, but also what goes right. Precisely to detect deviations early and to know when something no longer behaves as intended.<\/span><\/p>\n

When logging becomes intelligent \u2014 when AI recognizes patterns invisible to humans \u2014 something fundamentally new emerges: continuous testing at system level. Not merely verifying whether a function works, but verifying whether the system still behaves as designed. Including its failures. That is the essence of process-oriented quality assurance: measuring non-quality. If quality is the norm, then only deviations, errors, and non-quality can be measured.<\/span><\/p>\n

This last point is crucial. A well-designed system explicitly defines its failure conditions. If a user does something incorrect, a predictable error must occur. If that error does not<\/i> occur, it is an alarm signal \u2014 because the system is deviating from its design. AI makes it possible to verify this continuously. In parallel. At scale. Without shutting down the primary process. Your system effectively operates in two realities at once: the operational reality and the verification reality. Like a digital twin, bu now both digital.
\n<\/span><\/p>\n

Controlled Failure as Strategy<\/b><\/span><\/h3>\n

Chaos engineering may sound modern, but the principle is old. In defense systems, red teams are deployed to expose vulnerabilities. In space programs, subsystems are tested until they break \u2014 on the ground, not in the air. Controlled failure is not a sign of weakness. It is a form of strategic realism.<\/span><\/p>\n

It aligns seamlessly with the concept of antifragility I have written about before<\/a>: systems that grow stronger through exposure to stress. But antifragility without reliability is recklessness. First, the system must know its failure boundaries. Only then can it be deliberately stressed. That means: disrupt to learn. Simulate to understand. Test to remain sovereign.<\/span><\/p>\n

Systems Engineering as a Resilience Strategy<\/b><\/span><\/h3>\n

Reliability Engineering is a discipline within systems engineering. It does not look at isolated components, but at interactions, dependencies, and cascading effects. In our digital infrastructure, single points of failure are more the rule than the exception. Central identity providers. Software monocultures. Global updates introducing identical vulnerabilities worldwide.<\/span><\/p>\n

In aerospace, that would be unthinkable. There, any potential single failure is a design flaw. If we take digital sovereignty seriously, we must position reliability as a core competence. Not as a compliance checklist. Not as an IT appendix. But as a strategic design principle.<\/span><\/p>\n

Complexity Demands Maturity<\/b><\/span><\/h3>\n

Complex systems always fail. But mature systems fail in a controlled manner. They log. They test. They simulate their own demise \u2014 in order to prevent it. Perhaps that is the real lesson from spaceflight and aviation. Not that technology can become infallible. But that reliability emerges from organized distrust. From identifying the minimal non-quality that will always exist somewhere.<\/span><\/p>\n

In a world where digital infrastructure has become a battlefield, we can no longer afford naivety. Even the smallest system flaw will be found \u2014 so we must find it ourselves. Reliability is not a luxury. It is not an optimization. It is the precondition for autonomy. And perhaps even for freedom.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

In a world where digital infrastructure has become a battlefield, we can no longer afford naivety. Even the smallest system flaw will be found \u2014 so we must find it ourselves. Reliability is not a luxury. It is not an optimization. It is the precondition for autonomy. And perhaps even for freedom.<\/p>","protected":false},"author":3,"featured_media":86854,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[520,338,80],"tags":[119,339,441,517,927,969,976,977,978,979],"class_list":["post-86850","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digitale-soevereiniteit","category-cybersecurity","category-trusted-it","tag-ai","tag-cybersecurity","tag-resilience","tag-digitalsovereignty","tag-systemsengineering","tag-antifragility","tag-reliabilityengineering","tag-chaosengineering","tag-aerospace","tag-defense"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/hanstimmerman.me\/wp-content\/uploads\/2026\/03\/pexels-pixabay-356147-scaled.jpg?fit=2560%2C1438&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts\/86850","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/comments?post=86850"}],"version-history":[{"count":11,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts\/86850\/revisions"}],"predecessor-version":[{"id":86866,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/posts\/86850\/revisions\/86866"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/media\/86854"}],"wp:attachment":[{"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/media?parent=86850"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/categories?post=86850"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hanstimmerman.me\/en\/wp-json\/wp\/v2\/tags?post=86850"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}