Het PMTO videosysteem: uitleg en IT-randvoorwaarden PMTO Kenniscentrum Nederland en Kleine Stappen, maart 2011
Binnen PMTO worden alle bijeenkomsten met ouders opgenomen om de kwaliteit van de methodiek te borgen en ten behoeve van wetenschappelijk onderzoek. Dit document beschrijft het PMTO videosysteem en wat er nodig is om het systeem te kunnen gebruiken binnen een organisatie. Dit document is dan ook bedoeld voor managers, IT-verantwoordelijkheden en datamanagers van instellingen die met het systeem werken of gaan werken in de toekomst. Het is een document in ontwikkeling en wordt gebruikt als overlegstuk tussen de lokale IT-organisaties, PI Research en Kleine Stappen (de ontwikkelaar van het systeem). Op basis van dit overleg wil Kleine Stappen tot een dusdanige fine-tuning van de inrichting van het systeem komen dat voldaan wordt aan de twee belangrijkste eisen: 1. zo gemakkelijk mogelijk te gebruiken door de doelgroep van het systeem 2. qua dataoverdracht en dataopslag zo veilig en betrouwbaar als mogelijk. In later instantie, wanneer de volledige configuratie beschreven kan worden, dient als overzichtsstuk en als toevoeging aan de Readiness Checklist, een document dat vanuit PMTO gebruikt wordt om nieuwe instellingen te informeren en voor te bereiden op wat er nodig is om PMTO optimaal te faciliteren binnen de instelling. Er is tevens een document met uitleg voor therapeuten waarin het proces van uploaden wordt beschreven.
Sessiedatabase 1.0
In het verleden werden alle sessies opgenomen op DVD, waarna ze per post verzonden werden naar een centraal punt voor verdere verwerking (deels opslag, deels doorzenden naar NOB voor plaatsing op een beschermd deel van de server "uitzending gemist", zodat ook andere partijen (vertalers en
opleiders in USA) ernaar konden kijken. Er zijn verschillende nadelen van dit systeem, waaronder: verzenden per post gaf het risico op kwijtraken/in verkeerde handen raken van de opnames. om intern voor intervisie de opnames ter beschikking te houden, werden kopieën gemaakt, die op niet-beveiligde manieren (op harde schijven, in kasten) opgeslagen werden. hoge kosten van DVD's, postverzending en handling zeer hoge kosten voor hosting van een beperkt aantal video's bij NOB kosten voor fysieke opslag (kasten zowel lokaal, als bij PI Research) en administratie extra moeite bij opzoeken en bijhouden welke opnames vernietigd moeten worden omdat de maximale bewaartijd voorbij is. de DVD's gingen kapot (fysiek: krassen e.d. zorgden ervoor dat de DVD's niet meer afspeelbaar waren) Om aan de bovenstaande bezwaren tegemoet te komen, werd een nieuwe versie ontwikkeld (Sessiedatabase 2.0), nu gebaseerd op het opnemen van video's op SD-kaarten en verwerking via PC en Internet. Het eerste systeem vertoonde verschillende veiligheidsrisico's, maar aangezien de volledige afhandeling zich buiten het domein van IT-afdelingen van de instellingen afspeelde, werden deze veiligheidsrisico's door de IT-afdelingen niet opgemerkt. Met de introductie van het nieuwe systeem, komt het wel in het domein van de lokale IT-afdelingen en ontstaan daar vragen over de veiligheid en betrouwbaarheid van het systeem. In dit document wordt hier op ingegaan. PMTO videosysteem 2.0
Het nieuwe systeem heeft verschillende voordelen voor de instellingen en therapeuten die betrokken zijn bij PMTO:
De sessiedatabase De kern van het systeem is de sessiedatabase; hierin worden de volgende zaken opgeslagen: Gebruikers van het systeem. Dit kunnen zijn: o therapeuten o opleiders en supervisoren o vertalers o opleiders van ISII buitenlandse opleiders (de oorspronkelijke ontwikkelaars van PMTO) o datamanagers in de instellingen de rechten die de verschillende gebruikers van het systeem hebben gegevens over de gezinnen die de therapeuten in behandeling hebben. Deze gegevens worden anoniem opgeslagen, er wordt alleen gerefereerd aan door de therapeuten ingegeven codes (vanuit de lokale systemen voor administratie voor financiele doeleinden) gegevens over de sessies die de therapeuten met de ouders gehad hebben gegevens over de vindplaats van de video-opnames; voor opnames van de therapeuten die opgeleid werden vóór 2010 is dit een verwijzing naar PI Research (waar de opnames op DVD fysiek opgeborgen worden in beveiligde kasten). Voor de therapeuten die werken met het nieuw systeem bevat de verwijzing de informatie die nodig is om de opname online te bekijken vanaf de streaming videoserver. De sessiedatabase is door Kleine Stappen ontworpen en gebouwd in PHP/MySQL. De sessiedatabase wordt gehost op een virtual private server (VPS) in het datacenter van XLS Hosting. De sessiedatabase is alleen toegankelijk voor gebruikers via een beveiligde verbinding (certificaat type: Comodo InstantSSL https certificaat met 256bit encryptie) De streaming videoserver Alle video's worden opgeslagen op een aparte server, onze streaming videoserver (en meteen op de hierna beschreven server voor het videoarchief). Deze is niet apart benaderbaar, alleen aanroepen vanuit de sessiedatabase kunnen leiden tot het veilig opvragen van gegevens. De server is gebaseerd op Windows Server edition 2008, ondersteund door Windows Media Server voor het kunnen tonen van streaming video, waardoor de video's tijdens het bekijken dus niet op lokale media wordt opgeslagen. We hosten tot 20 GB aan video, voldoende voor maximaal 120 uur video (op het formaat dat we hanteren binnen PMTO). De meest recente video's of video's die altijd beschikbaar moeten blijven (optioneel, wordt nu nog niet gebruikt) worden op deze server gehost. De streaming videoserver wordt gehost bij XLS Hosting. De archiefserver
Omdat het over grote hoeveelheden video's gaat, zeker nu PMTO groeit, staat er op de achtergrond bij een andere provider (PC Extreme) een eigen server (eigendom van Kleine Stappen) met opslag tot meerdere TB (1 TB = 1000 Gb), waarbij iedere TB opslag biedt tot 6000 uur video. Wanneer via de sessiedatabase een video aangeroepen wordt die niet in de videodatabase staat, dan ontstaat daar een aanroep naar het videoarchief en wordt de video klaargezet op de videodatabase om daar bekeken te worden. Dit gebeurt op de achtergrond, de maximale vertraging hierbij is in de orde van 2 minuten. Deze server draait op fysiek gescheiden hard disks backups van het hele videoarchief en van de sessiedatabase. Camerasysteem Alle therapeuten hebben de beschikking gekregen over een standaard consumentencamera (JVC MSGZ 95 of 120) voor gebruik met SD-kaarten. Daarnaast gebruiken ze een statief, groothoeklens en lichtnet- of batterijvoeding. Alle camerasystemen worden voor aflevering door Kleine Stappen dusdanig ingesteld dat ze optimaal binnen het systeem kunnen functioneren. Dit gebeurt alleen via standaardinstellingen van de camera's, niet door middel van technische ingrepen op de camera. Door Kleine Stappen ingestelde waarden op de camera: taal = NL Datum & tijd Beeldformaat 4:3 Resolutie: 384 x 288 Trillingscorrectie: uit (opnames worden vanaf statief gemaakt) SD-kaart met software voor comprimeren en uploaden De SD-kaarten hebben een grootte van 4GB en bieden (naast de software die een vaste plek heeft op de kaart) standaard ruimte voor ruim meer dan 1 uur video (bij goede (="zuinige") instelling van de videocamera). Werkwijze De therapeut neemt met een (JVC) camera een sessie (tot 2 uur, onderbrekingen mogelijk) op. De omvang van dat bestand is maximaal 1 GB per uur. De SD-kaart wordt door de therapeut of door een lokale databeheerder (moet een gebruikerscode in de sessiedatabase hebben) verbonden met een PC (rechtstreeks of met behulp van een adapter). Op de SD kaart staat de door Kleine Stappen ontwikkelde software, die in principe automatisch moet starten (hoewel dit voor beveiligingsdoeleinden door IT-afdelingen uitgezet kan zijn). Deze software comprimeert en uploadt de video en koppelt deze aan de door de gebruiker ingegeven therapeut (kiezen uit een lijst van therapeuten die toegang tot het systeem hebben). IT-randvoorwaarden Bij verschillende instelling is het systeem geïmplementeerd. Hierbij zijn verschillende bevindingen gedaan wat betreft de IT-randvoorwaarden: 1. De PC hoeft geen toegang te hebben tot het netwerk van de instelling, wel naar internet (zie 8 en 9).
2. De PC moet een USB-stick herkennen en toestaan dat er software vanaf die USB-stick wordt gestart. 3. De USB-stick installeert geen software op de harde schijf van de PC en benadert daar ook geen bestanden. Dus administrator-rechten lijken net nodig te zijn. 4. Vanaf de stick wordt software gestart. Bekend is dat Apache door de Windows firewall herkend wordt en dat de firewall vraagt welke rechten Apache moet hebben. Toegang tot het netwerk is daarbij niet nodig: Apache mag dus geblokkeerd worden door de firewall. Er worden bestanden van de databaseserver gehaald met ‘wget’ en het videobestand wordt met ‘ncftpput’ of 'curl' (bij een https-upload) naar de videoserver gestuurd. Ik heb nog nooit een waarschuwing voor wget, ncftpput of curl gezien van de Windows firewall (tot mijn verbazing) en evenmin van een virusscanner. Maar mocht zich dat wel voordoen, dan heeft wget in ieder geval wel internettoegang nodig. En ofwel ncfftput ofwel curl moet eveneens toegang hebben tot het internet. 5. Een proxy of gateway voor de internetverbinding is geen probleem, zolang het gaat om een anonieme proxy. Bij het uploaden worden de proxy-instellingen uitgelezen, zodat die door wget gebruikt kunnen worden. Bij gebruik van een proxy wordt voor het uploaden zelf overgeschakeld op een https-upload met behulp van curl. 6. De software wordt deels aangestuurd vanuit de browser van de gebruiker (via Apache). Daartoe dient localhost op poort 8080 bereikbaar te zijn. Als er standaard een proxy ingesteld is in de browser, dan zal die uitgeschakeld moeten zijn voor localhost. ‘Bypass proxy server for local addresses’ in de Engelse versie van IE. 7. OS: Windows XP of hoger. Windows 2000 zou trouwens wellicht ook nog wel werken. 8. HTTPS-toegang tot het internet moet in ieder geval mogelijk zijn. 9. FTP-uploads naar de centrale videoserver zijn bij voorkeur ook toegestaan. Als dit niet lukt wijken wij uit naar HTTPS-uploads, maar dat is minder betrouwbaar (zeker bij bestanden van 150-200MB). 10. Snelheid van de PC en/of de internetverbinding? Hoe sneller, hoe beter. Maar met een 750MHz Pentium III-laptop en een 512 kbps upload (ADSL start) lukt het ook als je geduld hebt. 11. Voor het bekijken en beluisteren van de video's is ook noodzakelijk dat de PC geluid kan weergeven (speakers in scherm of apart, koptelefoon). Streaming van het videobestand vindt plaats over HTTP of HTTPS, maar geluid weergeven is vaak niet standaard mogelijk op de werkstations bij de instellingen. 12. Op veel instellingen wordt standaard ingelogd via Citrix. Dit heeft vrijwel altijd tot gevolg dat er geen geluid doorgegeven wordt. Bij voorkeur wordt het toegestaan om Internet Explorer of Firefox buiten Citrix om te starten. 13. De video's worden afgespeeld met een bitrate van 340 Kbit/s, dus de aan het werkstation toegewezen download-bandbreedte moet dit ook minimaal halen. 14. Verder is er tegen de situatie aangelopen dat streaming video (zoals uitzendinggemist en Youtube) geheel geblokkeerd werd. Als dit het geval is: gaarne overleg. Wellicht is het mogelijk om streaming video vanaf een bepaald domein of een bepaald IP-nummer wel toe te staan. Enkele instellingen hebben gekozen voor één nieuwe lijn (kabelaansluiting), geheel los van het instellingssysteem. Let er dan wel op dat die lijn dan naar genoeg computers gaat, ook in de supervisieruimte, zodat het haalbaar is om de beelden te uploaden en te bekijken tijdens de supervisie.
