UU brengt met model it-kwetsbaarheden in kaart
Digital Autonomy Assessment Framework brengt afhankelijkheden van it-systemen systematisch in kaart
Digitale soevereiniteit is voor veel organisaties nog altijd een abstract begrip. Het gaat over afhankelijkheden van leveranciers, controle over data en de vraag hoe wendbaar je nog bent als omstandigheden veranderen. Maar hoe maak je dat concreet? De Universiteit Utrecht (UU) laat zien dat dit wel degelijk kan. Met het zogeheten Digital Autonomy Assessment Framework (Daaf) heeft de universiteit een methodiek ontwikkeld die de kwetsbaarheid van applicaties systematisch in kaart brengt – en die bovendien vrij beschikbaar is voor anderen.
Tekst: Robbert Hoeffnagel Beeld: ENVATO
De aanpak is niet de enige in zijn soort, maar onderscheidt zich doordat hij niet alleen theoretisch is, maar ook in de praktijk van een grote Nederlandse organisatie is toegepast en doorontwikkeld. Daarmee biedt het een interessant hulpmiddel voor organisaties die worstelen met dezelfde vragen.
Van abstract naar meetbaar
Binnen veel organisaties bestaan uiteenlopende interpretaties van digitale autonomie, zo bleek uit een presentatie van Marije de Vries, strategic coordinator digital autonomy van de UU, tijdens de drukbezochte Enterprise Summit die opensourcecloudplatform Nextcloud onlangs in de Jaarbeurs organiseerde. Die uiteenlopende interpretaties bleken ook binnen de UU te bestaan. Verschillende teams hanteerden hun eigen definities en prioriteiten, waardoor het lastig werd om eenduidige keuzes te maken.
Daaf brengt daar structuur in door digitale autonomie te koppelen aan concrete strategische keuzes. Denk aan vraagstukken rond data-portabiliteit, exit-strategieën, de inzet van open versus gesloten architecturen en de mate van vendor lock-in. Door deze aspecten expliciet te maken, verschuift het gesprek van abstracte principes naar toetsbare criteria.
Drie assen: risico, capaciteit en belang
De kern van de methodiek bestaat uit drie analysethema’s die samen de kwetsbaarheid van een applicatie bepalen:
- Risico-exposure: in hoeverre is een organisatie afhankelijk van een specifieke leverancier of technologie?
- Mitigatiecapaciteit: welke technische, organisatorische en contractuele mogelijkheden zijn er om die afhankelijkheid te verkleinen?
- Strategisch belang: hoe kritisch is de applicatie voor de organisatie?
Door deze drie dimensies te combineren ontstaat een genuanceerd beeld. Een applicatie met een hoge afhankelijkheid hoeft bijvoorbeeld niet direct problematisch te zijn als de strategische impact beperkt is of als er voldoende alternatieven beschikbaar zijn, lichtte De Vries toe.
Acht dimensies
Om de analyse concreet te maken, werkt het framework met 22 indicatoren verdeeld over acht dimensies. Daarin komen onder meer juridische, technische en organisatorische aspecten samen. Denk aan licentiemodellen, contractuele exitmogelijkheden, interoperabiliteit, datatoegang en governance.
Deze brede benadering voorkomt dat digitale soevereiniteit wordt gereduceerd tot een puur technisch vraagstuk. Juist de combinatie van factoren bepaalt in de praktijk hoe afhankelijk een organisatie daadwerkelijk is.
‘Het framework fungeert daarmee niet alleen als analyse-instrument, maar ook als stuurmiddel’
Van score naar actie
Een belangrijk element van de methodiek is dat de uitkomst niet blijft hangen in een score of rapport. De resultaten worden vertaald naar vier duidelijke categorieën:
- Optimaal: weinig afhankelijkheid, minimale actie nodig
- Beheersbaar: risico’s zijn aanwezig, maar onder controle
- Aandachtspunt: gerichte verbeteracties nodig
- Kritiek: urgente maatregelen vereist
Deze indeling maakt het voor bestuurders en it-verantwoordelijken direct duidelijk waar de prioriteiten liggen. Het framework fungeert daarmee niet alleen als analyse-instrument, maar ook als stuurmiddel.
Van applicatie naar roadmap
De kracht van de Utrechtse aanpak zit in de doorvertaling naar concrete stappen. Na de beoordeling van individuele applicaties volgt een proces waarin:
- Applicaties worden geanalyseerd
- Benodigde capabilities worden vastgesteld
- Hiaten worden geïdentificeerd
- Een roadmap wordt opgesteld
Daarmee ontstaat een praktische routekaart. Organisaties krijgen niet alleen inzicht in hun huidige situatie, maar ook in wat nodig is om die te verbeteren.
Leren door te doen
De UU heeft de methodiek niet in één keer perfect ontwikkeld, gaf De Vries tijdens de Nextcloud-dag aan. Uit de gepresenteerde ‘lessons learned’ bleek dat het traject gepaard ging met voortschrijdend inzicht.
Een les is dat digitale autonomie geen puur it-thema is. Betrokkenheid vanuit de hele organisatie – van bestuur tot operationele teams – blijkt essentieel. Daarnaast werd duidelijk dat het verzamelen van de juiste informatie vaak complexer is dan vooraf gedacht, bijvoorbeeld doordat contractinformatie versnipperd is of er onduidelijkheid bestaat over wie eigenaar is van een applicatie. Ook bleek dat standaardisatie helpt. Door een uniforme aanpak te hanteren, wordt het mogelijk om applicaties onderling te vergelijken en prioriteiten beter te onderbouwen.
Tegelijkertijd vraagt de methodiek om realisme. Niet elke afhankelijkheid is problematisch en niet elk risico hoeft volledig te worden geëlimineerd. Het gaat om het vinden van een balans tussen controle, kosten en wendbaarheid.
‘Overheden, bedrijven en onderwijsinstellingen kunnen het framework gratis downloaden en gebruiken’
Geen silver bullet, wel bruikbaar instrument
Daaf is niet de enige methodiek om digitale soevereiniteit te analyseren. Er bestaan meerdere frameworks en benaderingen, variërend van vendor risk assessments tot bredere enterprise-architectuurmodellen. Denk aan het Europese Cloud Sovereignty Framework of ENISA’s Cloud Security & Sovereignty Guidelines. Ook het GAIA-X Policy Rules & Compliance Framework en de maturitymodellen van het Open Source Program Office (OSPO) kunnen hierbij helpen.
Wat de Utrechtse aanpak interessant maakt, is dat deze in de praktijk is getest in een complexe organisatie met een breed applicatielandschap. Daardoor biedt het niet alleen een theoretisch model, maar ook praktische handvatten die in vergelijkbare omgevingen toepasbaar zijn.
Vrij beschikbaar voor iedereen
Opvallend is dat de UU ervoor heeft gekozen om de methodiek open te stellen. Overheden, bedrijven en onderwijsinstellingen kunnen het framework gratis downloaden en gebruiken, zo vertelde De Vries. Niet onbelangrijk: alle data blijft hierbij op het eigen systeem van de gebruiker die het framework toepast.
Het vrij beschikbaar stellen van Daaf sluit aan bij de bredere gedachte achter digitale soevereiniteit: minder afhankelijkheid begint niet alleen bij technologie, maar ook bij het delen van kennis en het ontwikkelen van gemeenschappelijke instrumenten.
Van inzicht naar autonomie
De belangrijkste bijdrage van Daaf ligt misschien wel in de manier waarop deze aanpak het gesprek verandert. Door afhankelijkheden zichtbaar en meetbaar te maken, ontstaat ruimte voor gerichte keuzes.
Digitale soevereiniteit blijft daarmee geen abstract ideaal, maar wordt een praktisch vraagstuk: waar zitten de risico’s, wat zijn de opties en welke stappen zijn nodig? Voor organisaties die hun afhankelijkheden beter willen begrijpen – en beheersen – biedt de Utrechtse aanpak een concreet vertrekpunt.
