组织如何提升数字自主性：从外包到掌控的转型路径Digitale autonomie: wat kunnen organisaties NU doen

对数字自主权的担忧日益加剧，越来越多的（大型）组织向我提出一个问题：我们现在能做什么？

我确实有一份清单，但在开始之前，请意识到我们已经在过去15年里把所有东西都外包给了美国。或者说，我们把事情交给别人，而那些人又把它们送到了美国。15年是一段很长的时间，我们不可能一夜之间就“恢复过来”，重新以不同的方式处理事务。

大多数机构如今不再拥有像过去那样的独立IT部门。多年来，他们使用的软件几乎无一例外都是美国大型科技公司提供的。你没有IT部门，实际上你只有一个“大科技公司部门”。而这个部门现在也开始大量采用“即服务”模式，从第三方获取软件。

不过，我们确实有很多事情可以立即着手去做。如果这些措施能够奏效，并激励所有人——包括你所在组织之外的人——重新投身于这项事业，那显然说明这是可行的，而且我们也能做得很好。

你现在可以做的事情

这些事情并不能彻底解决问题，但可以在不费太多力气的情况下实现。

停止迁移！

我所了解的每一家组织都在疯狂地将服务器、数据中心和软件以惊人的速度迁移到美国大型科技公司。这个过程往往是在暗中进行的，一旦完成，就再也无法回头。因为一旦迁移，就永远无法撤销。有些系统确实已经老旧不堪，可以说“非此不可”。但很多时候，其实并没有真正的紧迫性。比如最近拟议将增值税管理完全交由美国公司负责的计划，真的有必要今年就实施吗？

通常你会发现，旧系统在欧洲服务器上仍然完全可以运行。什么都不做也不会耗费太多精力。

建议：在我所知的每个组织中，都有人试图阻止向美国移交重要数据。不妨邀请这些人到管理层面前，提供未经筛选的反馈，问问他们是否真的需要这样做。

移除网站和应用中的美国追踪器

具体原因尚不明确，但许多本应更清楚这一点的组织，其网站和应用却充斥着美国追踪器和分析工具。正如我之前所写，他们通常对这些数据也毫无实际用途。但所有访问者的隐私却因此受到了损害。要求营销部门解释为什么必须追踪用户行为，他们却无法给出令人信服的答案。

统计数据也可以通过自托管（自行管理的）软件获得，或者效仿政府做法，使用Matomo这类不收集访客数据的工具。

额外的好处是，如果你正确配置，那些烦人的Cookie横幅也可以去掉。再次强调，如果有人坚称必须进行追踪，不妨让他们列出基于追踪数据所做的决策，以及他们从中真正学到了什么。同时也要问清楚，他们是否学到了原本显而易见的东西。

最后，请务必区分“Cookie使用合法”（可能如此）与“将用户数据交给Google Analytics是个好主意”这两件事！顺便说一句，荷兰政府至今仍在这样宣传（这简直令人震惊）。

向你的SaaS供应商施压

Inmiddels draait er nog maar weinig software onder eigen beheer. In plaats daarvan hebben we ‘Software as a Service’, ook wel bekend als SaaS. Het proces waarmee vrijwel alle software inmiddels buiten de deur draait heet ook wel ‘Ver-SaaSing’. Microsoft 365 is een goed voorbeeld, maar het geldt inmiddels voor bijna alles. Salarisberekeningen, sollicitatieprocessen, declaratiesystemen, nieuwsbrieven, zaak- en document-management systemen: bijna alles is nu buiten de deur.

En buiten die deur draait het vaak of direct of indirect op Amerikaanse clouds.

Nou spreek ik weleens zo’n SaaS-aanbieder, en het blijkt dat vele daarvan ook wel willen leveren op basis van Europese clouds. Maar, “dan moeten mensen er wel om vragen”.

Het helpt dan met name om dat te doen samen met branchegenoten (of andere universiteiten of gemeentes). Het aardige is dat dit meer digitale autonomie op kan leveren zonder dat je er zelf voor hoeft te veranderen. Het is de aanbieder die je autonoom maakt.

Een voorbeeld is het Zweedse bedrijf Qmatic wat voor gemeentes afspraken voor paspoorten en rijbewijzen organiseert, en ook op een hoop andere plekken dat soort dingen doet. Vroeger had Qmatic eigen servers in Nederland (samen met VNG staat me bij). Nu is de meerderheid Amazon Web Services. Dat kan best weer terug.

Maar doe dit vooral samen, want overal vang ik op dat 1 klant per leverancier niet genoeg motivatie is om het te doen.

Start een concreet maar KLEIN project met “skin in the game”

Zoals gezegd zijn we danig ‘uit vorm’ in het doen van IT-projecten die niet draaien op Amerikaanse big tech. Om weer capaciteit en vertrouwen op te bouwen is het daarom nodig klein te beginnen. Maar ook weer niet te klein. Er draaien op allemaal plekken proeftuintjes, en die zijn leuk om naar te kijken, en we leren er echt wel dingen.

Maar we moeten ook succesvolle projecten hebben die live gaan. “Skin in the game”. Als voorbeeld wil ik de nieuwe Kiesraadsoftware “Abacus” noemen. Draait op eigen computers, bij de gemeentes zelf, en heeft geen externe afhankelijkheden. Dit is ons werk, zelfgemaakt, op eigen infrastructuur. En het is een succes.

En niet alleen werkt de software geheel autonoom, de gebruikers vinden het ook een hele fijne ervaring. Dat de ontwikkelaars (bij de Kiesraad) werkelijk ieder probleem op kunnen lossen en niet ergens ver weg een ticket hoeven te openen.

Ik raad iedere organisatie aan om een plek in de organisatie te vinden die er toe doet en daar een project te starten op basis van Europese technologie. Maar probeer ook niet gelijk de hele wereld aan te pakken. De Abacus-software is bijvoorbeeld eerst getest bij 14 gemeentes. En dat bouwt de komende verkiezingen op als het goed blijft gaan.

En weet bij zo’n klein project ook, er zal tegenwind komen van mensen die liever met de stroom meezwemmen. Maar overwin die tegenwind door veel dichter op de gebruikers te zitten. Maak ze gelukkig. We willen van big-tech af. We willen niet hun vreselijk afstandelijke omgang met gebruikers nabouwen!

Noodvoorziening

De afhankelijkheid van Microsoft 365 is totaal op de meeste plekken. Als in, als er een storing is in M365 kan iedereen net zo goed boodschappen gaan doen of gaan hardlopen: gewerkt wordt er vandaag niet meer. Sterker nog, het is nog een hele klus om de collega’s te vertellen dat het over is met het werk voor voorlopig. Hoe zou je ze nog bereiken?

Het is inmiddels goed mogelijk om een werkomgeving te bouwen op basis van andere software. Ik doe zelf al jaren niets anders. Dat is wel even wennen, de knopjes zitten op andere plekken, dingen werken anders, en ook niet alle knoppen zijn er ook. Maar honderdduizenden ambtenaren in Europa werken al met dit soort systemen.

Er is enthousiasme en begrip voor het opbouwen van digitale noodvoorzieningen. Zelfs de overheid roept ons op dat te doen, wat vrij ironisch is, maar we doen het er mee.

Maar, laten we luisteren, en het is inderdaad een nuttig idee een alternatieve werkplek klaar te hebben staan. “Just in case”. Als Microsoft er dan uit ligt is er nog wat te doen, in ieder geval voor de meest belangrijke processen.

Let daarbij wel op dat er afdoende krachten zijn die niet zitten te wachten op concurrentie, en die de noodvoorziening willen houden aan de hoogste eisen. Maar als niks meer werkt ben je ook al blij met een werkplek die misschien geen ondersteuning heeft voor Armeens.

PS: Denk voor de (nood)communicatie ook aan een aparte website-voorziening. Softwareleverancier ChipSoft (zie verderop) was weken lang niet in staat om te communiceren over de hack en diefstal van patiëntengegevens!

Afhankelijkheidsmitigatie: backups

Hier is sowieso veel winst te behalen. Organisaties leunen nu zwaar op Software-as-a-Service. Zo’n SaaS-aanbieder is vervolgens de primaire beheerder van je leerling-, patiënt-, medewerker- of onderzoeksdata. Maar als organisatie blijf je zelf verantwoordelijk voor de continuïteit.

Het is niet voldoende dat je SaaS-parter backups claimt te hebben. Als de partner gehacked wordt (zoals recent bij Canvas en ChipSoft gebeurde) moet je toch door kunnen. Dit staat ook in (nieuwe) wetten.

Digitaal autonoom worden houdt ook in dat je jezelf minder kwetsbaar maakt. Bijvoorbeeld dat je door kunt als je leverancier, mogelijk door sancties gedwongen, ineens niet meer (mee)werkt.

Het blijkt dat organisaties slecht op de hoogte zijn van waar hun data leeft, en vaak ook niet weten hoe het nu staat met de backups.

Het is enorm zinvol zo snel mogelijk een inventarisatie te maken:

Ga er zonder tegenbericht vanuit dat je backups in fase ‘1’ zitten. Eis ondubbelzinnig bewijs voor je iets anders gelooft.

Fase 5 is overigens goed te gebruiken in samenwerking met het vorige kopje, de noodvoorziening. Een (academisch) ziekenhuis wat z’n patiëntendossiers kan blijven gebruiken op een noodvoorziening is een gouden bezit!

Terloops, ook auditors zullen in het nieuwe NIS2-tijdperk kritische vragen stellen over backups en noodvoorzieningen. Dus zeer de moeite waard dit nu te inventariseren.

Maak uw belangrijkste communicatie ook op een open platform toegankelijk

所有愚蠢的原因都让组织继续留在 X（前身为 Twitter）上。但，这迫使公民和记者也必须在该平台上，如果他们想关注政府和新机构的最新消息。

荷兰政府现在也在开放网络 Mastodon 上拥有自己的服务器。大学也有这样的服务器。Mastodon 不是 X（没有名人），但它对每个人来说都是完全可访问的，消息总是被展示而不是被美国社交媒体算法压制（这些算法在美国的支持下削弱我们的民主）。Mastodon 上的消息可以被任何人看到。完全可以实现在开放平台上发布重要内容，这样每个人的沟通都能被看到。

在 Niet zonder! 网站上可以找到关于政府和机构如何至少通过非美国平台和算法保持可访问性的信息。通信部门通常觉得把消息再发一遍很麻烦，但不做这些工作，我们永远无法摆脱大科技算法的掌控。

而且，政府把疫苗宣传视频上传到 YouTube 后，紧接着就被反疫苗宣传和阴谋论跟进，这不是很奇怪吗？幸运的是，还有其他选择。

到此为止

上述内容将为大多数组织提供足够的动力开始行动。这将迅速增强对 IT 的控制，希望组织能对此产生兴趣。有了重新建立的信任，就可以着手处理更大、更复杂的项目。同时，组织也会很快在实践中变得更加强大。

祝好运！