5 mrt
Joël de Bruijn

Conferentieblog #1: Hoe richt je digitale soevereiniteit slim in?

Joël de Bruijn is vandaag en morgen op de MBO Digitaal Conferentie. Hij bezocht de sessie ‘Hoe richt je digitale soevereiniteit slim in?’ van Rob Vos (Rijn IJssel) en Leon Sprooten (VISTA).

In ronde 1 vertellen Rob en Leon over autonomie, zeggenschap, controle, regie en keuzevrijheid van onze ICT middelen. Actueel natuurlijk vanwege geopolitieke ontwikkelingen en het groeiend besef van onze afhankelijkheid van diensten waar we geen zeggenschap over hebben. Vanuit MBO Digitaal werken we samen met SURF en specifiek Wladimir Mufty.

Ze beginnen met een klein beetje definiëring:

  • Soevereiniteit: Je mag zeggenschap uitoefenen en het is het vermogen om zeggenschap te houden over ICT (diensten, data, voorwaarden).
  • Autonomie: Je kunt zeggenschap uitoefenen. Het vermogen om daadwerkelijk je keuzes uit te voeren.

Zoals altijd hoeven we niet zelf alle perspectieven en onderdelen te verzinnen, dus leestip [pdf]: Cloud Sovereignty Framework.

Op basis daarvan hebben ze een quickscan gemaakt, die per leverancier/dienst kan worden gebruikt om in te schatten of er risico’s zijn. Een greep uit de stellingen uit de scan:

  • Onze data valt uitsluitend onder EU/NL-wetgeving.
  • Het is volledig transparant in welke landen en datacenters de data wordt verwerkt.
  • Alle subverwerkers in de keten zijn bekend en contractueel vastgelegd.
  • Onze processen kunnen ook zonder deze specifieke partij doorgang vinden.
  • Volledige data-export in open, herbruikbare formaten is te allen tijde mogelijk.
  • Overstappen naar een andere leverancier is realistisch qua tijd en kosten.
  • De leverancier is verplicht ons direct te melden als er wijzigingen in de keten zijn.
  • Bij juridische geschillen is uitsluitend een rechter binnen de EU bevoegd.
  • Wij beheren zelf de encryptiesleutels (BYOK) of een vertrouwde EU-derde doet dit.
  • Het feitelijk eigendom van de onderliggende infrastructuur is volledig inzichtelijk.

Logische volgende stap voor ons als (mbo) instellingen is samenwerking op het formuleren van deze stellingen, het bundelen in een pakket van eisen (definiëring en uitwerking) en het uitvoeren van de scans zelf. Conclusies zijn natuurlijk afhankelijk van de risk appetite van een instelling. Maar afgezien daarvan blijft het motto “Autonomie kun je niet alleen!”

Leon benadrukte terecht nog even apart dat identiteit een fundamentele bouwsteen is, want alles ‘volgt daarna’.

Er was veel interactie vanuit het publiek:

  • De waarschuwing: kijk niet alleen naar een applicatie, er zit een hele berg afhankelijkheden onder!
  • Moeten we niet werken aan SBOM (Software Bill of Materials) om afhankelijkheden te kennen?
  • Moeten we niet de autonomie van de student bevorderen en daar beginnen met maatregelen?
  • Stel we gaan met z’n allen dit instrument (de scan) gebruiken, krijgen we dan niet gewoon een modernere versie van de ICT Monitor? Ik denk van wel en ik zie kansen.
  • De scan brengt in beeld ‘hoe groot het probleem is’ en draagt bij aan awareness.

Interesse in de scan? Neem even contact met Rob Vos op.

Categoriën & Tags

Conferenties, Uitgelichte berichten