Digitale autonomie: wat kunnen organisaties NU doen

Posted on

De zorgen over digitale autonomie nemen toe, en steeds vaker krijg ik van (grote) organisaties de vraag: wat kunnen we NU doen?

Nou heb ik wel een lijstje, maar voor we beginnen, besef dat we 15 jaar lang alles naar Amerika hebben geschoffeld. Of, we hebben het uitbesteed, en DIE mensen stuurden het naar Amerika. 15 jaar is een lange tijd, en we zijn niet 1 2 3 weer “in vorm” om de zaken weer anders aan te pakken.

De meeste instellingen hebben geen eigen IT-afdeling meer zoals vroeger. Er is al in geen jaren meer software in gebruik genomen die niet van Amerikaanse big-tech was. U heeft geen IT-afdeling maar eigenlijk meer een big-tech afdeling. En zelfs die afdeling neemt inmiddels de meeste software “as a service” af van iemand anders.

Maar, er zijn genoeg dingen die we wel nu al kunnen doen. En als die lukken motiveert dat iedereen, ook buiten uw eigen organisatie, om weer aan de bak te gaan: kennelijk kan het wel, en we kunnen er weer goed in worden.

Dingen die je nu kan doen

Hiermee zijn de problemen niet opgelost, maar het kan wel nu zonder al te veel moeite.

Three traffic cones with hard hats, suggesting maintenance work

Stop de migratie!

Iedere organisatie die ik ken is nog driftig bezig servers, datacenters en software in moordend tempo te migreren naar Amerikaanse big tech. Vaak gebeurt dit wat onder de radar en dan “is het ineens zo” & is er geen weg terug meer. Want eenmaal gemigreerd blijft gemigreerd. Er zijn systemen die echt zo oud en verlopen zijn dat men kan zeggen “dat het wel moet”. Maar heel vaak is er helemaal geen haast. Zoals bijvoorbeeld bij de recente voorgenomen verhuizing van de btw naar volledig Amerikaans beheer. Moet dat echt nog dit jaar?

Vaak blijkt het oude systeem, op Europese servers, nog prima levensvatbaar. En niets doen kost ook niet zoveel werk.

Tip: in iedere organisatie die ik ken zijn er mensen die proberen de uitlevering van belangrijke data aan Amerika tegen te houden. Nodig die eens uit bij de directie voor ongefilterde feedback of het nou echt nodig is.

Haal de Amerikaanse trackers van uw site en apps

Hoe het komt is niet echt duidelijk, maar zelfs organisaties die veel beter zouden moeten weten hebben hun sites en apps vol Amerikaanse trackers en analytics zitten. En zoals ik eerder schreef, men doet meestal ook niets zinvols met die data. Maar de privacy van alle bezoekers is wel beschadigd. Eis van afdelingen marketing die zeggen dat ze niet zonder die data kunnen dat ze kwantificeren waarom het de moeite waard is uw bezoekers “de moeder te tracken”. Kunnen ze bijna nooit.

Statistieken zijn ook te krijgen met on-site (zelfbeheerde) software, of doe als de overheid en gebruik Matomo wat geen handel doet in gegevens van uw bezoekers.

Bijkomende lol is dat als u het goed inricht die irritante cookie-banner weg kan. En nogmaals, voor iemand zegt toch echt tracking nodig te hebben: vraag een lijst van beslissingen die genomen zijn met wat er geleerd is door al die tracking. En of wat men leerde niet best voor de hand lag.

Afsluitend, verwar vooral niet “de cookies zijn rechtmatig” (zou kunnen) met “het is een goed idee onze gebruikers uit te leveren aan Google Analytics”! Zoals de Rijksoverheid nog steeds zegt overigens (schandalig).

Bestook je SaaS-providers

Inmiddels draait er nog maar weinig software onder eigen beheer. In plaats daarvan hebben we ‘Software as a Service’, ook wel bekend als SaaS. Het proces waarmee vrijwel alle software inmiddels buiten de deur draait heet ook wel ‘Ver-SaaSing’. Microsoft 365 is een goed voorbeeld, maar het geldt inmiddels voor bijna alles. Salarisberekeningen, sollicitatieprocessen, declaratiesystemen, nieuwsbrieven, zaak- en document-management systemen: bijna alles is nu buiten de deur.

En buiten die deur draait het vaak of direct of indirect op Amerikaanse clouds.

Nou spreek ik weleens zo’n SaaS-aanbieder, en het blijkt dat vele daarvan ook wel willen leveren op basis van Europese clouds. Maar, “dan moeten mensen er wel om vragen”.

Het helpt dan met name om dat te doen samen met branchegenoten (of andere universiteiten of gemeentes). Het aardige is dat dit meer digitale autonomie op kan leveren zonder dat je er zelf voor hoeft te veranderen. Het is de aanbieder die je autonoom maakt.

Een voorbeeld is het Zweedse bedrijf Qmatic wat voor gemeentes afspraken voor paspoorten en rijbewijzen organiseert, en ook op een hoop andere plekken dat soort dingen doet. Vroeger had Qmatic eigen servers in Nederland (samen met VNG staat me bij). Nu is de meerderheid Amazon Web Services. Dat kan best weer terug.

Maar doe dit vooral samen, want overal vang ik op dat 1 klant per leverancier niet genoeg motivatie is om het te doen.

Start een concreet maar KLEIN project met “skin in the game”

Zoals gezegd zijn we danig ‘uit vorm’ in het doen van IT-projecten die niet draaien op Amerikaanse big tech. Om weer capaciteit en vertrouwen op te bouwen is het daarom nodig klein te beginnen. Maar ook weer niet te klein. Er draaien op allemaal plekken proeftuintjes, en die zijn leuk om naar te kijken, en we leren er echt wel dingen.

Maar we moeten ook succesvolle projecten hebben die live gaan. “Skin in the game”. Als voorbeeld wil ik de nieuwe Kiesraadsoftware “Abacus” noemen. Draait op eigen computers, bij de gemeentes zelf, en heeft geen externe afhankelijkheden. Dit is ons werk, zelfgemaakt, op eigen infrastructuur. En het is een succes.

En niet alleen werkt de software geheel autonoom, de gebruikers vinden het ook een hele fijne ervaring. Dat de ontwikkelaars (bij de Kiesraad) werkelijk ieder probleem op kunnen lossen en niet ergens ver weg een ticket hoeven te openen.

Ik raad iedere organisatie aan om een plek in de organisatie te vinden die er toe doet en daar een project te starten op basis van Europese technologie. Maar probeer ook niet gelijk de hele wereld aan te pakken. De Abacus-software is bijvoorbeeld eerst getest bij 14 gemeentes. En dat bouwt de komende verkiezingen op als het goed blijft gaan.

En weet bij zo’n klein project ook, er zal tegenwind komen van mensen die liever met de stroom meezwemmen. Maar overwin die tegenwind door veel dichter op de gebruikers te zitten. Maak ze gelukkig. We willen van big-tech af. We willen niet hun vreselijk afstandelijke omgang met gebruikers nabouwen!

Noodvoorziening

De afhankelijkheid van Microsoft 365 is totaal op de meeste plekken. Als in, als er een storing is in M365 kan iedereen net zo goed boodschappen gaan doen of gaan hardlopen: gewerkt wordt er vandaag niet meer. Sterker nog, het is nog een hele klus om de collega’s te vertellen dat het over is met het werk voor voorlopig. Hoe zou je ze nog bereiken?

Het is inmiddels goed mogelijk om een werkomgeving te bouwen op basis van andere software. Ik doe zelf al jaren niets anders. Dat is wel even wennen, de knopjes zitten op andere plekken, dingen werken anders, en ook niet alle knoppen zijn er ook. Maar honderdduizenden ambtenaren in Europa werken al met dit soort systemen.

Er is enthousiasme en begrip voor het opbouwen van digitale noodvoorzieningen. Zelfs de overheid roept ons op dat te doen, wat vrij ironisch is, maar we doen het er mee.

Maar, laten we luisteren, en het is inderdaad een nuttig idee een alternatieve werkplek klaar te hebben staan. “Just in case”. Als Microsoft er dan uit ligt is er nog wat te doen, in ieder geval voor de meest belangrijke processen.

Let daarbij wel op dat er afdoende krachten zijn die niet zitten te wachten op concurrentie, en die de noodvoorziening willen houden aan de hoogste eisen. Maar als niks meer werkt ben je ook al blij met een werkplek die misschien geen ondersteuning heeft voor Armeens.

PS: Denk voor de (nood)communicatie ook aan een aparte website-voorziening. Softwareleverancier ChipSoft (zie verderop) was weken lang niet in staat om te communiceren over de hack en diefstal van patiëntengegevens!

Afhankelijkheidsmitigatie: backups

Hier is sowieso veel winst te behalen. Organisaties leunen nu zwaar op Software-as-a-Service. Zo’n SaaS-aanbieder is vervolgens de primaire beheerder van je leerling-, patiënt-, medewerker- of onderzoeksdata. Maar als organisatie blijf je zelf verantwoordelijk voor de continuïteit.

Het is niet voldoende dat je SaaS-parter backups claimt te hebben. Als de partner gehacked wordt (zoals recent bij Canvas en ChipSoft gebeurde) moet je toch door kunnen. Dit staat ook in (nieuwe) wetten.

Digitaal autonoom worden houdt ook in dat je jezelf minder kwetsbaar maakt. Bijvoorbeeld dat je door kunt als je leverancier, mogelijk door sancties gedwongen, ineens niet meer (mee)werkt.

Het blijkt dat organisaties slecht op de hoogte zijn van waar hun data leeft, en vaak ook niet weten hoe het nu staat met de backups.

Het is enorm zinvol zo snel mogelijk een inventarisatie te maken:

  1. Data staat alleen bij de leverancier, zij claimen backups te doen
  2. We kunnen de backups downloaden bij de leverancier en zelf bewaren, maar we kunnen er niks mee, want de backup werkt alleen met de software van de SaaS-provider, die we zelf niet hebben
  3. We krijgen een praktisch nutteloze backup: een PDF van 23.000 pagina’s met het dossier van al onze medewerkers afgedrukt
  4. Er is een op zich leesbare backup in een standaard (CSV, XML, JSON, SQLite) of goed omschreven formaat waarmee je verder zou kunnen
  5. Er is een backup die we zelf tot leven kunnen wekken zodat de continuïteit gewaarborgd is

Ga er zonder tegenbericht vanuit dat je backups in fase ‘1’ zitten. Eis ondubbelzinnig bewijs voor je iets anders gelooft.

Fase 5 is overigens goed te gebruiken in samenwerking met het vorige kopje, de noodvoorziening. Een (academisch) ziekenhuis wat z’n patiëntendossiers kan blijven gebruiken op een noodvoorziening is een gouden bezit!

Terloops, ook auditors zullen in het nieuwe NIS2-tijdperk kritische vragen stellen over backups en noodvoorzieningen. Dus zeer de moeite waard dit nu te inventariseren.

Maak uw belangrijkste communicatie ook op een open platform toegankelijk

Om allemaal stomme redenen blijven organisaties op X (voorheen Twitter). Maar, dit verplicht burgers en journalisten om ook op dat platform te zitten als ze de nieuwste berichten van de overheid en instellingen willen volgen.

De Rijksoverheid zit nu ook met een eigen server op het open netwerk Mastodon. Ook de universiteiten hebben zo’n server. Mastodon is geen X (er zitten geen celebs), maar het is wel vrij toegankelijk voor iedereen, en de berichten worden altijd getoond en niet onderdrukt door algoritmes van Amerikaanse social media (die door de VS gestimuleerd worden om onze democratie mee te ondermijnen). Een bericht op Mastodon kan door iedereen gezien worden. Het is prima mogelijk om belangrijke content in ieder geval OOK te plaatsen op een open platform, want dan kan iedereen je communicatie zien.

Op de site Niet zonder! is informatie te vinden hoe overheden en instanties in ieder geval ook bereikbaar kunnen zijn buiten Amerikaanse platformen en algoritmes om. Communicatieafdelingen vinden het vaak een boel werk om een bericht nog een keer te moeten plaatsen ergens, maar zonder dat werk te doen komen we nooit weg uit de big-tech algoritme-fuik.

En terloops, is het niet heel raar dat de overheid voorlichting over vaccinaties op YouTube zet, waarna die voorlichting direct wordt gevolgd in anti-vax propaganda en samenzweringstheorieën? Gelukkig zijn er alternatieven.

Tot zover

Het bovenstaande zal voor de meeste organisaties voldoende aanknopingspunten bieden om mee aan de slag te gaan. En hiermee vergroot de grip op de IT al snel, en hopelijk krijgt de organisatie de smaak te pakken. Met hernieuwd vertrouwen kunnen dan grotere en moeilijkere projecten aangepakt gaan worden. En ook is de organisatie al snel in praktische termen weerbaarder.

Succes!