Explainer 2 – Vragen over digitale autonomie? Doe een risicoanalyse!
Digitale autonomie staat steeds vaker centraal in maatschappelijke en politieke discussies. Omdat we merken dat dit ook voor onze achterban een terugkerend thema is hebben we hierover een drieluik aan kennisbankartikelen geschreven. Dit is deel 2: risicoanalyse. Deel 1 gaat over begripsafbakening en in deel 3 geven we een overzicht van politieke ontwikkelingen.
Krijg jij als IT-leverancier vragen over digitale soevereiniteit en autonomie? Sinds het aantreden van Donald Trump komt dit onderwerp in gesprekken met leden van NLdigital steeds vaker aan bod. Hoe je hiermee om moet gaan is een belangenafweging en deze is voor iedere organisatie anders. In dit artikel leggen we uit hoe een risicoanalyse jouw bedrijf kan helpen om deze vragen op een genuanceerde manier te beantwoorden.
Wat is risicoanalyse in de context van digitale autonomie?
Een risicoanalyse ten behoeve van digitale autonomie brengt in kaart in hoeverre een organisatie afhankelijk is van technologieën, diensten of leveranciers uit andere landen of regio’s en welke risico’s daarmee samenhangen. Op basis daarvan kunnen keuzes gemaakt worden hoe met deze risico’s om te gaan: overdragen, mitigeren, accepteren of stoppen. Risico’s zullen in veel gevallen te mitigeren zijn of door oplossingen bij implementatiepartners over te nemen zijn. Het analyseren van risico’s is voor ieder product en dienst nodig, ongeacht waar die vandaan komt.
Tip: zie het stappenplan risicoanalyse van het Digital Trust Center.
Waarom zijn deze afwegingen zo contextafhankelijk?
Het risico van een strategische afhankelijkheid verschilt sterk per context. Een risico dat voor de defensiesector volledig onacceptabel is, kan voor een regulier commercieel bedrijf prima beheersbaar zijn. De mate van risico wordt bepaald door de waarschijnlijkheid dat de dienst of het product wordt onderbroken en de impact die dit heeft op de organisatie, ook hoe lang een dienst nodig heeft om bij uitval weer volledig operationeel te worden.
Het uitgangspunt is het maken van een risico-gebaseerde aanpak waarbij de toepassing, het type data en het gebruik worden beoordeeld. Op basis daarvan moeten maatregelen genomen worden om de geconstateerde risico’s te beheersen.
Drie dimensies van digitale autonomie
Bij het uitvoeren van een risicoanalyse is het belangrijk om te begrijpen dat digitale autonomie uit meerdere dimensies bestaat. We onderscheiden drie kernaspecten:
- Data autonomie: Dit gaat over de vraag wie toegang heeft tot data, wie de data kan gebruiken en onder welke voorwaarden. Data autonomie betreft de mate waarin een organisatie zeggenschap heeft over waar haar data wordt opgeslagen, hoe deze wordt verwerkt en wie er toegang toe heeft. Dit omvat zowel juridische aspecten (zoals welke wetgeving van toepassing is) als technische maatregelen om controle te behouden.
- Operationele autonomie: Dit betreft de mate waarin een organisatie onafhankelijk kan opereren en beslissingen kan nemen over haar IT-infrastructuur en -diensten. Het gaat om transparantie, inzicht en controle over hoe systemen functioneren. Een organisatie met operationele autonomie kan zelfstandig wijzigingen doorvoeren, het functioneren monitoren en waar nodig bijsturen.
- Software autonomie: Dit heeft betrekking op de afhankelijkheid van specifieke software en leveranciers. Het gaat om de vrijheid om te kunnen wisselen tussen leveranciers en technologieën, waarbij interoperabiliteit en open standaarden een belangrijke rol spelen. Software autonomie kan ervoor zorgen dat organisaties flexibel blijven in hun technologiekeuzes.
Deze drie dimensies zijn onderling verbonden en moeten in samenhang worden beschouwd bij het uitvoeren van een risicoanalyse. Het betreft in veel gevallen ook geen binaire keuze: er zijn gradaties van autonomie die wenselijk of noodzakelijk zijn.
Praktisch perspectief voor IT-leveranciers
Als IT-leverancier krijg je wellicht vragen van klanten over de herkomst van uw technologie of diensten en de daarmee samenhangende risico’s. Ter voorbereiding kun je jezelf een aantal essentiële vragen stellen:
- In hoeverre zijn jouw producten of diensten afhankelijk van technologie die door geopolitieke ontwikkelingen onbeschikbaar zouden kunnen worden?
- Welke impact zou een onderbreking van deze toeleveringen hebben op jouw bedrijfscontinuïteit?
- Zijn er alternatieve leveranciers of technologieën beschikbaar als noodscenario?
Je kunt beantwoording hierover voorbereiden en afstemmen met de leveranciers van de producten en diensten die je levert. Er zijn technische maatregelen denkbaar die werkbare oplossingen bieden voor uiteenlopende typen aanbieders, waaronder:
- Interoperabiliteit en dataportabiliteit tussen aanbieders
- Data back-ups die bij uitval bij een andere aanbieder opgestart kunnen worden
- Hybride cloud modellen die flexibiliteit bieden voor verschillende toepassingen
- End-to-end encryptie en geavanceerde beveiligingsmaatregelen
- Ontwikkeling van volledig private cloud-componenten waar volledige controle noodzakelijk is
Tot slot
Elke organisatie heeft zijn eigen specifieke context en risicoprofiel. Door een gedegen risicoanalyse uit te voeren, kan jij als IT-leverancier jouw klanten helpen om weloverwogen beslissingen te nemen die passen bij hun specifieke situatie.
Bij het ontwikkelen van beleid op deze punten moeten alle aspecten worden afgewogen. Hierbij zijn geopolitieke afwegingen één van de aspecten die een rol kan spelen, maar deze moeten in samenhang en context met mitigerende opties bekeken worden. Zowel Nederland als Europa hebben jarenlang succes als open economieën die zich niet door protectionisme laten terughouden. Dat moeten we blijven koesteren terwijl we onze eigen innovatie aanjagen om internationaal concurrerend te blijven. Juist daarvoor blijft toegang tot de beste beschikbare technologieën tegen concurrerende prijzen essentieel voor de digitale transformatie van het bedrijfsleven.
In het volgende artikel geven we een overzicht van politieke ontwikkelingen rondom dit thema in Nederland en de EU. Zo helpen we onze leden om strategisch te anticiperen op deze ontwikkelingen.
Gerelateerde artikelen
Voordat je AI inzet: denk na over AI governance
AI Act in zicht, voorkom verrassingen
