De tool is gratis te downloaden. De volledige naam is Utrecht University Digital Autonomy Assesment Framework (DAAF). Door een aantal vragen in de meetlat te beantwoorden, kom je te weten of er snel actie nodig is voor een applicatie of niet.
Universiteit Utrecht ontwikkelt meetlat digitale autonomie
Niet alleen overheden zitten in hun maag met hun digitale afhankelijkheden, ook voor hogeronderwijsinstellingen is digitale autonomie een belangrijk onderwerp. De Universiteit Utrecht brengt de eigen kwetsbaarheden in kaart. Dat doet de universiteit met een zelf ontwikkelde meetlat, die andere organisaties vrij kunnen gebruiken.
Door een aantal vragen in de meetlat te beantwoorden, kom je te weten of er snel actie nodig is voor een applicatie of niet.
Waar is de urgentie het hoogst?
De tool beoordeelt applicaties op drie niveaus: hoe groot zijn de externe risico’s, hoe goed kan de organisatie dat opvangen, en hoe belangrijk is de applicatie voor de kerntaken? Doel is om te zien waar de urgentie het hoogst is en waar de ruimte zit voor concrete stappen.
Je kunt kiezen voor een quickscan of een volledige meetlaat. Eerst voeg je de naam van een applicatie toe, bijvoorbeeld Microsoft Teams, of je importeert een lijst met applicaties. Vervolgens geef je de applicatie voor iedere indicator een score van 1 tot 5. Eén indicator is bijvoorbeeld de jurisdictie waar de leverancier onder valt, waarbij score 1 staat voor EU/EER-juridisdictie en score 5 betekent dat de applicatie buitenlandse overheden directe toegang biedt. Het is mogelijk om sommige indicatoren zwaarder te wegen dan andere.
Voorkennis nodig
Uit de vragen die verduidelijken waar de indicatoren over gaan, blijkt dat er wel wat voorkennis wordt verwacht van de invuller. Waar worden de data fysiek gehost? Wat is er contractueel geregeld over een vertrek, data-overdracht en flexibiliteit? Bestaan er vergelijkbare diensten die als alternatief kunnen dienen?
Uiteindelijk krijg je per applicatie vier scores: op risico-exposure, mitigatie-capaciteit, strategisch belang en een eindscore op autonomie. In de handleiding schrijven de makers dat de autonomiescore geen maat is voor ‘hoe digitaal autonoom is deze applicatie?’ De vraag die wordt beantwoordt is: ‘hoe urgent is het autonomieprobleem?’
De vraag die wordt beantwoordt is: ‘hoe urgent is het autonomieprobleem?’
Een hoge score is een goede zaak: er is geen acute actie nodig. Ofwel de risico's zijn goed gemitigeerd, of de applicatie heeft weinig strategisch belang. Bij een lage score is er sprake van een combinatie van hoog risico, zwakke mitigatie en/of hoog strategisch belang. Dat vraagt om actie: migreren, mitigeren of, ook altijd nog een mogelijkheid, bewust accepteren.
Screenshot van een deel van de meetlat
© Universiteit Utrecht
Klik om te vergroten
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.