Blog
19-06-2025
Eerder gingen we al in op het belang van het opnemen van publieke waarden als gunningscriterium in een aanbesteding. Hoe zit het daarbij specifiek met digitale autonomie? Iedere dag staat hier namelijk wel iets over in de krant: we zijn afhankelijk van een aantal niet–Europese big tech bedrijven, organisaties lopen het risico niet meer bij hun eigen data te kunnen, tariefheffingen kunnen onze systemen onbetaalbaar maken. Wat kun je als onderwijsinstelling nu praktisch doen in een aanbestedingsprocedure, om tot betere voorwaarden te komen en zo jouw digitale autonomie te versterken?
In het hierna volgende artikel zijn een aantal voorbeelden overgenomen uit de – in het eerste artikel uitgebreider besproken – aanbesteding van een Learning Management System bij de Universiteit Utrecht in 2024.
Digitale soevereiniteit en digitale autonomie: wat is het verschil?
Digitale soevereiniteit verwijst naar de controle die een staat, organisatie of individu heeft over zijn eigen digitale activa en gegevens, inclusief hoe deze worden opgeslagen, beheerd en gebruikt. Het gaat om de vrijheid om zelfstandig jouw digitale infrastructuur te kiezen en te beheren en om de gegevens te beschermen tegen buitenlandse invloed en controle. Corno Vromans, adviseur strategie & innovatie bij SURF: “We zullen in Nederland in principe nooit volledig digitaal soeverein zijn, omdat we een gedeelte van onze bevoegdheden in handen van de EU hebben gelegd. We kunnen bijvoorbeeld niet besluiten dat de AVG/GDPR – de privacybeschermingswet, red. – voor ons niet van toepassing is omdat dit de Europese wetgeving is.”
In dit artikel richten we ons dan ook op het versterken van de digitale autonomie van onderwijsinstellingen. Vromans: “Digitale autonomie is eigenlijk een laag onder digitale soevereiniteit: als je digitaal autonoom bent kun je als onderwijsinstelling zelfstandig en onafhankelijk handelen in de digitale wereld, zonder afhankelijk te zijn van externe partijen. Zo kun je keuzes maken die in lijn liggen met jouw pedagogische visie en maatschappelijke opdracht. Belangrijk, want deze zeggenschap borgt de onafhankelijkheid en vrijheid van ons onderwijs.”
Breng in kaart hoe je er nu voor staat
Matthijs van Otegem, directeur Universiteitsbibliotheek Universiteit Utrecht: “Digitale autonomie is altijd al belangrijk geweest. Maar we zien nu steeds vaker in het nieuws dat het misgaat. Door de situatie in de Verenigde Staten – met een onberekenbare Trump, niet-Europese big tech–bedrijven (zoals Google, Microsoft en Amazon) met veel macht en datahandelsverdragen die op losse schroeven staan – worden we met onze neus op de feiten gedrukt: veel leveranciers hebben momenteel de touwtjes in handen wat betreft het verwerken van onze data, keuzemogelijkheden in gebruik van (nieuwe) systemen en kosten voor gebruik van de technologie.”
Digitale autonomie raakt aan de vrijheid en onafhankelijkheid van het onderwijs om zélf te bepalen hoe en waarmee het onderwijs wordt vormgegeven.
Vromans: “Om als instelling jouw digitale autonomie te versterken, is het essentieel dat je een goed beeld hebt van hoe je er nu voor staat. Niet alleen op het niveau van een (nieuwe) applicatie, maar ook de hele laag eronder. Denk bijvoorbeeld aan het systeem waarmee je inlogt, ook daar kun je afhankelijk zijn van Big Tech. Als je het echt uitgebreid wilt doen kijk je ook naar, het fysieke netwerk en bijbehorende netwerkapparatuur, het besturingssysteem etc. Dan controleer je de hele stack. Hoe zien de afhankelijkheden eruit? Heb je een fall-back optie? Dit zijn geen makkelijke vragen, maar het gaat om het bewustzijn om op het gebied van digitale autonomie doordachte keuzes maken: welk risico kan en wil je nemen? Is er sprake van een mogelijke vendor lock-in (leveranciersonafhankelijkheid, red.)? Zijn er alternatieven beschikbaar?”
Digitale autonomie bevorderen via jouw aanbesteding
Vromans: “Wat je in de aanbesteding opschrijft over digitale autonomie is afhankelijk van het risico dat je wilt accepteren. Wat je te weten wilt komen: hoe autonoom is deze oplossing, oftewel: hoe zit het met keuzevrijheid? Welke (open) standaarden worden gebruikt, hoe ziet het scenario eruit wanneer je aan het eind van het contract afscheid van elkaar neemt of tussendoor opzegt? Wat gebruikt de leverancier precies aan techniek? Van welke onderaannemers is de aangeboden oplossing afhankelijk? Het doel van digitale autonomie is dat je zélf de regie hebt en houdt.”
In de aanbesteding kan je bijvoorbeeld opnemen: “Toon aan op welke wijze de oplossing bijdraagt aan digitale autonomie. Ga hierbij minimaal in op de volgende aspecten: eigenaarschap van data, transparantie van algoritmes, open standaarden, en vermijding van vendor lock-in.”
Uiteraard is het mogelijk, en op sommige punten verstandig, om de leverancier om concrete voorbeelden te vragen. Bijvoorbeeld op het gebied van het voorkomen van vendor lock-in:
‘Beschrijf uw exit-strategie en geef aan hoe u na beëindiging van de overeenkomst de data overdraagt en vernietigt. Geef hierbij ook aan hoe u de exit onderhoudt en test. Of: Beschrijf in hoeverre het mogelijk is om het systeem te integreren met andere systemen. En: Geef aan in welke mate we als instelling invloed hebben op de doorontwikkeling van het systeem. Geef hierbij inzage in het proces van wens tot realisatie.’
Botsing met andere waarden
Digitale autonomie kan in de praktijk botsen met andere waarden, zoals rechtvaardigheid – zie hiervoor het eerder gepubliceerde artikel over publieke waarden – of gebruikersgemak. Wat is dan belangrijker? Vromans: “Er zijn in de praktijk soms al wel alternatieven voor big tech-oplossingen beschikbaar, maar deze bieden op het gebied van gebruikersgemak een andere, vaak minder prettige, beleving. Maar: je krijgt er wel zeggenschap over je data voor terug.
Bij het opstellen van het aanbestedingsdocument maak je al keuzes. En blijf vervolgens het gesprek aangaan, wat is de visie van de leverancier? Past dit bij de visie van de onderwijsinstelling?
Van Otegem: “Dit zijn geen makkelijke vragen, want wat weegt zwaarder? De uitkomst verschilt per dilemma, het belangrijkste is dat je steeds het gesprek aangaat. Je maakt steeds nieuwe keuzes, en dat maakt het juist ook leuk. Dáár ligt ook je toegevoegde waarde als instelling. Je bent steeds in contact met de samenleving en de leveranciers, je maakt keuzes, stelt beleid op en pakt dus de regie.”
Verwerking van data
Het is belangrijk om aan de hand van de aanbesteding te kunnen beoordelen in welke mate jouw instelling de controle behoudt over de data. Lars Leunissen, jurist bij SURF: “Schakel in het aanbestedingsteam ook een privacy-jurist in om dit goed te beoordelen. Neem bijvoorbeeld op dat opslag en verwerking alleen binnen de EU/EER mag plaatsvinden, als je weet dat er voldoende marktpartijen zijn die dit waar kunnen maken. Vaak is echter nog niet die Europese speler voorhanden of heb je te maken met partijen die met een niet-Europese onderaannemer werken. Zoek dan de balans in wat je minimaal wenst te borgen en wat je maximaal accepteert als risico. Je verbindt aan het “doorsluizen” van gegevens duidelijke afspraken. Daarnaast verdient het in zo’n situatie, waar een dergelijke territoriale eis niet mogelijk is, de voorkeur om uit te vragen hoe de instelling (toch) controle behoudt over haar data. Leverancier, inclusief de eventueel door haar ingeschakelde onderaannemer, kan zich in haar inschrijving op dit punt onderscheiden en zal meer punten krijgen als de risico’s laag zijn.”
In de aanbesteding kan je over data opnemen: ‘Geef inzicht in de benodigde datastromen en bewerkingen. Licht uw visie toe op de verzameling en verwerking van data en configuratie–opties om dataverzameling te minimaliseren. Wordt de data opgeslagen op Europese servers en uitsluitend verwerkt binnen de EU/EER? Als de gegevens toch worden opgeslagen en/of verwerkt buiten de EU/EER, welke aanvullende technische en organisatorische maatregelen zult u dan treffen om het risico te minimaliseren dat buitenstaanders toegang tot de data krijgen? Geef ook uw visie op de inzet van Artificial Intelligence. Kunnen we het algoritme inzien? En: Security: Beschrijf hoe u het risico minimaliseert op gaten in het systeem. Hoe vaak vinden penetration tests bijvoorbeeld plaats?’
Robbie Nijsse, directeur adviesbureau Fundatis en projectleider in de aanbesteding van een Learning Management Systeem voor Universiteit Utrecht, maakt hierbij wel een belangrijke kanttekening: “Wees wel realistisch in je eisen. Als je namelijk vereist dat álle data volledig bij de instelling blijft, of dat álles wat tijdens het traject nieuw wordt ontwikkeld in het systeem eigendom wordt van de instelling, heb je geen leverancier die inschrijft en is de aanbesteding mislukt. Dit kan je al toetsen door vooraf een marktconsultatie te doen én het levert waardevolle gesprekken op. Het gaat er in de basis om dat je goede, en vooral bewuste, afspraken maakt over waar het intellectueel eigendom ligt en dat je continu kijkt welk risico je bereid bent te accepteren op het gebied van data-toegang en -eigendom.”
Hoe werken we binnen SURF & Npuls aan digitale autonomie?
Vromans: “We kijken bij SURF al 40 jaar naar digitaliseringsvraagstukken vanuit een publieke waarden-perspectief. Het zit bij ons in de genen. We hebben het alleen niet altijd zo genoemd. De software die we ontwikkelen is bijvoorbeeld open source, zoals OpenConext. Dit is een nationaal platform voor federatieve Identity & Access Management, juist ontwikkeld voor onze leden om de regie te houden op identiteiten en toegang. De software heeft eigen branding-mogelijkheden, en wij onderhouden de technologie nog steeds. SURF biedt dit als dienst aan onder de naam SURFconext. Het wordt onder andere gebruikt door Kennisnet (primair onderwijs), het rijk (onder de naam SSOn Rijk) en de overheid (GovConext).”
Leunissen vult aan: “Met medewerkers van Npuls, een aantal vertegenwoordigers van de instellingen en drie collega’s vanuit SURF, heb ik het pilotproject EdTech Marktplaats opgezet. Dit is een dynamisch aankoopsysteem waar onderwijsinstellingen uitvragen kunnen doen en waar iedere EdTech-leverancier zich kan aanmelden. Hiermee geven we ook kleinere partijen een kans en verkleinen we de afhankelijkheid van een beperkt aantal grote leveranciers. Bij de ontwikkeling van de voorwaarden voor toetreding tot de EdTech Marktplaats hebben publieke waarden een centrale plek gekregen.”
Daarnaast is digitale autonomie steeds meer een speerpunt in het werk dat ons team namens de instellingen uitvoert. Leunissen: “We hebben bijvoorbeeld modelovereenkomsten en programma’s van eisen waar al het nodige is vastgelegd over meer digitale autonomie. Denk daarbij aan interoperabiteitseisen, exitafspraken die switchen bevordert en hiervoor genoemde privacy eisen die EU/EER gericht zijn. Ten aanzien van het onderwerp privacy (en ook security) is ook belangrijk om het team Vendor Compliance te noemen; marktpartijen die beter scoren op de door dit aan ons gelieerde team uit te voeren onderzoeken zijn voor de instellingen dan ook interessanter als business partner. Meer en meer belonen we de markt als ze dit soort zaken goed op orde hebben en kijken we kritischer naar partijen die zich in vendor lock-in situaties manouvreren.”
Meer weten?
Meer weten over hoe je digitale autonomie opneemt in jouw aanbesteding? Neem contact met ons op via edtech@npuls.nl. Of lees ons eerdere artikel over het opnemen van publieke waarden.
Bekijk hier de Waardenwijzer voor digitalisering in het onderwijs. Of lees meer over het Waardenwijzer spel, waarmee je het gesprek opent over digitalisering en haar dilemma’s.
