Pas op voor ‘de cloud’, zeggen cyberprofs
Om hun studenten en medewerkers te beschermen moeten de Nederlandse universiteiten geen gebruik maken van Amerikaanse cloud-diensten. Dat schrijven deskundige hoogleraren uit het hele land in een open brief. Ook hogescholen, waaronder Fontys, maken daar gebruik van.
‘Universiteitsbesturen besluiten steeds vaker om het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloud-giganten’, staat in de brief van achttien hoogleraren en een universitair hoofddocent. Op de lange termijn is dat niet verstandig, menen ze.
Studenten moeten een veilige leeromgeving hebben waarin ze fouten kunnen maken, stellen de briefschrijvers. ‘Het moet onmogelijk zijn dat privacygevoelige data van studenten voor andere doeleinden misbruikt wordt.’
Misbruik
En dat is maar afwachten, als die data in een Amerikaanse cloud staan. Een cloud is eigenlijk een server waarop data worden bewaard die je via het 
internet kunt opvragen. Die data staan dan niet meer op je eigen computer, die kan crashen of gehackt kan worden, maar ergens ‘veilig’ opgeslagen in de cloud.
Commerciële bedrijven kunnen de data zomaar misbruiken, stellen de ondertekenaars met een verwijzing naar het Cambridge Analytica-schandaal. Dat bedrijf analyseerde privacygevoelige data van miljoenen mensen om de verkiezingscampagnes van Donald Trump vooruit te helpen.
Maar behalve die bedrijven zou ook de Amerikaanse overheid toegang kunnen krijgen tot het e-mailverkeer en de data van studenten en medewerkers aan Nederlandse universiteiten, zeggen de hoogleraren. ‘We verheffen de Facebooks, Googles, Amazons en Microsofts van deze wereld niet alleen tot beheerder van onze data, maar ook tot grenspolitie van die data.’
Het zou beter zijn om zulke diensten in eigen hand te houden, is de gedachte, bijvoorbeeld bij SURF, de ict-organisatie van het Nederlandse onderwijs en onderzoek.
Lastige klant
Het is zeker niet de eerste kritiek op de privacyproblemen in de ict van het hoger onderwijs. Internetpionier Marleen Stikker riep studenten en medewerkers vorig jaar al op om veilige ict-omgevingen te eisen. ‘Je mag als student of docent best een lastige klant zijn’, vond ze.
Ict-organisatie SURF is momenteel bezig met de privacyvoorwaarden van bepaalde onderwijssoftware die Google aanbiedt. De Autoriteit Persoonsgegevens heeft zich erover gebogen en meent dat de minister van Onderwijs zich ermee moet bemoeien.
Opvallend genoeg wilden ook de rectoren van de Nederlandse universiteiten een grens trekken, schreven ze vorig jaar in de Volkskrant. Maar volgens de cyber-hoogleraren is de aandacht weer verslapt.
‘Vergeet niet dat voor de Big Tech bedrijven geldt: You can check-in anytime you like, but you can never leave’, schrijven ze. Dat is een citaat uit Hotel California van The Eagles, waar de ik-figuur voor een verleiding zwicht waar hij zich nooit meer van kan bevrijden.
‘Eigen’ Microsoft
Hub Gerats, Corporate Information Security Officer bij Fontys, laat desgevraagd weten dat Fontys zich ervan bewust 
is wat de risico’s van werken in de cloud zijn. “De digitalisering en cybercriminaliteit nemen fors toe, tegelijkertijd kent iedereen steeds beter het belang van privacy. Gelet op de huidige complexiteit werkt Fontys daarom bewust samen met meerdere strategische partners.”
De hogeschool werkt onder meer samen met SURFcumulus, die meerdere cloudproviders aanbiedt. Deze coöperatieve vereniging van Nederlandse onderwijs- en onderzoeksinstellingen controleert op kwaliteit, veiligheid en wetgeving. “Op de lange termijn sluit Fontys graag aan op landelijk (SURF) of Europees (GÉANT) niveau, waarbij een vergelijkbare clouddienst als Microsoft in eigen handen komt.”
Gerats wil nog wel een relativering maken wat betreft de waarschuwing van de hoogleraren. “Wij werken weliswaar met Microsoft, maar dat is wel wat anders dan de Facebooks en Googles in deze wereld, die nagenoeg alleen hun geld verdienen met data en het minder nauw nemen als het gaat om privacy. Microsoft en Apple hebben aanvullende verdienmodellen waarin zij zich moeten houden aan de eisen op het gebied van wetgeving, kwaliteit en veiligheid. [HOP, Petra Merkx]
En ja, dan wordt weer naar eisen en regelgeving verwezen om ons te overtuigen dat de achtien hooglereran deels ongelijk hebben. Dat zien we ook met de AVG: er staat nu overal veel meer tekst bij maar of automatisering laat staan automatisering via de wolken ueberhaupt nodig is c.q. opweegt tegen de nadelen ervan: die vraag wordt niet gesteld. Het is net als met het verschrikkelijk onhandige kratje voorop de fiets: organisaties apen net als mensen anderen na. Jammer. Parafraserend: denk na!