Computerdata van en over studenten en onderzoekers worden in de Europese cloud opgeslagen. Beveiligingsexperts zetten vraagtekens bij deze opslag, maar de Radboud Universiteit kiest juist bewust voor deze cloud.
Tendentieus en misleidend, zo noemt divisiedirecteur Information & Library Services Iwan Holleman de kop in Het Financieele Dagblad van afgelopen oktober dat studentgegevens ‘massaal in de Amerikaanse cloud’ worden gezet. Daar staan die gegevens namelijk niet, de Radboud Universiteit kiest in samenwerkingsverband SURF bewust voor de Europese cloud. Vanwege vele redenen, waaronder de veiligheid.
Volgens het FD, dat zich baseert op onderzoek van de TU Delft en de Technische Universiteit Wenen, staat 75 procent van alle Nederlandse studentgegevens in de cloud van Amerikaanse techbedrijven Microsoft en Amazon. Brightspace en Instructure gebruiken bijvoorbeeld de clouddiensten van Amazon, Blackboard die van Microsoft.
Europese servers
Het artikel vermeldt echter niet dat de Nederlandse universiteiten de afspraak hebben gemaakt dat alle data in de Europese cloud blijven. Iwan Holleman: ‘SURF onderhandelt namens 130 Nederlandse leden uit de onderwijs- en onderzoekwereld met Microsoft en Amazon en heeft bedongen dat alle data op Europese servers staan.’
Dat onderscheid is van belang omdat de data daarmee onder de Europese privacywetgeving vallen. Dat is een verschil met data die in de Amerikaanse cloud staan. ‘Zodra je data op Amerikaanse servers staan dan zijn er gevallen dat de Amerikaanse overheid zich het recht toekent om toegang tot je data te krijgen’, zegt universitair hoofddocent en digitale privacy-onderzoeker Jaap-Henk Hoepman. ‘Je data vallen in ieder geval niet onder de Europese regelgeving van de AVG.’
Hackers
Data opslaan in de cloud heeft voordelen, zegt Iwan Holleman. Hij wijst op de veiligheidsaspecten. Zo werden de Universiteit Maastricht in 2019 en NWO in 2021 gehackt waardoor servers en back-upsystemen vergrendeld waren. ‘Die dreiging is steeds serieuzer en het is een illusie te denken dat je de beveiliging van servers in lokale datacenters beter op orde kunt hebben dan een grote cloudleverancier.’
Er zitten meer nadelen aan het in eigen hand houden van dataopslag. Om bijvoorbeeld te kunnen voorzien in de grote hoeveelheden dataopslag die de universiteit nodig heeft, zijn er enorme, extreem goed beveiligde datacenters nodig. Dat is niet alleen zeer kostbaar, ook uit duurzaamheidsoverwegingen kan het een optie zijn om infrastructuur uit de cloud af te nemen, datacenters verbruiken veel energie.
Autonomie
Toch blijven cybersecurity-experts sceptisch over het gebruik van de diensten van Amazon, Google en Microsoft. In een opiniestuk in de Volkskrant reageerde de Nijmeegse hoogleraar Bart Jacobs op het voornemen om overheidsdata op de Amerikaanse cloud op te slaan. ‘Scholen, universiteiten en andere instellingen zijn overgestapt op clouddiensten en zijn daarbij hun autonomie kwijtgeraakt’, schreef Jacobs. ‘De grote IT-spelers dwingen ieder het gebruik van hun eigen software steeds breder af en maken het gebruik van (open) alternatieven onmogelijk.’
Jacobs, ook een tegenstander van het gebruik van Office365 op de universiteit, stelt in de brief voor ‘in plaats van naar buitenlandse partijen te rennen’ in te zetten op ‘het ontwikkelen van een nationale (of Europese) cloudmarkt door aansluiting te zoeken bij nationale aanbieders, zoals Freedom.nl of bij Europese, zoals NextCloud.’
Verloren data
Wie wel gebruikt maakt van de Amerikaanse cloud, bijvoorbeeld als privégebruiker van Amazon of Google, loopt meer risico. Onderzoeker Jaap-Henk Hoepman kaart het scenario aan waarbij data verloren gaan als de Amerikaanse aanbieder jou de toegang ontzegt tot die cloud. ‘Er zijn gevallen bekend van Amazon dat stelt dat de licentie van het e-book dat je bij hen hebt gekocht is verlopen, waardoor niet alleen je boek weg is maar ook alle digitale aantekeningen die je erin hebt gemaakt.’
Studenten en onderzoekers doen er volgens Holleman daarom goed aan om niet blind te vertrouwen op grote software-aanbieders voor hun eigen dataopslag. Zo verloor een VU-student eerder dit jaar nog de toegang tot al zijn data toen Google zijn account opschortte. ‘In gratis programma’s betaal je met je data’, zegt Holleman ‘Het is dus belangrijk dat zowel medewerkers als studenten gebruikmaken van de concernsystemen waarvoor goede contracten met de leveranciers zijn afgesloten. We willen niet alles verbieden. Er werken hier veel slimme mensen, we hopen ze bewust te maken dat ze verstandig met hun data omgaan.’