BELGISCHE SENAAT
________
Zitting 2022-2023
________
6 maart 2023
________
SENAAT Schriftelijke vraag nr. 7-1914

de Tom Ongena (Open Vld)

aan de eerste minister
________
Universiteiten - Studentengegeven - Privacyschending - Buitenlandse techplatformen - Gebruik - Overheidsdiensten - Incidenten - Cijfers en tendensen
________
universiteit
eerbiediging van het privé-leven
cloudcomputing
onderzoeksintegriteit
economische onafhankelijkheid
student
informatiebeveiliging
gegevensbescherming
gegevensverwerking
________
6/3/2023Verzending vraag
________
Ook gesteld aan : schriftelijke vraag 7-1915
Ook gesteld aan : schriftelijke vraag 7-1916
Heringediend als : schriftelijke vraag 7-2206
________
SENAAT Schriftelijke vraag nr. 7-1914 d.d. 6 maart 2023 : (Vraag gesteld in het Nederlands)

Ondanks waarschuwingen van experts staat driekwart van alle Nederlandse studentgegevens opgeslagen bij datacenters van de Amerikaanse techbedrijven Microsoft en Amazon (de «cloud»). Dat blijkt uit een internationale studie. Het cloudgebruik door universiteiten is omstreden, omdat de privacy van studenten in het geding is. Ook kunnen universiteiten economisch afhankelijk worden van de techbedrijven.

De onderzoekers bekeken het cloudgebruik vanaf 2015. Toen stond zo'n 25 % van de studentendata in de «cloud», nu is dat 75 %. Naast die data, zoals studieprestaties en persoonsgegevens, zijn ook onderzoeksgegevens en digitale lessystemen in de «cloud» opgeslagen.

De toename is opmerkelijk, omdat hoogleraren en cyberexperts het al langer onwenselijk noemen dat persoonlijke data van zowel studenten als medewerkers worden beheerd door commerciële bedrijven die onder Amerikaanse wetgeving vallen. Hiermee zou een Amerikaanse opsporingsdienst inzage in Nederlandse privégegevens kunnen opeisen.

De commerciële afhankelijkheid kan universiteiten beperken in hun vrije keuzes. Overschakelen van de ene service naar de andere is tijdrovend en duur. Ook de marktautoriteit ACM (Autoriteit Consument en Markt) is hier kritisch over. Wie data opslaat in de «cloud», komt er bijna niet uit.

De universitaire wereld sloeg eerder alarm. In 2019 waarschuwden de rectoren dat data van studenten en docenten door «big tech» misbruikt kunnen worden op de advertentiemarkt. Vorig jaar slaakten negentien hoogleraren eveneens een noodkreet, net als deze zomer de Koninklijke Nederlandse Akademie van wetenschappen (KNAW).

De studie is uitgevoerd door Tobias Fiebig van het Duitse Max Planck Instituut voor Informatica, en Martina Lindorfer van de Technische Universiteit in Wenen. Zij vrezen dat de trend de wetenschappelijke integriteit ondermijnt.

Onderzoeker Fiebig noemt dit «naïef»: «De techbedrijven zeggen in feite: we beloven geen misbruik van jou te maken, zolang je maar in een positie komt waar je niet kunt weigeren als we dat wel doen.» Toch kiezen universiteiten er vaker voor diensten in te kopen bij techbedrijven, in plaats van die zelf te ontwikkelen. Terwijl de wetenschap ooit pionier was in het opzetten van een digitale infrastructuur (cf. https://fd.nl/samenleving/1454238/studentgegevens-ondanks-kritiek-massaal-in-de-amerikaanse-cloud-gezet).

Wat betreft het transversaal karakter van de schriftelijke vraag: de Gemeenschappen zijn autonoom op het vlak van onderwijs, maar de minimale vereisten voor de aflevering van diploma's blijven een aangelegenheid van de federale overheid. De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus ook een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Hoe kunnen volgens u het risico op privacyschending, spionage en een verlies van strategische autonomie geminimaliseerd worden, indien men toch gebruik (moet) maken van dergelijke cloudservices van landen die geen lid zijn van de Europese Unie (EU)?

2) Zijn er reeds signalen binnengekomen van onze veiligheidsdiensten die aangeven dat er gevaren verbonden zijn aan opslag bij dergelijke buitenlandse "Big tech»-cloudaanbieders? Kan u procentueel inschatten hoeveel groter het gevaar is als men gebruik maakt van cloudservices van landen zoals China, Rusland of Iran? Zijn er instituten of overheidsdiensten die gebruikmaken van cloudservices van deze landen? Indien ja, waarvoor? En welke diensten? Kan u meedelen waarin het gevaar verschilt met dat van dergelijke services van de Verenigde Staten?

3) Zijn er reeds klachten binnengekomen van onze universiteiten of hogescholen of zijn er indicaties waaruit blijkt dat bepaalde «big tech»-cloudaanbieders informatie stelen, de privacyregels niet naleven of de wetenschappelijke integriteit ondermijnen? Indien ja, hoeveel in de jongste vier jaar? Wat was de aanleiding? Wie waren de betrokken partijen? Wat was de afloop hiervan?

4) In hoeverre krijgen de onderwijsinstellingen die gebruik maken van dergelijke cloudservices adviezen van onze veiligheidsdiensten over privacy en (economische) veiligheid?

5) Kan u duiden hoeveel overheidsdiensten gebruikmaken van de cloudservices van Amerikaanse providers? Van welke diensten en voor welke doeleinden? Zijn er richtlijnen over gevoelige data en het gebruik van deze cloudservices?

6) Zijn er reeds incidenten geweest met Amerikaanse cloudproviders waarbij de (wetenschappelijke) integriteit van de gebruikers ondermijnd werd? Hoeveel van dergelijke incidenten vonden er de jongste vier jaar plaats? Wat was de aanleiding? Wie waren de betrokken partijen? Wat was het uiteindelijke resultaat?

7) Kan u meedelen of er plannen in de steigers staan om alternatieven voor cloudoplossingen van Amerikaanse techbedrijven in gebruik te nemen? Indien ja, wat zijn de achterliggende redenen hiervoor? Wat is de geplande termijn? Wie zal hierbij betrokken worden? Bij welke diensten zal dit gebeuren? Wat is de geraamde kostprijs?