Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1916

van Tom Ongena (Open Vld) d.d. 6 maart 2023

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de Eerste Minister

Universiteiten - Studentengegevens - Privacyschending - Buitenlandse techplatformen - Gebruik - Overheidsdiensten - Incidenten - Cijfers en tendensen

universiteit
eerbiediging van het privé-leven
cloudcomputing
onderzoeksintegriteit
economische onafhankelijkheid
student
informatiebeveiliging
gegevensbescherming
gegevensverwerking

Chronologie

6/3/2023Verzending vraag (Einde van de antwoordtermijn: 6/4/2023)
5/4/2023Antwoord

Ook gesteld aan : schriftelijke vraag 7-1914
Ook gesteld aan : schriftelijke vraag 7-1915

Vraag nr. 7-1916 d.d. 6 maart 2023 : (Vraag gesteld in het Nederlands)

Ondanks waarschuwingen van experts staat driekwart van alle Nederlandse studentgegevens opgeslagen bij datacenters van de Amerikaanse techbedrijven Microsoft en Amazon (de «cloud»). Dat blijkt uit een internationale studie. Het cloudgebruik door universiteiten is omstreden, omdat de privacy van studenten in het geding is. Ook kunnen universiteiten economisch afhankelijk worden van de techbedrijven.

De onderzoekers bekeken het cloudgebruik vanaf 2015. Toen stond zo'n 25 % van de studentendata in de «cloud», nu is dat 75 %. Naast die data, zoals studieprestaties en persoonsgegevens, zijn ook onderzoeksgegevens en digitale lessystemen in de «cloud» opgeslagen.

De toename is opmerkelijk, omdat hoogleraren en cyberexperts het al langer onwenselijk noemen dat persoonlijke data van zowel studenten als medewerkers worden beheerd door commerciële bedrijven die onder Amerikaanse wetgeving vallen. Hiermee zou een Amerikaanse opsporingsdienst inzage in Nederlandse privégegevens kunnen opeisen.

De commerciële afhankelijkheid kan universiteiten beperken in hun vrije keuzes. Overschakelen van de ene service naar de andere is tijdrovend en duur. Ook de marktautoriteit ACM (Autoriteit Consument en Markt) is hier kritisch over. Wie data opslaat in de «cloud», komt er bijna niet uit.

De universitaire wereld sloeg eerder alarm. In 2019 waarschuwden de rectoren dat data van studenten en docenten door «big tech» misbruikt kunnen worden op de advertentiemarkt. Vorig jaar slaakten negentien hoogleraren eveneens een noodkreet, net als deze zomer de Koninklijke Nederlandse Akademie van wetenschappen (KNAW).

De studie is uitgevoerd door Tobias Fiebig van het Duitse Max Planck Instituut voor Informatica, en Martina Lindorfer van de Technische Universiteit in Wenen. Zij vrezen dat de trend de wetenschappelijke integriteit ondermijnt.

Onderzoeker Fiebig noemt dit «naïef»: «De techbedrijven zeggen in feite: we beloven geen misbruik van jou te maken, zolang je maar in een positie komt waar je niet kunt weigeren als we dat wel doen.» Toch kiezen universiteiten er vaker voor diensten in te kopen bij techbedrijven, in plaats van die zelf te ontwikkelen. Terwijl de wetenschap ooit pionier was in het opzetten van een digitale infrastructuur (cf. https://fd.nl/samenleving/1454238/studentgegevens-ondanks-kritiek-massaal-in-de-amerikaanse-cloud-gezet).

Wat betreft het transversaal karakter van de schriftelijke vraag: de Gemeenschappen zijn autonoom op het vlak van onderwijs, maar de minimale vereisten voor de aflevering van diploma's blijven een aangelegenheid van de federale overheid. De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus ook een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Hoe kunnen volgens u het risico op privacyschending, spionage en een verlies van strategische autonomie geminimaliseerd worden, indien men toch gebruik (moet) maken van dergelijke cloudservices van landen die geen lid zijn van de Europese Unie (EU)?

2) Zijn er reeds signalen binnengekomen van onze veiligheidsdiensten die aangeven dat er gevaren verbonden zijn aan opslag bij dergelijke buitenlandse "Big tech»-cloudaanbieders? Kan u procentueel inschatten hoeveel groter het gevaar is als men gebruik maakt van cloudservices van landen zoals China, Rusland of Iran? Zijn er instituten of overheidsdiensten die gebruikmaken van cloudservices van deze landen? Indien ja, waarvoor? En welke diensten? Kan u meedelen waarin het gevaar verschilt met dat van dergelijke services van de Verenigde Staten?

3) Zijn er reeds klachten binnengekomen van onze universiteiten of hogescholen of zijn er indicaties waaruit blijkt dat bepaalde «big tech»-cloudaanbieders informatie stelen, de privacyregels niet naleven of de wetenschappelijke integriteit ondermijnen? Indien ja, hoeveel in de jongste vier jaar? Wat was de aanleiding? Wie waren de betrokken partijen? Wat was de afloop hiervan?

4) In hoeverre krijgen de onderwijsinstellingen die gebruik maken van dergelijke cloudservices adviezen van onze veiligheidsdiensten over privacy en (economische) veiligheid?

5) Kan u duiden hoeveel overheidsdiensten gebruikmaken van de cloudservices van Amerikaanse providers? Van welke diensten en voor welke doeleinden? Zijn er richtlijnen over gevoelige data en het gebruik van deze cloudservices?

6) Zijn er reeds incidenten geweest met Amerikaanse cloudproviders waarbij de (wetenschappelijke) integriteit van de gebruikers ondermijnd werd? Hoeveel van dergelijke incidenten vonden er de jongste vier jaar plaats? Wat was de aanleiding? Wie waren de betrokken partijen? Wat was het uiteindelijke resultaat?

7) Kan u meedelen of er plannen in de steigers staan om alternatieven voor cloudoplossingen van Amerikaanse techbedrijven in gebruik te nemen? Indien ja, wat zijn de achterliggende redenen hiervoor? Wat is de geplande termijn? Wie zal hierbij betrokken worden? Bij welke diensten zal dit gebeuren? Wat is de geraamde kostprijs?

Antwoord ontvangen op 5 april 2023 :

1) Het risico van privacyschendingen is helaas reëel. Zo is bijvoorbeeld het specifieke risico gekend van overheidsagentschappen die op basis van nationale regelgeving toegang tot persoonsgegevens vragen bij deze big techcloudaanbieders. Zowel de Verenigde Staten (VS) als China hebben regelgeving waarbij de overheid zich toegang kan verschaffen tot persoonsgegevens van Belgische of Europese burgers.

Het komt er dus op aan om de meest stringente veiligheidsmaatregelen toe te passen, een Data Protection Impact Assessment uit te voeren en de aanbevelingen van de European Data Protection Board op te volgen.

De kwestie van het minimaliseren van het risico van spionage en verlies van strategische autonomie is uiteraard ook een geopolitieke vraag die door de inlichtingendiensten moet worden beantwoord.

2) Een inventaris van de soorten clouds die door overheidsdiensten worden gebruikt ontbreekt. Het Centrum voor cybersecurity België (CCB) laat weten niet over dergelijke informatie te beschikken. Bovendien is elke overheidsdienst verantwoordelijk voor deze inventaris. Voor meer informatie verwijs ik naar de Veiligheid van de Staat (VSSE) en de Algemene Dienst inlichting en veiligheid (ADIV).

3) Noch het CCB noch de Gegevensbeschermingsautoriteit (GBA) beschikken over enige informatie hierover.

4) Ik verwijs u naar de VSSE.

5) Om deze vraag te beantwoorden is een inventarisatie nodig van de soorten clouddiensten die door overheidsdiensten worden gebruikt. Momenteel beschikken wij niet over deze informatie.

6) Ik verwijs u naar het antwoord op vraag 3). Bovendien verstrekken de meeste Amerikaanse aanbieders van clouddiensten statistieken over het aantal keren dat zij informatie over Belgische of Europese burgers beschikbaar stellen aan deze overheidsinstanties op basis van een verzoek van een Amerikaans overheidsagentschap in het algemeen, en wetshandhavings- en nationale veiligheidsinstanties in het bijzonder.

In de meldingen over cyberincidenten die het CERT (Cyber Emergency Response Team, CCB) ontvangt, laat het CCB mij weten dat zij geen informatie hebben over incidenten die specifiek de wetenschappelijke integriteit raken. Het CERT biedt technische ondersteuning en advies bij door universiteiten gemelde incidenten om de impact van een incident te beperken. De CCB is van mening dat alleen de universiteiten kunnen weten of het incident de wetenschappelijke integriteit schendt.

7) Voor de federale overheidsdiensten is er als alternatief voor een aantal (Amerikaanse) corporate clouddiensten, de Belgische G-CLOUD, de community cloud van de overheid en de ICT (information and communication technologies)-oplossingen binnen het SECaaS-programma van de federale overheidsdienst Beleid en Ondersteuning (FOD BOSA) (SECaaS staat voor «Security as a Service»).

Er zij op gewezen dat sommige onderdelen van de cloud-oplossingen van Amerikaanse technologiebedrijven ook een zeer kosteneffectieve ontwikkeling van toepassingen mogelijk maken met de nodige bescherming van persoonsgegevens, met name door middel van passende encryptietechnieken en intern sleutelbeheer. Dit zijn de zogenaamde IaaS- en PaaS-platforms. Het is vooral bij SaaS-platforms, waar de clouddienstverlener rechtstreeks toegang heeft tot persoonsgegevens, dat het vraagstuk van de gegevensbescherming rijst.